Kiel agordi kaj uzi SSH haveno? Paŝo post paŝo gvidas

Secure Shell, aŭ mallongigita kiel SSH, ĝi estas unu el la plej progresinta datumoj protekto teknologioj en la transdono. La uzo de tia reĝimo en la sama enkursigilo permesas ne nur la confidencialidad de transdonitaj informoj, sed ankaŭ akceli la interŝanĝon de pakoj. Tamen, ne ĉiuj scias kiom por malfermi la SSH haveno, kaj kial ĉio tio estas necesa. En ĉi tiu kazo oni devas doni konstrua klarigo.

Port SSH: kio estas ĝi kaj kial ni bezonas?

Ĉar ni parolas pri sekureco, en ĉi tiu kazo, sub la SSH haveno kompreneblan kanalo dediĉita en la formo de tunelo, kiu provizas datumoj ĉifrado.

La plej primitiva skemo de ĉi tiu tunelo estas tiu malfermita SSH-haveno estas la defaŭlta por ĉifri datumojn ĉe la fonto kaj malĉifro sur la fina punkto. Ĉi tio povas klarigi tiel: ĉu vi ŝatas ĝin aŭ ne, transdonitaj trafikon, malkiel la IPsec, ĉifrita pro neceseco kaj la produktadon fina stacio de la reto, kaj sur la ricevanta flanko de la enirejo. Por deĉifri la informojn transdonitaj en ĉi tiu kanalo, la ricevi terminalo uzas specialan ŝlosilon. Alivorte, por interveni en la kopio aŭ kompromisi la integrecon de la datumoj transdonitaj nuntempe unu ne povas sen ŝlosilo.

Nur malfermi SSH-haveno sur ajna enkursigilo aŭ uzante la konvenan kadretojn aldonan kliento interagas rekte kun la SSH-servilo, permesas plene uzi ĉiujn funkciojn de moderna reto sekureco sistemoj. Ni estas ĉi tie sur kiel uzi havenon kiu atribuas defaŭlte aŭ kutimo agordojn. Ĉi tiuj parametroj en la apliko povus rigardi malfacila, sed sen kompreno de la organizo de tia ligo ne sufiĉas.

Norma SSH haveno

Se ja surbaze de la parametroj de ĉiu de la router devus unue determini la ordon, kia programaro estos uzata por aktivigi tiun ligilon. Fakte, la defaŭlta SSH haveno povas havi malsamajn agordojn. Ĉio dependas de kion metodo estas uzata en la momento (rekta ligo al la servilo, instali aldonan kliento haveno forwarding ktp. D.).

Ekzemple, se la kliento uzita Jabber, por korekta ligojn, kodita, kaj transporto de datumoj haveno 443 estas uzata, kvankam la personigo estas metita en la norma haveno 22.

Rekomencigi la enkursigilo al la atribuo por aparta programo aŭ procezi la necesajn kondiĉojn devas plenumi haveno forwarding SSH. Kio estas? Estas la celo apartan aliron al sola programo kiu uzas Interretan konekton, sendistinge de kion agordo estas aktuala protokolo interŝanĝo datumoj (IPv4 aŭ IPv6).

teknika pravigo

Norma SSH haveno 22 ne estas ĉiam uzata kiel estis jam klara. Tamen, ĉi tie necesas atribui kelkaj el la karakterizaĵoj kaj agordoj uzataj dum agordo.

Kial ĉifrita datumoj konfidencecon protokolo implikas la uzon de SSH kiel pure ekstera (gasto) uzanto haveno? Sed nur ĉar tunelado estas aplikita ĝi permesas la uzon de tn foran ŝelon (SSH), por akiri aliron al la fina stacio mastrumado tra fora ensaluto (slogin), kaj apliki la fora kopion procedo (scp).

Krome, SSH-haveno povas esti aktivigita en la kazo kie la uzanto estas necese ekzekuti fora skriptoj X Vindozo, kiu en la plej simpla kazo estas transigo de informoj de unu maŝino al alia, kiel dirite, dum deviga datumoj ĉifrado. En tiaj situacioj, la plej necesa uzos surbaze de la AES algoritmo. Jen simetria ĉifro algoritmo, kiu estis origine provizitaj en SSH teknologio. Kaj uzas ĝin ne nur ebla sed necesa.

