學習案例:設定 Ubuntu 伺服器的 SSH 金鑰安全認證

作者:
# 實戰情境:設定 Ubuntu 伺服器 (172.30.0.199) 的 SSH 金鑰安全認證

## 概述
本教學模擬一個常見的內部訓練情境。指導者已備妥一台全新的 Ubuntu 伺服器,學員需從自己的 Ubuntu 電腦,透過私有網路連線至該伺服器,並完成從密碼登入到金鑰認證的安全升級。

### **情境設定**
* **指導者提供資訊:**
    * 伺服器 IP 位址:`172.30.0.199`
    * 初始登入帳號:`ubuntu`
    * 初始登入密碼:(指導者提供)
* **學員端 (您的電腦):**
    * 作業系統:Ubuntu Linux
    * 角色:跟隨本指南操作,連線至伺服器。

---

## 步驟一:【前置作業】網路環境確認
在嘗試連線之前,必須先確認您自己的電腦與目標伺服器在網路上是「可溝通」的。

### **1.1 檢查自身網路座標**
* **問題:** 「在連線到別台電腦前,我得先知道我自己的 IP 位址是什麼,以及我所在的網路環境為何?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    ```bash
    ip a
    ```
    * **解說:** 找出您電腦的網路卡(如 `ens18`, `eth0`),記下其 `inet` 後面的 IPv4 位址。

### **1.2 確認與目標伺服器的連線**
* **問題:** 「我知道我的位置了,那目標伺服器在網路上『活著』嗎?它的 SSH 服務有在聽嗎?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    1.  **測試網路是否通暢 (Ping):**
        ```bash
        ping -c 4 172.30.0.199
        ```
    2.  **測試 SSH 服務端口是否開啟 (Netcat):**
        ```bash
        nc -zv 172.30.0.199 22
        ```

---

## 步驟二:【首次連線】使用密碼登入
網路確認無誤後,我們使用指導者提供的臨時帳號密碼進行第一次登入。

* **問題:** 「如何使用帳號密碼,從我的電腦登入到目標伺服器?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    ```bash
    ssh ubuntu@172.30.0.199
    ```
    * **解說:** 依提示輸入 `yes` 及密碼即可登入。

---

## 步驟三:【安全升級】設定 SSH 金鑰認證

### **3.1 (用戶端) 產生金鑰對**
* **問題:** 「如何建立一把專屬於我的、無法被仿冒的數位鑰匙?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    ```bash
    ssh-keygen -t ed25519
    ```
    * **解說:** 連續按三次 `Enter` 接受預設值,即可在 `~/.ssh/` 目錄下產生私鑰 (`id_ed25519`) 和公鑰 (`id_ed25519.pub`)。

### **3.2 (伺服器端) 部署公鑰**
* **問題:** 「如何將我的『公鑰』,安裝到伺服器上我這個 `ubuntu` 帳號的門上?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    ```bash
    ssh-copy-id ubuntu@172.30.0.199
    ```
    * **解說:** 依提示輸入一次密碼,指令會自動完成公鑰的複製與權限設定。

### **3.3 (用戶端) 測試金鑰登入**
* **問題:** 「新鎖裝好了,效果如何?」
* **操作 (在您的 Ubuntu 電腦上執行):**
    1.  首先,在伺服器上輸入 `exit` 登出。
    2.  然後,再次執行登入指令 `ssh ubuntu@172.30.0.199`。
    * **預期結果:** 您應能直接登入成功,無需輸入密碼。

---

## 步驟四:【原理詳解與安全強化】

### **4.1 金鑰認證機制解說**
* **問題:** 「為什麼金鑰登入不需要密碼?它到底是如何運作的?」
* **原理:**
    1.  **公鑰 (Public Key)** 相當於一把公開的「鎖芯」,您已將其安裝在伺服器的 `~/.ssh/authorized_keys` 檔案中。
    2.  **私鑰 (Private Key)** 相當於與該鎖芯**唯一配對**的「鑰匙」,由您妥善保管在自己的電腦上。
    3.  登入時,伺服器用您的公鑰產生一個隨機「挑戰」,只有您電腦上的私鑰能解開此挑戰。因為私鑰從未在網路上傳輸,所以此方式遠比可能被猜測或攔截的密碼安全。

### **4.2 安全強化操作**
* **問題:** 「如何徹底關閉不安全的密碼登入功能?」
* **操作 (在已登入的伺服器上執行):**
    1.  **編輯 SSH 設定檔:**
        ```bash
        sudo nano /etc/ssh/hd_config
        ```
    2.  **修改參數:** 找到 `PasswordAuthentication` 這一行,將其值改為 `no`。
        ```ini
        PasswordAuthentication no
        ```
    3.  **儲存並重啟服務:** 按 `Ctrl+X`, `Y`, `Enter` 儲存,然後執行:
        ```bash
        sudo systemctl restart ssh
        ```
    * **最終驗證 (警告!):** 在重啟服務前,請務必開啟一個新終端機視窗,並成功透過金鑰登入,以防自己被鎖在伺服器之外。


留言

張貼留言

這個網誌中的熱門文章

Linux 下使用終端機連接 switch (minicom)

