← Zpět na všechny články blogu

Kompletní průvodce SSH: Práce se servery, klienty a klíči

Karel Dytrych
David Janík 6. 5. 2022 - 22 min. čtení
Blog

SSH je zabezpečený protokol, který se používá jako hlavní prostředek pro vzdálené připojení k serverům Linuxu. Poskytuje textové rozhraní spuštěním vzdáleného shellu. Po připojení jsou všechny příkazy zadané v místním terminálu odeslány na vzdálený server a tam provedeny.

V tomto průvodci ve stylu taháku se budeme zabývat některými běžnými způsoby připojení pomocí SSH, které vám pomohou dosáhnout vašich cílů. Můžete ji použít jako rychlý návod, když potřebujete vědět jak se připojit k serveru nebo jak ho různými způsoby nakonfigurovat.

Jak používat tuto příručku:

  • Následující části použijte podle toho, čeho se snažíte dosáhnout. Většina oddílů není podmíněna žádným jiným, takže následující příklady můžete používat samostatně.
  • K vyhledání potřebných oddílů použijte nabídku Obsah na levé straně této stránky (při široké šířce stránky) nebo funkci vyhledávání (CTRL+F) v prohlížeči.
  • Zkopírujte a vložte uvedené příklady příkazového řádku, přičemž zvýrazněné hodnoty nahraďte vlastními.

Přehled SSH

Nejběžnějším způsobem připojení ke vzdálenému linuxovému serveru je SSH. SSH je zkratka pro Secure Shell a poskytuje bezpečný a zabezpečený způsob vzdáleného provádění příkazů, změn a konfigurace služeb. Při připojení přes SSH se přihlašujete pomocí účtu, který existuje na vzdáleném serveru.

Jak SSH funguje

Po připojení přes SSH budete vpuštěni do relace shellu, což je textové rozhraní. V něm můžete komunikovat se serverem. Po dobu trvání relace SSH jsou všechny příkazy které zadáte do místního terminálu, odesílány přes šifrovaný tunel SSH a prováděny na serveru.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Připojení SSH se děje pomocí modelu klient-server. To znamená, že aby mohlo být navázáno spojení SSH, musí být na vzdáleném počítači spuštěn software nazývaný démon SSH. Tento software naslouchá připojení na určitém síťovém portu, ověřuje požadavky na připojení a pokud uživatel zadá správné pověření, vytvoří příslušné prostředí.

V počítači uživatele musí být klient SSH. Jedná se o software, který umí komunikovat pomocí protokolu SSH a jemuž lze předat informace o vzdáleném hostiteli, ke kterému se má připojit. Uživatelské jméno které má použít a pověření, která mají být předána k ověření. Klient může také zadat určité podrobnosti o typu připojení, které chce navázat.

Jak SSH ověřuje uživatele

Klienti se obvykle ověřují buď pomocí hesel (méně bezpečné a nedoporučuje se), nebo pomocí klíčů SSH, které jsou velmi bezpečné.

Přihlašování heslem je šifrované a pro nové uživatele je snadno pochopitelné. Automatizovaní boti a zlomyslní uživatelé se však často opakovaně pokoušejí dostat k účtům, které umožňují přihlášení pomocí hesla, což může vést k ohrožení bezpečnosti. Z tohoto důvodu doporučujeme u většiny konfigurací vždy nastavit ověřování pomocí klíčů SSH.

Klíče SSH jsou odpovídající sadou kryptografických klíčů, které lze použít k ověřování. Každá sada obsahuje veřejný a soukromý klíč. Veřejný klíč lze bez obav volně sdílet, zatímco soukromý klíč je třeba bedlivě střežit a nikdy ho nikomu nevystavovat.

Pro ověření pomocí klíčů SSH musí mít uživatel na svém místním počítači dvojici klíčů SSH. Na vzdáleném serveru musí být veřejný klíč zkopírován do souboru v domovském adresáři uživatele na adrese ~/.ssh/authorized_keys. Tento soubor obsahuje seznam veřejných klíčů po jednom na řádku, které jsou autorizovány pro přihlášení k tomuto účtu.