Historio de la konscio

La teknologio aperis dum longa tempo. Ni lasu flanken la demandon de kiel fari ĉerizo SSH haveno, kaj enfokusigi pri kiel ĉion verkoj.

Kutime ĝi venas malsupren al, uzi proxy surbaze de Ŝtrumpetoj aŭ uzi VPN tunelado. En kazo iu programaro aplikaĵo povas labori kun VPN, pli bone elekti la opcion. La fakto ke preskaŭ ĉiuj konataj programoj hodiaŭ uzas la interreto trafiko, la VPN povas labori, sed facile routing agordo ne estas. Ĉi tio, kiel en la kazo de la prokura serviloj, permesas forlasi la eksterajn adreso de la terminalo de kiu la nuntempe produktitaj en la produktado reto, nerekonita. Tiu estas la kazo kun la prokura adreso estas ĉiam ŝanĝas, kaj VPN versio restas neŝanĝita per la fijación de certa regiono, alia ol tiu, kie estas malpermeso de aliro.

La saman teknologion kiu proponas SSH haveno, estis disvolvita en 1995 en la Universitato de Teknologio en Finnlando (SSH-1). En 1996, plibonigoj estis aldonitaj en la formo de SSH-2 protokolon, kiu estis tute disvastigita en la post-sovetia spaco, kvankam por tio, kaj ankaŭ en kelkaj landoj de Okcidenta Eŭropo, estas foje necese akiri permeson uzi tiun tunelon, kaj de registaraj agentejoj.

La ĉefa avantaĝo de malfermanta SSH-haveno, kontraste al telnet aŭ rlogin, estas la uzo de la ciferecaj subskriboj RSA aŭ DSA (la uzo de paro de malfermaj kaj enterigis ŝlosilo). Krome, en tiu situacio oni povas uzi tiel nomata sesio ŝlosilo surbaze Diffie-Hellman algoritmo, kiu implikas la uzon de simetria ĉifrado produktadon, kvankam ne obstaklas la uzo de nesimetria ĉifrado algoritmoj dum datumoj transdono kaj ricevo de alia maŝino.

Serviloj kaj ŝelo

En Vindozo aŭ Linukso SSH-haveno malfermita ne estas tiel malfacila. La sola demando estas, kia iloj por tiu celo estos uzata.

En ĉi tiu senso oni devas pagi atenton al la temo de informoj transdono kaj aŭtentokontrolo. Unue, la protokolo mem estas sufiĉe protektita de la tiel nomata flaris kiu estas la plej kutima "wiretapping" de trafiko. SSH-1 montriĝis vundebla al atakoj. Enmiksiĝo en la procezo de transferir datumoj en la formo de skemo de "viro en la mezo" havis lian rezultoj. Informo povus simple kapti kaj deĉifri tute elementa. Sed la dua versio (SSH-2) estis imunaj al ĉi tiu speco de interveno, nomata sesio kidnapo, danke al kio estas plej populara.

malpermesas sekureco

Koncerne la sekureco en respekto de la elsenditaj kaj ricevitaj datumoj, la organizo de ligoj establitaj kun la uzo de tia teknologio permesas eviti la sekvajn problemojn:

• identigo ŝlosilo al la gastiganto ĉe la transdono paŝo, kiam "momentfoton» fingrospuro;
• Subteno por Vindozo kaj Unikso-similaj sistemoj;
• anstataŭigo de IP kaj DNS-adresoj (falsigon);
• interkapti malfermita pasvorton kun fizika aliro al la datumoj kanalo.

Efektive, la tuta organizo de tia sistemo estas konstruita sur la principo de "kliento-servilo", tio estas, antaŭ ĉio la uzanto komputilo tra speciala programo aŭ aldoni-en alvokoj al la servilo, kiu produktas respondan redirección.

tunelado

Memkompreneblas, ke la efektivigo de la ligo de ĉi tiu speco en speciala ŝoforo devas esti instalita sur la sistemo.

