Hvernig á að stilla og nota SSH höfn? Skref fyrir skref

Secure Shell, eða skammstafað sem SSH, er það einn af the háþróaður tækni gagnavernd í sendingu. Notkun slíks stjórn á sama leið gerir ekki aðeins leynd yfir sendum upplýsingum, heldur einnig til að flýta skipti á pakka. Hins vegar ekki allir vita langt að opna SSH höfn, og hvers vegna allt þetta er nauðsynlegt. Í þessu tilfelli er nauðsynlegt að gefa uppbyggilega skýringu.

Port SSH: hvað er það og hvers vegna þurfum við?

Þar sem við erum að tala um öryggi, í þessu tilfelli, samkvæmt SSH höfn að skilja hollur rás í formi jarðganga, sem veitir dulkóðun gagna.

The frumstæða fyrirætlun af þessum göngum er að opið SSH-höfn er notuð til að dulkóða gögn á uppruna og decryption á endapunkt. Þetta má skýra á eftirfarandi hátt: hvort sem þér líkar það eða ekki, senda umferð, ólíkt IPSec, dulkóðuð nauðung og úttakstenginu á netið og móttakandi fær megin við innganginn. Til að afkóða upplýsingarnar sendar á þessari rás, sem hafa fengið flugstöðinni notar sérstaka takka. Með öðrum orðum, að grípa inn í að flytja eða draga úr heiðarleika sendra gagna í augnablikinu er ekki hægt að án takka.

Bara að opna SSH-tengi á hvaða leið eða með því að nota viðeigandi stillingum frekari viðskiptavinar samskipti beint við SSH-miðlara, leyfa þér að fullu að nota alla eiginleika nútíma kerfum net öryggi. Við erum hér um hvernig á að nota tengi sem er úthlutað sjálfgefið eða sérsniðnar stillingar. Þessir þættir í umsókn gæti litið erfitt, en án þess að skilja skipulag slík tenging er ekki nóg.

Standard SSH höfn

Ef reyndar byggist á breytum einhverju leið ætti fyrst að ákvarða röð, hvers konar hugbúnað verður notað til að virkja þennan tengil. Í staðreynd, the vanræksla SSH höfn getur haft mismunandi stillingar. Allt veltur á hvaða aðferð er notuð í augnablikinu (beinni tengingu við miðlara, setja upp viðbótar viðskiptavinur höfn áfram og svo framvegis. D.).

Til dæmis, ef viðskiptavinur er notað Jabber, fyrir rétt tengingar, dulkóðun, og flytja gögn höfn 443 er að nota, þótt útfærslan er sett í venjulegu höfn 22.

Til að endurstilla á leið til úthlutunar fyrir tiltekið forrit eða vinna nauðsynleg skilyrði hafa til að framkvæma Port Áframsending SSH. Hvað er það? Það er tilgangur tiltekinni aðgang að einum forrit sem notar Internet tengingu, burtséð frá því hvaða stilling er núverandi siðareglur skiptast gögn (IPv4 eða IPv6).

tæknileg rök

Standard SSH höfn 22 er ekki alltaf notað eins og það var þegar ljóst. Hins vegar, hér er það nauðsynlegt að úthluta nokkur einkenni og stillingar notuð á skipulag.

Hvers vegna dulkóðuð gögn trúnað siðareglur felur í sér notkun á SSH sem eingöngu ytra (Guest) notandi tengi? En aðeins vegna þess göng er beitt og það gerir notkun á svokölluðum ytri skel (ssh) til að fá aðgang að flugstöðinni stjórnun gegnum fjarlægur tenging (slogin), og beita ytri eintak aðferð (SCP).

Að auki, SSH-höfn er hægt að virkja í þeim tilvikum þegar notandi er nauðsynlegt að framkvæma ytra forskriftir X Windows, sem í einföldustu tilvikum er miðlun upplýsinga frá einni vél til annars, eins og hefur verið sagt, með afl gögn dulkóðun. Í slíkum tilfellum, mest þörf mun nota byggt á AES reiknirit. Þetta er samhverft dulkóðun reiknirit, sem var upphaflega veitt í SSH tækni. Og nota það ekki aðeins mögulegt heldur nauðsynlegt.