Když se klient připojí k hostiteli a chce použít ověřování pomocí klíčů SSH, informuje o tomto záměru server a sdělí mu, který veřejný klíč má použít. Server pak zkontroluje svůj soubor authorized_keys, zda neobsahuje veřejný klíč, vygeneruje náhodný řetězec a zašifruje jej pomocí veřejného klíče. Tuto zašifrovanou zprávu lze dešifrovat pouze pomocí přidruženého soukromého klíče. Server odešle tuto zašifrovanou zprávu klientovi, aby otestoval, zda má skutečně přidružený soukromý klíč.

Po přijetí této zprávy ji klient dešifruje pomocí soukromého klíče a zkombinuje odhalený náhodný řetězec s dříve vyjednaným ID relace. Poté z této hodnoty vygeneruje hash MD5 a odešle jej zpět na server. Server již měl k dispozici původní zprávu a ID relace, takže může porovnat hash MD5 vygenerovaný z těchto hodnot a určit, zda klient má soukromý klíč.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Nyní, když víte, jak SSH funguje, můžeme začít probírat několik příkladů, které demonstrují různé způsoby práce s SSH

Generování klíčů SSH a práce s nimi

V této části se budeme zabývat tím, jak generovat klíče SSH na klientském počítači a jak distribuovat veřejný klíč na servery, kde mají být použity. Touto částí je vhodné začít, pokud jste dosud klíče negenerovali.

Generování páru klíčů SSH

Vygenerování nového páru veřejného a soukromého klíče SSH na místním počítači je prvním krokem k ověření se vzdáleným serverem bez hesla. Pokud k ověřování heslem není pádný důvod, měli byste se vždy ověřovat pomocí klíčů SSH.

Ke generování klíčů SSH lze použít řadu kryptografických algoritmů, včetně algoritmů RSA, DSA a ECDSA. Klíče RSA jsou obecně preferovány a jsou výchozím typem klíče.

Chcete-li v místním počítači vygenerovat pár klíčů RSA, zadejte následující příkaz:

# ssh-keygen

Generování páru veřejných/soukromých klíčů rsa.

Zadejte soubor, do kterého chcete klíč uložit (/home/demo/.ssh/id_rsa):

Tato výzva umožňuje zvolit umístění pro uložení soukromého klíče RSA. Stisknutím klávesy ENTER ponecháte výchozí nastavení, které je uloží do skrytého adresáře .ssh v domovském adresáři uživatele. Ponecháte-li vybrané výchozí umístění, umožní to klientovi SSH najít klíče automaticky.

Zadejte přístupovou frázi (prázdná pro žádnou frázi):

Zadejte znovu stejnou heslovou frázi:

Další výzva vám umožní zadat libovolně dlouhou přístupovou frázi pro zabezpečení soukromého klíče. Ve výchozím nastavení budete muset při každém použití soukromého klíče zadat jakoukoli zde nastavenou přístupovou frázi jako dodatečné bezpečnostní opatření. Pokud nechcete zadávat přístupovou frázi, můžete ji stisknutím klávesy ENTER ponechat prázdnou. Mějte však na paměti, že to umožní přihlášení k vašim serverům komukoli, kdo získá kontrolu nad vaším soukromým klíčem.

Pokud se rozhodnete zadat přístupovou frázi, při psaní se nic nezobrazí. Jedná se o bezpečnostní opatření.

Output

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

8c:e9:7c:fa:bf:c4:e5:9c:c9:b8:60:1f:fe:1c:d3:8a root@here

The key's randomart image is:

+--[ RSA 2048]----+

| |

| |

| |

| + |

| o S .|

| o . * + |

| o + = O . |

| + = = + |

| ....Eo+|

+-----------------+

Tímto postupem byl vygenerován pár klíčů RSA SSH, který je umístěn ve skrytém adresáři .ssh v domovském adresáři vašeho uživatele. Jedná se o tyto soubory:

~/.ssh/id_rsa: Soukromý klíč. TENTO SOUBOR NESDÍLEJTE!

~/.ssh/id_rsa.pub: Přidružený veřejný klíč. Ten lze volně sdílet bez následků.

