[[oktatas:linux:távoli elérés:ssh|< SSH]]

====== SSH szerver ======

  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2011, 2012, 2013, 2015, 2016, 2017, 2018, 2019
  * [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: http://szit.hu

===== SSH kliens telepítése =====

<code bash>
apt install openssh-server
</code>

Van egy meta csomag is, a neve ssh:
  apt install ssh
Ezt is használhatjuk a fenti csomagok helyett.


===== Beállítások =====

==== Root tiltása ====

Szerkesszük sshd konfigurációs állományát:
<code bash>
mcedit /etc/ssh/sshd_config
</code>

Keressük meg a PermitRootLogin beállítást. Alapértelmezetten "yes" értéke van. Állítsuk "no" értékre:
  PermitRootLogin no

Indítsuk újra az ssh szervert:
  invoke-rc.d ssh reload

==== Bejelentkezés előtti üzenet ====

Szerkesszük a következő állományt:
  # nano /etc/ssh/sshd_config

Keressük meg a következőt:
  #Banner /etc/issue.net

Vegyük ki a sor elején a megjegyzés, "#" karakterét.

  Banner /etc/issue.net
Mentsünk.


Ellenőrizzük, a konfigurációt:
  sshd -t

Indítsuk újra:
  # service ssh restart

==== Kliensek kapcsolatainak tartása ====

Keressük meg a következőt megjegyzésben lévő beállítást: 
  ClientAliveInterval 0

Javítsuk:
  ClientAliveInterval 300

Így 300 másodpercenként a kliensek kapcsolatfenntartó 
csomagot küldenek a szervernek.

Újraindítás előtt ellenőrizzük a konfigurációs fájlt:
  sshd -t

A beállítás után indítsuk újra a szervert:
  systemctl restart ssh

==== Az SSH démon portja ====

Az SSH démont célszerű a 22 helyett valami más portra beállítani.
A példa kedvéért állítsuk be a 8300-s portra.
Ehhez szerkesszük a sshd_config állományt.

<code>
nano /etc/ssh/sshd_config
</code>

Keressük meg a következő sort:
<code>
#Port 22
</code>

Javítsuk így:
<code>
Port 8300
</code>

Indítsuk újra az SSH szervert:
<code>
systemctl restart ssh
</code>

===== SFTP szerver =====

==== SFTP és SSHFS bevezetés ====
A példában webmestereknek szeretnénk egy könyvtárat elérhetővé tenni, 
hogy oda feltölthessék állományaikat, mindezt valamilyen biztonságos
protokollon keresztül. Nem szeretnénk, hogy a webmester betudjon lépni
linuxos felhasználóként programindítás céljából. 

==== Szerveroldalon ====
Egy csoport a webmseterk számára:
  addgroup webmaster

Ez lesz a gyökérkönyvtára:
  mkdir -p /home/www/zoldand

A zoldand felhasználó fog feltölteni:
  useradd -d / -s /bin/false zoldand
  usermod -a -G webmaster zoldand


A gyökérkönyvtárat nem írhatja a felhasználó, csak a chroot kedvéért csináltuk.
Egy újabb könyvtárat hozunk létre számára:
  mkdir -p /home/www/zoldand/zoldand
  chgrp webmaster /home/web/zoldand/zoldand
  chmod 775 /home/www/zoldand/zoldand

Az apache webszerver egy htdocs könyvtárat fog kiszolgálni:
  mkdir /home/www/zoldand/zoldand/htdocs

<code ssh /etc/ssh/sshd_config>
[...]
Subsystem sftp /usr/lib/openssh/sftp-server
[...]
Match Group webmester
    ChrootDirectory /home/www/zoldand
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp
</code>

  systemctl restart sshd