Saga framkvæmd

The tækni hefur komið í langan tíma. Leyfðu okkur að fara til hliðar spurninguna um hvernig á að gera kökukrem SSH höfn, og leggja áherslu á hvernig það virkar.

Venjulega kemur það niður á, að nota proxy á grundvelli Sokkar eða nota VPN göng. Ef sumir hugbúnaður umsókn er hægt að vinna með VPN, betra að velja þennan valkost. Sú staðreynd að nánast öll þekkt forrit dag nota internetið umferð, VPN getur unnið, en ekkert venja uppsetningu er ekki. Þetta, eins og í tilviki umboð framreiðslumaður, leyfa að yfirgefa ytri veffang stöðvarinnar þaðan sem nú er framleitt í framleiðslu net, óþekkt. Það er málið með proxy tölu er alltaf að breytast, og VPN útgáfu óbreytt með þráhyggju ákveðnu svæði, en því þar sem það er bann við aðgangi.

Mjög sama tækni sem býður upp á SSH höfn, var þróuð árið 1995 í University of Technology í Finnlandi (SSH-1). Árið 1996, hafa úrbætur verið bætt í formi SSH-2 siðareglur, sem var alveg útbreidd í kjölfar Soviet rúm, þó að þetta, eins og heilbrigður eins og í sumum löndum Vestur-Evrópu, það er stundum nauðsynlegt að fá leyfi til að nota þetta göng, og frá ríkisstofnana.

Helstu kostur á að opna SSH-tengi, öfugt við Telnet eða rlogin, er að nota stafræna undirskrift RSA eða DSA (notkun a par af opnum og grafinn lykill). Ennfremur, í þessu ástandi er hægt að nota svokallaða fundur lykill byggir á Diffie-Hellman reiknirit, sem felur í sér notkun samhverft dulkóðun framleiðsla, þó ekki í veg fyrir notkun á ósamhverfum reiknirit dulkóðun meðan gagnaflutninga og móttöku af öðru vél.

Netþjónum og skel

Á Windows eða Linux SSH-höfn Open er ekki svo erfitt. Eina spurningin er, hvers konar verkfæri í þessu skyni verða notuð.

Í þessum skilningi er nauðsynlegt að borga eftirtekt til útgáfu sendingu upplýsinga og staðfesting. Í fyrsta lagi, siðareglur sjálft er nægilega varin með svokölluðum sjúga, sem er mest venjulega "wiretapping" af umferð. SSH-1 reyndist vera viðkvæmt fyrir árás. Truflunum í því ferli að flytja gögn í formi fyrirætlun af "manni í miðju" átti niðurstöður hennar. Upplýsingar gætu einfaldlega stöðva og ráða alveg grunnskóla. En seinni útgáfa (SSH-2) hefur verið ónæmur þessu tagi inngrip, þekktur sem fundur ræna, þökk sé hvað er vinsæll.

bans öryggi

Eins og fyrir öryggi að því er varðar send og móttekin gögn, skipulag tenginga komið við notkun slíkrar tækni gerir forðast eftirfarandi vandamál:

• Auðkenni lykillinn að gestgjafi á sendingu skref, þegar "skyndimynd» fingrafar;
• Stuðningur fyrir Windows og UNIX-eins kerfi;
• skipting á IP og Nafnaþjónustur (skopstæling);
• hlerun opið lykilorð með líkamlega aðgang að gögnum rás.

Raunverulega, the heild skipulag slíks kerfis er byggð á þeirri grundvallarreglu að "viðskiptavinur-framreiðslumaður", það er, fyrst af öllu tölvu notandans í gegnum sérstakt forrit eða bæta við-í símtöl til miðlara, sem framleiðir samsvarandi utanáskrift.

göng

Það fer án þess að segja að framkvæmd tengingu af þessu tagi í sérstöku ökumaður verður að vera uppsett á kerfinu.