Generování páru klíčů SSH s větším počtem bitů

Klíče SSH mají ve výchozím nastavení 2048 bitů. To je obecně považováno za dostatečně dobré zabezpečení, ale můžete zadat větší počet bitů a získat tak odolnější klíč.

Za tímto účelem uveďte argument -b s požadovaným počtem bitů. Většina serverů podporuje klíče o délce alespoň 4096 bitů. Delší klíče nemusí být pro účely ochrany DDOS akceptovány:

# ssh-keygen -b 4096

Pokud jste již dříve vytvořili jiný klíč, budete dotázáni, zda si přejete předchozí klíč přepsat:

Overwrite (y/n)?

Pokud zvolíte „ano“, váš předchozí klíč bude přepsán a vy se již nebudete moci přihlašovat k serverům pomocí tohoto klíče. Z tohoto důvodu dbejte na to, abyste klíče přepisovali opatrně.

Odstranění nebo změna přístupové fráze soukromého klíče

Pokud jste si vygenerovali přístupovou frázi pro svůj soukromý klíč a chcete ji změnit nebo odstranit, můžete tak učinit snadno.

Poznámka: Chcete-li změnit nebo odstranit přístupovou frázi, musíte znát původní přístupovou frázi. Pokud jste ztratili přístupovou frázi ke klíči, není možné se odvolat a budete muset vygenerovat nový pár klíčů.

Chcete-li změnit nebo odstranit přístupovou frázi, jednoduše zadejte následující příkaz:

# ssh-keygen -p

Enter file in which the key is (/root/.ssh/id_rsa):

Můžete zadat umístění klíče který chcete změnit nebo stisknutím klávesy ENTER přijmout výchozí hodnotu:

Enter old passphrase:

Zadejte starou přístupovou frázi, kterou chcete změnit. Poté budete vyzváni k zadání nové přístupové fráze:

Enter new passphrase (empty for no passphrase):

Enter same passphrase again:

Zde zadejte novou přístupovou frázi nebo stiskněte klávesu ENTER pro odstranění přístupové fráze.

Zobrazení otisku klíče SSH

Každý pár klíčů SSH sdílí jeden kryptografický „otisk“, který lze použít k jednoznačné identifikaci klíčů. To může být užitečné v různých situacích.

Chcete-li zjistit otisk klíče SSH, zadejte následující příkaz:

# ssh-keygen -l

Zadejte soubor, ve kterém se klíč nachází (/root/.ssh/id_rsa):

Pokud je to správné umístění klíče, můžete stisknout klávesu ENTER. Jinak zadejte opravené umístění. Zobrazí se řetězec, který obsahuje bitovou délku klíče, otisk prstu, účet a hostitele, pro které byl vytvořen, a použitý algoritmus:

Output

4096 8e:c4:82:47:87:c2:26:4b:68:ff:96:1a:39:62:9e:4e demo@test (RSA)

Kopírování veřejného klíče SSH na server pomocí SSH-Copy-ID

Chcete-li zkopírovat svůj veřejný klíč na server k ověřování bez hesla, můžete použít několik přístupů.

Pokud máte v současné době na serveru nakonfigurovaný přístup SSH založený na hesle a máte nainstalovaný nástroj ssh-copy-id, jedná se o jednoduchý postup. Nástroj ssh-copy-id je součástí balíčků OpenSSH mnoha linuxových distribucí, takže je velmi pravděpodobné, že může být nainstalován ve výchozím nastavení.

Pokud tuto možnost máte, můžete svůj veřejný klíč snadno přenést zadáním příkazu:

# ssh-copy-id username@remote_host

To vás vyzve k zadání hesla uživatelského účtu ve vzdáleném systému:

The authenticity of host '111.111.11.111 (111.111.11.111)' can't be established.

ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.

Are you sure you want to continue connecting (yes/no)? yes

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

demo@111.111.11.111's password:

Po zadání hesla bude obsah klíče ~/.ssh/id_rsa.pub připojen na konec souboru ~/.ssh/authorized_keys

Output

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'demo@111.111.11.111'"

and check to make sure that only the key(s) you wanted were added.