作者: mtchang
圖片
RS232 是很多資訊設備仍保留的連接界面,最常用在網路設備上的  console 界面登入。 minicom 是一個 Linux 下可以以終端機模式登入的程式,和以前 dos 時代的鐵力士很相 似 # 安裝 minicom mtchang@debian:~$ sudo apt-get install minicom # 我用的是 usb to rsr232 界面(現在 rs232 port 越來越少見了),藉由 messages 檔案觀看他自動賦予那個 device 編號。這裡抓到的是 ttyUSB0 --> /dev/ttyUSB0 mtchang@debian:~$ sudo tail /var/log/messages -f Dec 11 09:54:34 debian kernel: [ 3454.792199] usb 5-1: USB disconnect, device number 2 Dec 11 10:32:35 debian kernel: [ 5735.764149] usb 4-1: new full-speed USB device number 4 using uhci_hcd Dec 11 10:32:35 debian kernel: [ 5735.980153] usb 4-1: New USB device found, idVendor=5372, idProduct=2303 Dec 11 10:32:35 debian kernel: [ 5735.980162] usb 4-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0 Dec 11 10:32:35 debian kernel: [ 5735.980170] usb 4-1: Product: USB-Serial Controller Dec 11 10:32:35 debian kernel: [ 5735.980175] usb 4-1: Manufacturer: Prolific Technology Inc. Dec 11 10:32:35 debian kernel: [ 5735.982272] pl2303 4-1:1.0: pl23...
閱讀完整內容

VMWARE VM linux 擴充硬碟空間

作者: mtchang
可以參考 AWS 上面的文章  https://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/recognize-expanded-volume-linux.html  但 EC2 流程更簡單, 你在EC2調整後他自動幫你最佳化到好. Linux 內部他幫你處理了. VMWARE ESXi 就自己動手流程是 先調整 VMWARE 的VM硬碟空間 再去 LINUX 擴大硬碟分割區 然後把  FileSystem 放大 就好了...XD but 很重要的是, 因為這些有風險建議先備份免得出意外!!!  VMWARE ESXi Ubuntu Linux 放大VM硬碟 ESXi 把要放大硬碟的VM主機關機, 調整外部的硬碟容量設定大小(增大) 重開機, 從 ESXi console 登入 root 調整 可以先檢查目前的 disk 容量 # fdisk /dev/sda -l 重新掃描磁碟, ex: /dev/sda # echo 1 | sudo tee -a /sys/block/sda/device/rescan 延伸VM磁碟配置表 , 延伸後可以再檢查看看VM硬碟容量是否已經改變 #  growpart /dev/sda 3 重新讀取磁碟配置表 #  partprobe -s /dev/sda 延伸 LVM 的 Physical Extent (PE) , pvdisplay 可以檢查pv容量是否變化 #  pvresize -v /dev/sda3 延伸 LVM 的 Logical Volume (LV) * 完全延展 # lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv * 指定容量延展 # lvextend -L +100G /dev/ubuntu-vg/ubuntu-lv 延伸檔案系統 size , 可以用 df -lh 檢查容量 # resize2fs /dev/ubuntu-vg/ubuntu-lv
閱讀完整內容

透過 curl 的 timeout 設定識別 http 的網路連線壅塞問題

作者:
網路連線壅塞是一個難解的問題, 因為網路會產生抖動(Jitter)現象, 抖動發生時, 連線會突然變得很慢. 當狀況改善後就會回復. 但很大的原因是因為是因為 DNS 解析或是 TCP 交握的過程產生的問題.  當 curl 連線到一個 HTTP 網址時,其工作流程包括以下幾個主要步驟: 1. DNS 查詢 目標 :解析主機名 (如 example.com ) 對應的 IP 位址。 過程 : curl 通過 DNS 伺服器進行查詢,獲取目標伺服器的 IP 地址。 結果 :若查詢成功,返回 IP 地址, curl 將繼續下一步。若查詢失敗, curl 則返回 DNS 錯誤並中止。 2. TCP 三向交握 (Three-Way Handshake) 目標 :建立與目標伺服器的 TCP 連線。 過程 : curl 通過系統內核發送一個 SYN 封包,目標伺服器回應 SYN-ACK ,然後 curl 返回 ACK 完成三向交握,建立起 TCP 連線。 結果 :若在 --connect-timeout 設定時間內未完成三向交握,則連線失敗並返回超時錯誤。 3. 發送 HTTP 請求 目標 :向伺服器發送具體的 HTTP 請求,根據 URL 設定不同的請求方法(如 GET 、 POST )。 過程 : curl 構建 HTTP 請求標頭並附加任何所需的數據(如表單數據),然後通過已建立的 TCP 連線將請求發送到伺服器。 結果 :伺服器接收請求並準備回應,若過程中出現網路問題,則請求可能中止或失敗。 4. 伺服器處理請求並返回回應 目標 :伺服器根據請求的 URL 路徑處理並生成對應的回應內容。 過程 :伺服器確認請求內容後,由 HTTP 伺服器(如 httpd )根據需求(例如讀取靜態文件或調用後端服務)生成回應,並加上適當的 HTTP 狀態碼和標頭。 結果 :伺服器將回應內容傳回給 curl 客戶端。 5. 接收 HTTP 回應 目標 : curl 從伺服器接收回應數據,並在終端或指定的輸出目標中顯示。 過程 : curl 讀取 HTTP 回應標頭(包括狀態碼,如 200 OK 、 404 Not Found 等)及內容,並根據需要顯示、保存或處理該回應。 結果 :若指定了輸出文件, curl 將回應寫入文件;若未指定,則在終端中顯示。...
閱讀完整內容