Venjulega, í Gluggakista-undirstaða kerfi er byggt inn í forritið skel ökumaður Microsoft Teredo, sem er eins konar raunverulegur kappgirni hætti IPv6 í net styðja IPv4 eingöngu. Tunnel sjálfgefið millistykki er virk. Komi bilun í tengslum við það, getur þú bara að gera kerfið endurræsa eða framkvæma lokun og endurræsa skipanir frá stjórn vélinni. Til að slökkva á slíkar línur eru notaðar:

• netsh;
• Viðmótið teredo sett ástand óvirk;
• Viðmótið isatap setja ástand óvirk.

Eftir því að slá inn skipunina ættir að endurræsa. Til að virkja millistykkið og athuga stöðu öryrkja í stað þess virkt skráir leyfi, eftir það, aftur, ætti að endurræsa allt kerfið.

SSH-miðlara

Nú skulum sjá hvernig SSH tengi er notað sem kjarna, frá kerfinu "viðskiptavinur-framreiðslumaður". Sjálfgefið er yfirleitt beitt í 22 mínútur höfn, en eins og getið er hér að ofan, er hægt að nota og 443. Eina spurningin í val á þjóninum sjálfum.

Algengustu SSH-netþjónum eru talin vera eftirfarandi:

• fyrir Windows: Tectia SSH Server, Opinn og Cygwin, MobaSSH, KpyM Telnet / SSH miðlara, WinSSHD, copssh, freeSSHd;
• fyrir FreeBSD: OpenSSH;
• fyrir Linux: Tectia SSH miðlara, SSH, Opinn-miðlara, LSH-miðlara, dropbear.

Allar netþjónum eru ókeypis. Hins vegar getur þú fundið og greiða þjónustu sem veita enn meiri magn af öryggi, sem er nauðsynlegt fyrir skipulag net aðgang og öryggi upplýsinga í fyrirtækjum. Kostnaður við slíka þjónustu er ekki rætt. En almennt má segja að það sé tiltölulega ódýrt, jafnvel í samanburði við uppsetningu á sérstökum hugbúnaði eða "vélbúnaði" eldvegg.

SSH-client

Breyting SSH höfn er hægt að gera á grundvelli viðskiptavinur program eða viðeigandi stillingar þegar tengi áfram á leið.

Hins vegar, ef þú snertir viðskiptavinur skel, eftirfarandi hugbúnað er hægt að nota í ýmsum kerfum:

• Windows - SecureCRT, kítti \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux og BSD: LSH-client, kdessh, Opinn-client, Vinagre, kítti.

Auðkenning er byggt á opinber lykill, og breyta höfn

Nú nokkur orð um það hvernig netið og setja upp miðlara. Í einföldustu tilvikum, verður þú að nota stillingaskrá (sshd_config). Hins vegar getur þú gert án þess, til dæmis, í tilviki programs svo sem eins kítti. Breyting SSH höfn frá sjálfgefið gildi (22) við öðrum er alveg grunnskólabörn.

The aðalæð hlutur - að opna gátt fari ekki yfir verðmæti 65535 (hærri hafnir einfaldlega ekki fyrir hendi í náttúrunni). Auk þess ætti að borga eftirtekt til sumir opna port sjálfgefið, sem hægt er að nota við viðskiptavini eins og MySQL eða FTPD gagnagrunna. Ef þú tilgreinir þá fyrir SSH stillingar, auðvitað, hætta þeir bara að vinna.

Það er athyglisvert að á sama Jabber viðskiptavinurinn verður að vera í gangi í sama umhverfi með SSH-miðlara, til dæmis, á a raunverulegur vél. Og flestir miðlara localhost verður að úthluta gildi til 4430 (í stað 443, eins og getið er hér að ofan). Þessi stelling er hægt að nota þegar aðgangur að helstu skrá jabber.example.com læst með eldvegg.

Á hinn bóginn, flytja höfn getur verið á leið að nota stillingar tengi við stofnun undanþágur frá reglum. Í flestum gerðum inntak í gegnum inntak heimilisföng hefst með 192.168 bætt með 0.1 eða 1.1, en beinar sameina getu ADSL-mótald eins Mikrotik, enda netfang felur í sér notkun 88.1.