Nyní se můžete k tomuto účtu přihlásit bez hesla:

# ssh username@remote_host

Kopírování veřejného klíče SSH na server bez SSH-Copy-ID

Pokud nemáte k dispozici nástroj ssh-copy-id, ale máte přístup ke vzdálenému serveru SSH založený na hesle, můžete obsah svého veřejného klíče zkopírovat jiným způsobem.

Můžete vypsat obsah klíče a vložit jej do příkazu ssh. Na vzdálené straně můžete zajistit, aby existoval adresář ~/.ssh, a pak připojit obsah odeslaný do souboru ~/.ssh/authorized_keys:

# cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Následně budete požádáni o zadání hesla ke vzdálenému účtu:

The authenticity of host '111.111.11.111 (111.111.11.111)' can't be established.

ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.

Are you sure you want to continue connecting (yes/no)? yes

demo@111.111.11.111's password:

Po zadání hesla bude váš klíč zkopírován, což vám umožní přihlášení bez hesla:

# ssh username@remote_IP_host

Ruční zkopírování veřejného klíče SSH na server

Pokud nemáte k dispozici přístup SSH založený na hesle, budete muset přidat svůj veřejný klíč na vzdálený server ručně.

Na místním počítači můžete obsah souboru s veřejným klíčem zjistit zadáním následujícího příkazu:

# cat ~/.ssh/id_rsa.pub

Output

ssh- rsa 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 demo@test

Tuto hodnotu můžete zkopírovat a ručně vložit do příslušného umístění na vzdáleném serveru. Ke vzdálenému serveru se budete muset přihlásit jiným způsobem.

Na vzdáleném serveru vytvořte adresář ~/.ssh, pokud ještě neexistuje:

# mkdir -p ~/.ssh

Poté můžete vytvořit nebo doplnit soubor ~/.ssh/authorized_keys zadáním:

# echo public_key_string >> ~/.ssh/authorized_keys

Nyní byste se měli být schopni přihlásit ke vzdálenému serveru bez hesla.

Základní pokyny pro připojení

Následující část se bude zabývat některými základními informacemi o tom, jak se připojit k serveru pomocí SSH.

Připojení ke vzdálenému serveru

Chcete-li se připojit ke vzdálenému serveru a otevřít na něm relaci shellu, můžete použít příkaz ssh.

Nejjednodušší forma předpokládá, že vaše uživatelské jméno na místním počítači je stejné jako na vzdáleném serveru. Pokud je to pravda, můžete se připojit pomocí:

# ssh remote_host

Pokud je vaše uživatelské jméno na vzdáleném serveru jiné, je třeba předat jméno vzdáleného uživatele takto:

# ssh username@remote_host

Při prvním připojení k novému hostiteli se zobrazí zpráva, která vypadá takto:

The authenticity of host '111.111.11.111 (111.111.11.111)' can't be established.

ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.

Are you sure you want to continue connecting (yes/no)? yes

Zadejte yes, abyste akceptovali pravost vzdáleného hostitele.

Pokud používáte ověřování heslem, budete zde vyzváni k zadání hesla ke vzdálenému účtu. Používáte-li klíče SSH, budete vyzváni k zadání přístupové fráze soukromého klíče, pokud je nastavena, jinak budete přihlášeni automaticky.

Spuštění jednoho příkazu na vzdáleném serveru

Chcete-li na vzdáleném serveru spustit jediný příkaz namísto spuštění relace shellu, můžete příkaz přidat za informace o připojení takto:

# ssh username@remote_host  command_to_run

Tím se připojíte ke vzdálenému hostiteli, ověříte se svými přístupy a spustíte zadaný příkaz. Připojení se poté okamžitě uzavře.

Přihlášení k serveru s jiným portem

Ve výchozím nastavení běží démon SSH na serveru na portu 22. Váš klient SSH bude při pokusu o připojení předpokládat, že tomu tak je. Pokud váš server SSH naslouchá na jiném než standardním portu (to si ukážeme v další části), budete muset při připojování pomocí klienta zadat nové číslo portu.

To můžete provést zadáním čísla portu pomocí parametru -p:

# ssh -p cislo_portu username@remote_host

Abyste to nemuseli dělat při každém přihlášení ke vzdálenému serveru, můžete vytvořit nebo upravit konfigurační soubor v adresáři ~/.ssh v domovském adresáři svého místního počítače.