Tipe, en Windows bazita sistemojn estas konstruita en la programo ŝelo ŝoforo Microsoft Teredo, kiu estas speco de virtuala emulación per IPv6 en retoj apogas IPv4 nur. Tunelo defaŭlta adaptador estas aktiva. En la evento de malsukceso asociita kun ĝi, vi povas simple fari sistemon rekomenco aŭ plenumi sistemfermon kaj rekomenci komandojn de la komando konzolo. Malaktivigi tiaj linioj estas uzataj:

• netsh;
• interfaco teredo aro stato malebligita;
• interfaco isatap starigis stato malebligita.

Post eniri en la ordono devus rekomenci. Re-ebligi la adaptador kaj kontroli la staton de handikapita anstataŭ la ebligis registroj permesilon, post kiuj, denove, devas rekomenci la tutan sistemon.

SSH-servilo

Nun ni vidu kiel la SSH haveno estas uzita kiel la kerna, komencante de la skemo "kliento-servilo". La defaŭlta estas kutime aplikita 22 minutoj haveno, sed, kiel menciita supre, povas esti uzata kaj la 443rd. La sola demando en la prefero de la servilo mem.

La plej ofta SSH-serviloj estas konsiderita esti la jenaj:

• por Vindozo: Tectia SSH Server, OpenSSH kun Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• por FreeBSD: OpenSSH;
• por Linukso: Tectia SSH Server, ssh, openssh-servilo, lsh-servilo, dropbear.

Ĉiuj serviloj estas liberaj. Tamen, vi povas trovi kaj pagitaj servoj kiuj provizas eĉ pli granda nivelo de sekureco, kiu estas esenca por la organizo de reto aliro kaj informo sekureco en entreprenoj. La kosto de tiaj servoj ne diskutas. Sed ĝenerale ni povas diri, ke ĝi estas relative malmultekosta, eĉ kompare kun la instalado de specialaj programaro aŭ "aparataro" firewall.

SSH-kliento

Ŝanĝo SSH haveno povas esti farita surbaze de la kliento programo aŭ la taŭgajn agordojn kiam haveno forwarding sur via router.

Tamen, se vi tuŝu la kliento ŝelo, la sekvan programaron produktoj povas esti uzata por diversaj sistemoj:

• Vindozo - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD ktp.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linukso kaj BSD: lsh-kliento, kdessh, openssh-kliento, Vinagro, mastiko.

Authentication baziĝas sur la publika ŝlosilo, kaj ŝanĝi la havenon

Nun kelkajn vortojn pri kiel la konfirmo kaj ekfunkciigi servilo. En la plej simpla kazo, vi devas uzi agorda dosiero (sshd_config). Tamen, vi povas fari sen ĝi, ekzemple, en la kazo de programoj kiel ekzemple PuTTY. Ŝanĝo SSH haveno de la defaŭlta valoro (22) por iu ajn alia estas tute elementa.

La ĉefa afero - por malfermi havenon nombro ne superas la valoron de 65535 (pli alta havenoj simple ne ekzistas en naturo). Krome, devus pagi atenton al kelkaj malfermaj havenoj defaŭlte, kiu povas esti uzita de klientoj kiel MySQL aŭ FTPD datumbazoj. Se vi donas ilin por SSH agordo, kompreneble, ili nur ĉesas funkcii.

Estas notinde, ke la sama Jabber kliento devas esti kurante en la sama medio uzante SSH-servilo, ekzemple, sur virtuala maŝino. Kaj plej servilo localhost bezonos atribui valoron al 4430 (anstataŭ 443, kiel menciis pli supre). Ĉi tiu agordo povas esti uzata kiam aliro al la ĉefa dosiero jabber.example.com blokita de la firewall.

Aliflanke, la transigo havenoj povas esti sur la enkursigilo uzante la agordo de lia interfaco kun la kreo de esceptoj al la reguloj. En plej modeloj enigo per enigo adresoj komencante kun 192,168 suplementu kun 0.1 aŭ 1.1, sed routers kombinado kapabloj ADSL-modemoj kiel Mikrotik, fino Adreso implikas la uzon de 88.1.