Í þessu tilviki, að búa til nýja reglu, þá setja nauðsynlegar breytur, til dæmis, til að setja upp ytri tengingu DST-NAT, auk höndunum og mælt hafnir eru ekki undir almennar stillingar og í kaflanum um aktívisma óskir (Action). Ekkert of flókið hér. The aðalæð hlutur - að tilgreina nauðsynlegar gildum stillingar og setja rétta höfn. Sjálfgefið, er hægt að nota tengi 22, en ef viðskiptavinur notar sérstakt (sumir hér að ofan fyrir mismunandi kerfum), gildi er hægt að breyta eftir geðþótta, en aðeins til þess að þessi stilling fari ekki yfir uppgefnu gildi, ofan sem höfn tölur eru einfaldlega ekki í boði.

Þegar þú setur upp tengingar ættu einnig að borga eftirtekt til the breytur viðskiptavinur program. Það má vel vera að í stillingum sínum að tilgreina lágmarks lengd lykilsins (512), þótt sjálfgefið er yfirleitt stillt 768. Einnig er æskilegt að stilla tími til að skrá þig inn á til the láréttur flötur af 600 sekúndum og fjarlægur aðgangur leyfi með rót réttindi. Eftir að sækja þessar stillingar, þú þarft einnig að leyfa notkun allra auðkenna réttinda önnur en þau byggjast á notkun .rhost (en það er nauðsynlegt aðeins að kerfisstjóra).

Meðal annars ef notandanafn skráð í kerfinu, ekki það sama og kynnt í augnablikinu, það verður að tilgreina sérstaklega að nota notandi ssh húsbóndi stjórn með tilkomu fleiri breytur (fyrir þá sem skilja hvað er í húfi).

Team ~ / .ssh / id_dsa geta vera notaður fyrir umbreytingu á takkann og brengla aðferð (eða RSA). Til að búa til dreifilykil notuð af ummyndun með línuna ~ / .ssh / identity.pub (en ekki endilega). En, eins og sést æfa, auðveldasta leiðin til að nota skipanir eins ssh-keygen. Hér kjarninn í útgáfu minnkar aðeins til þess, að bæta lykillinn að fyrirliggjandi sannprófun verkfæri (~ / .ssh / authorized_keys).

En við höfum gengið of langt. Ef þú ferð aftur í stillingar höfn SSH mál, sem hefur verið greinileg breyting SSH gátt er ekki svo erfitt. Hins vegar, í sumum tilvikum, þeir segja, verður að svitna, því þarf að taka tillit til allra gildi helstu breytum. The hvíla af the stelling málið snýst um að dyrum hvers miðlara eða biðlara keyrsluskránni (ef það er í boði í upphafi), eða til að nota höfn áfram á leið. En jafnvel ef breyting hafnar 22, sjálfgefið, að sama 443rd, ætti að vera greinilega skilið að slíkt kerfi er ekki alltaf að vinna, en aðeins að því er varðar að setja sömu viðbótina í Jabber (önnur hliðstæður er hægt að virkja og viðkomandi hafnir þeirra, það er mismunandi frá venjulegu). Að auki sérstaka athygli skal gefa breytu stilling SSH-viðskiptavinur, sem mun hafa bein samskipti við SSH-miðlara, ef það er í raun ætlast til að nota núverandi tengingu.

Eins og fyrir the hvíla, ef höfn áfram er ekki veitt í upphafi (þó það sé æskilegt að framkvæma slíkar aðgerðir), stillingar og valkosti fyrir aðgang í gegnum SSH, þú getur ekki breytt. Einhver vandamál þegar þú býrð á tengingu og frekari notkun þess, almennt, er ekki gert ráð fyrir (nema, auðvitað, mun ekki nota með höndunum stilla stillingamiðlarann-undirstaða og viðskiptavinur). Algengustu undantekningar sköpun reglna um leið er hægt að leiðrétta nein vandamál eða koma í veg fyrir þau.