Soubor nyní upravte nebo vytvořte zadáním:

# nano ~/.ssh/config

Zde můžete nastavit konfigurační možnosti specifické pro hostitele. Pro zadání nového portu použijte následující formát:

~/.ssh/config

Host remote_alias
   HostName remote_host
   Port port_num

To vám umožní přihlásit se bez zadání konkrétního čísla portu na příkazovém řádku.

Přidání klíčů SSH do agenta SSH, abyste se vyhnuli zadávání přístupové fráze

Pokud máte na svém soukromém klíči SSH zadanou přístupovou frázi, budete vyzváni k jejímu zadání pokaždé, když se pomocí klíče připojíte ke vzdálenému hostiteli.

Abyste se tomuto úkonu vyhnuli opakovaně, můžete spustit agenta SSH. Tento malý nástroj uloží váš soukromý klíč po prvním zadání přístupové fráze. Bude k dispozici po celou dobu relace terminálu a umožní vám připojit se v budoucnu bez nutnosti opakovaného zadávání přístupové fráze.

To je důležité také v případě, že potřebujete předat své pověření SSH (ukážeme později).

Chcete-li spustit agenta SSH, zadejte do místní relace terminálu následující příkaz:

# eval $(ssh-agent)
Output:
Agent pid 10891

Tím se spustí program ssh-agent a umístí se na pozadí. Nyní je třeba do agenta přidat váš soukromý klíč, aby mohl spravovat váš klíč:

# ssh-add

Enter passphrase for /home/demo/.ssh/id_rsa:
Identity added: /home/demo/.ssh/id_rsa (/home/demo/.ssh/id_rsa)

Budete muset zadat svou přístupovou frázi (pokud je nastavena). Poté se váš soubor s identitou přidá do agenta, což vám umožní použít váš klíč k přihlášení, aniž byste museli znovu zadávat přístupovou frázi.

Předání pověření SSH k použití na serveru

Pokud se chcete k jednomu serveru připojit bez hesla z jiného serveru, je třeba předat informace o klíči SSH. To vám umožní ověřit se na jiném serveru prostřednictvím serveru, ke kterému jste připojeni, pomocí pověření na vašem místním počítači.

Chcete-li začít, musíte mít spuštěného agenta SSH a přidaný klíč SSH do agenta (viz dříve). Poté se musíte připojit k prvnímu serveru pomocí volby -A. Tím se předají vaše pověření serveru pro tuto relaci:

# ssh -A username@remote_host

Odtud se můžete SSH připojit k jakémukoli dalšímu hostiteli, ke kterému má váš SSH klíč oprávnění. Připojíte se, jako kdyby byl váš soukromý klíč SSH umístěn na tomto serveru.

Možnosti konfigurace na straně serveru

Tato část obsahuje některé běžné konfigurační volby na straně serveru, které mohou ovlivnit způsob, jakým váš server reaguje a jaké typy připojení jsou povoleny.

Zakázání ověřování heslem

Pokud máte klíče SSH nakonfigurovány, otestovány a správně fungují, je pravděpodobně vhodné vypnout ověřování heslem. Tím zabráníte tomu, aby se jakýkoliv uživatel přihlásil pomocí SSH s použitím hesla.

Chcete-li to provést, připojte se ke vzdálenému serveru a otevřete soubor /etc/ssh/sshd_config s právy roota nebo sudo:

# nano /etc/ssh/sshd_config

V souboru vyhledejte direktivu PasswordAuthentication. Pokud je zakomentovaná, odkomentujte ji. Nastavte ji na no, abyste zakázali přihlašování pomocí hesla:

/etc/ssh/sshd_config

PasswordAuthentication no

Po provedení změny soubor uložte a zavřete. Chcete-li změny provést okamžitě, měli byste restartovat službu SSH.

V Ubuntu/Debianu:

# systemctl restart ssh

V systémech CentOS/Fedora:

# systemctl restart sshd

Nyní se všechny účty v systému nebudou moci přihlašovat na SSH pomocí hesel.