En ĉi tiu kazo, krei novan regulon, tiam starigis la necesajn parametrojn, ekzemple, instali la eksteran ligon dst-nat, kaj ankaŭ permane preskribi havenoj estas ne sub la ĝenerala agordojn kaj en la sekcio de Aktivismo preferoj (Ago). Nenio tro komplikita tie. La ĉefa afero - por specifi la postulata valoroj de agordojn kaj starigis la ĝustan havenon. Defaŭlte, vi povas uzi havenon 22, sed se la kliento uzas specialan (kelkaj el la supre por diversaj sistemoj), la valoro povas esti ŝanĝita arbitre, sed nur por ke ĉi tiu parametro ne superas la deklarita valoro, super kiu haveno nombroj estas simple ne havebla.

Kiam vi starigis ligojn ankaŭ devus pagi atenton al la parametroj de la kliento programo. Ĝi povas bone esti ke en lia agordojn devas doni la minimuma longo de la ŝlosilo (512), kvankam la defaŭlta estas kutime metita 768. Estas ankaŭ dezirinda por agordi la tempolimo por ensaluti al la nivelo de 600 sekundoj kaj la fora aliro permeson kun radiko rajtoj. Post apliki ĉi tiujn agordojn, vi devas ankaŭ permesas la uzon de ĉiuj autenticación rajtoj, aliaj ol tiuj bazitaj sur la uzo .rhost (sed estas necesa nur por sistemo administrantoj).

Interalie, se la uzantonomo registrita en la sistemo, ne la sama kiel prezentita en la momento, ĝi devas esti precizigita eksplicite uzante la uzanto ssh mastro komando kun la enkonduko de pliaj parametroj (por tiuj kiuj komprenas kion estas en ludo).

Teamo ~ / .ssh / id_dsa povas esti uzata por transformo de la ŝlosilo kaj la ĉifrada metodo (aŭ RSA). Por krei publikan ŝlosilon uzita de la konvertiĝo uzanta la linio ~ / .ssh / identity.pub (sed ne nepre). Sed, kiel praktiko montras, la plej facila maniero por uzi komandojn kiel ssh-keygen. Tie la esenco de la afero estas reduktita nur al la fakto, aldoni la ŝlosilo al la disponeblaj autenticación iloj (~ / .ssh / authorized_keys).

Sed ni jam iris tro malproksimen. Se vi iras al la haveno agordojn SSH afero, kiel estis klara ŝanĝo SSH haveno ne estas tiel malfacila. Tamen, en iuj situacioj, ili diras, devos ŝviti pro la neceso konsideri ĉiuj valoroj de ŝlosilo parametroj. La cetera agordo temon bolas malsupren al la enirejo de iu servilo aŭ kliento programo (se ĝi estas provizita komence), aŭ uzi haveno forwarding sur la router. Sed eĉ en kazo de ŝanĝo de la haveno 22, la defaŭlta por la sama 443rd, devus esti klare komprenis, ke tia skemo ne ĉiam funkcias, sed nur en la kazo de instali la saman aldoni-en Jabber (aliaj analogaj povas aktivigi kaj iliaj respektivaj havenoj, Ĝi diferencas de la norma). Krome, speciala atento devas esti donata parametron subiranta SSH-kliento, kiu rekte interagi kun la SSH-servilo, se ĝi estas vere supozis uzi la aktualan rilaton.

Kiel por la resto, se la haveno forwarding ne provizita komence (kvankam ĝi estas dezirinda por efektivigi tiajn agojn), agordojn kaj ebloj por aliro per SSH, vi ne povas ŝanĝi. Ekzistas problemoj kiam kreante ligon, kaj ĝia plua uzado, ĝenerale, ĝi ne atendas (krom se, kompreneble, ne estos uzata permane agordi la agordo servilo-bazita kaj kliento). La plej komunaj esceptoj al la kreo de reguloj sur la enkursigilo permesas vin korekti problemojn aŭ eviti ilin.