Změna portu, na kterém běží démon SSH

Někteří správci doporučují změnit výchozí port, na kterém běží SSH. To může pomoci snížit počet pokusů o ověření, kterým je váš server vystaven ze strany automatizovaných botů.

Pozor! Pokud se rozhodnete změnit port na některém z našich serverů, tak si ztížíte budoucí pomoc od naší technické podpory. Navíc je na serveru fail2ban, který pomáhá proti brute-force útokům a po 3 špatných pokusech okamžitě IP adresu na 60 minut zablokuje. Dávejte si pozor i na změnu portu, který je povolený na firewallu. Můžete si “odříznout” přístup k serveru a bez SSH to nezměníte. Mrkněte, jak ověřit otevřené porty na Linuxu.

Chcete-li změnit port na kterém naslouchá démon SSH, musíte se přihlásit ke vzdálenému serveru. Otevřete soubor sshd_configs právy roota, a to buď přihlášením pod tímto uživatelem, nebo pomocí příkazu sudo:

# nano /etc/ssh/sshd_config

Jakmile jste uvnitř, můžete změnit port, na kterém SSH běží tak, že najdete specifikaci Port 22 a upravíte ji aby odrážela port, který chcete používat. Chcete-li například změnit port na 4444, vložte do souboru toto:

/etc/ssh/sshd_config

#Port 22
Port 4444

Po dokončení soubor uložte a zavřete. Chcete-li změny provést, musíte restartovat démona SSH.

Omezení uživatelů, kteří se mohou připojit přes SSH

Chcete-li explicitně omezit uživatelské účty které se mohou přihlásit prostřednictvím SSH, můžete použít několik různých přístupů. Každý z nich zahrnuje úpravu konfiguračního souboru démona SSH.

Na vzdáleném serveru nyní otevřete tento soubor s právy roota nebo sudo:

#nano /etc/ssh/sshd_config

První způsob určení účtů které se mohou přihlašovat, je pomocí direktivy AllowUsers. Vyhledejte v souboru direktivu AllowUsers. Pokud neexistuje, vytvořte ji kdekoliv. Za direktivou uveďte seznam uživatelských účtů, kterým má být povoleno přihlášení přes SSH:

/etc/ssh/sshd_config

AllowUsers user1 user2

Soubor uložte a zavřete. Restartujte démona, aby se provedené změny implementovaly.

Pokud se vám lépe pracuje se správou skupin, můžete místo toho použít direktivu AllowGroups. V takovém případě stačí přidat jednu skupinu, která má mít povolen přístup k SSH (tuto skupinu vytvoříme a členy přidáme za chvíli):

/etc/ssh/sshd_config

AllowGroups sshmembers

Soubor uložte a zavřete.

Nyní můžete vytvořit systémovou skupinu (bez domovského adresáře) odpovídající zadané skupině zadáním:

# groupadd -r sshmembers

Ujistěte se, že jste do této skupiny přidali všechny potřebné uživatelské účty. To provedete zadáním následujícího příkazu:

# usermod -a -G sshmembers user1

# usermod -a -G sshmembers user2

Nyní restartujte démona SSH, aby se provedené změny implementovaly.

Zakázání přihlašování roota

Po nastavení uživatelského účtu SSH s právy sudo je často vhodné přihlašování roota přes SSH zcela zakázat.

To provedeme tak, že na vzdáleném serveru otevřeme konfigurační soubor démona SSH.

# nano /etc/ssh/sshd_config

Uvnitř vyhledejte direktivu s názvem PermitRootLogin. Pokud je zakomentovaná, odkomentujte ji. Změňte hodnotu na „no“:

/etc/ssh/sshd_config 

PermitRootLogin no

Soubor uložte a zavřete. Chcete-li změny provést, restartujte démona SSH.

Zůstaňte s námi v kontaktu

Jednou za měsíc posíláme souhrn novinek. Nemusíte se bát, spam neposíláme a odhlásit se můžete kdykoliv...

Karel Dytrych
Tým Váš Hosting
Vyzkoušejte náš trial na týden zdarma

Garance 14denní záruky vrácení peněz

Vyzkoušejte server na týden zdarma

Vyzkoušet server