Πώς να ρυθμίσετε και να χρησιμοποιούν τη θύρα SSH; Βήμα προς βήμα οδηγό

Secure Shell, ή χάριν συντομίας SSH, είναι μια από τις πιο προηγμένες τεχνολογίες προστασίας των δεδομένων κατά τη μετάδοση. Η χρήση ενός τέτοιου καθεστώτος για το ίδιο router επιτρέπει όχι μόνο την εμπιστευτικότητα των μεταδιδόμενων πληροφοριών, αλλά και να επιταχύνει την ανταλλαγή πακέτων. Ωστόσο, δεν είναι όλοι γνωρίζουν πολύ ώστε να ανοίξει η θύρα SSH, και γιατί όλα αυτά είναι απαραίτητο. Σε αυτή την περίπτωση, είναι αναγκαίο να δοθεί μια εποικοδομητική εξήγηση.

Λιμάνι SSH: τι είναι και γιατί χρειαζόμαστε;

Δεδομένου ότι μιλάμε για ασφάλεια, στην περίπτωση αυτή, σύμφωνα με τη θύρα SSH να γίνει κατανοητό αποκλειστικό κανάλι με τη μορφή μιας σήραγγας, η οποία παρέχει κρυπτογράφηση δεδομένων.

Το πιο πρωτόγονο σύστημα αυτής της σήραγγας είναι ότι μια ανοιχτή SSH-θύρα χρησιμοποιείται από προεπιλογή για την κρυπτογράφηση των δεδομένων στην πηγή και αποκρυπτογράφησης για το τελικό σημείο. Αυτό μπορεί να εξηγηθεί ως εξής: είτε σας αρέσει είτε όχι, μεταδίδεται κίνηση, σε αντίθεση με το IPSec, κρυπτογραφημένα κάτω από εξαναγκασμό και τον ακροδέκτη εξόδου του δικτύου, και από την πλευρά της υποδοχής της εισόδου. Για να αποκρυπτογραφήσει τις πληροφορίες που διαβιβάζονται σε αυτό το κανάλι, το τερματικό λαμβάνει χρησιμοποιεί ένα ειδικό κλειδί. Με άλλα λόγια, να παρεμβαίνει στη μεταφορά ή θέτουν σε κίνδυνο την ακεραιότητα των μεταδιδόμενων δεδομένων αυτή τη στιγμή δεν μπορεί κανείς να χωρίς κλειδί.

Απλά το άνοιγμα SSH-θύρα σε κάθε δρομολογητή ή χρησιμοποιώντας τις κατάλληλες ρυθμίσεις των πρόσθετων πελάτη αλληλεπιδρά άμεσα με το SSH-server, σας επιτρέπει να χρησιμοποιήσετε πλήρως όλες τις δυνατότητες των σύγχρονων συστημάτων ασφάλειας του δικτύου. Είμαστε εδώ για το πώς να χρησιμοποιήσετε μια θύρα που έχει εκχωρηθεί από προεπιλογή ή προσαρμοσμένες ρυθμίσεις. Αυτές οι παράμετροι της εφαρμογής μπορεί να μοιάζει δύσκολο, αλλά χωρίς την κατανόηση της οργάνωσης μιας τέτοιας σύνδεσης δεν είναι αρκετό.

Τυπική θύρα SSH

Αν, μάλιστα, με βάση τις παραμέτρους της κάθε του δρομολογητή θα πρέπει πρώτα να καθορίσει τη σειρά, τι είδους λογισμικό θα πρέπει να χρησιμοποιείται για την ενεργοποίηση αυτής της σύνδεσης. Στην πραγματικότητα, η προεπιλεγμένη θύρα SSH μπορεί να έχει διαφορετικές ρυθμίσεις. Τα πάντα εξαρτώνται από τη μέθοδο που χρησιμοποιείται αυτή τη στιγμή (απευθείας σύνδεση με το διακομιστή, εγκατάσταση πρόσθετων προώθηση των θυρών πελάτη και ούτω καθεξής. Δ).

Για παράδειγμα, εάν ο πελάτης που χρησιμοποιείται Jabber, για σωστές συνδέσεις, κρυπτογράφηση, και θυρίδα μεταφοράς δεδομένων 443 πρόκειται να χρησιμοποιηθεί, αν και η πραγματοποίηση βρίσκεται στην τυπική θύρα 22.

Για να επαναφέρετε το δρομολογητή με την κατανομή για ένα συγκεκριμένο πρόγραμμα ή να επεξεργαστεί τις αναγκαίες προϋποθέσεις πρέπει να εκτελέσει το λιμάνι προώθηση SSH. Τι είναι αυτό; Είναι ο σκοπός της συγκεκριμένης πρόσβασης σε ένα μοναδικό πρόγραμμα που χρησιμοποιεί μια σύνδεση στο Internet, ανεξάρτητα από το ποια ρύθμιση είναι η τρέχουσα ισοτιμία πρωτόκολλο δεδομένων (IPv4 ή IPv6).

τεχνική αιτιολόγηση

Τυπική θύρα SSH 22 δεν χρησιμοποιείται πάντα όπως ήταν ήδη σαφές. Ωστόσο, εδώ είναι απαραίτητο να διαθέσει μερικά από τα χαρακτηριστικά και τις ρυθμίσεις που χρησιμοποιούνται κατά τη διάρκεια της εγκατάστασης.

Γιατί κρυπτογραφημένο πρωτόκολλο το απόρρητο των δεδομένων περιλαμβάνει τη χρήση του SSH ως καθαρά εξωτερικά (επισκέπτης) θύρα χρήστη; Αλλά μόνο και μόνο επειδή η διάνοιξη σηράγγων εφαρμόζεται επιτρέπει τη χρήση το λεγόμενο απομακρυσμένο κέλυφος (SSH), για να αποκτήσετε πρόσβαση στο τερματικό διαχείρισης μέσω απομακρυσμένης σύνδεσης (slogin), και εφαρμόζει τη διαδικασία απομακρυσμένη αντιγραφή (SCP).

Επιπλέον, SSH-θύρα μπορεί να ενεργοποιηθεί σε περίπτωση που ο χρήστης είναι απαραίτητα για την εκτέλεση απομακρυσμένου σενάρια X Windows, η οποία στην απλούστερη περίπτωση είναι η μεταφορά των πληροφοριών από το ένα μηχάνημα στο άλλο, όπως έχει ειπωθεί, με αναγκαστική κρυπτογράφηση δεδομένων. Σε τέτοιες περιπτώσεις, η πιο απαραίτητη θα χρησιμοποιούν με βάση τον αλγόριθμο AES. Αυτό είναι ένα συμμετρικό αλγόριθμο κρυπτογράφησης, η οποία προβλεπόταν αρχικά στην τεχνολογία SSH. Και να το χρησιμοποιήσετε όχι μόνο δυνατή αλλά και απαραίτητη.

Ιστορία της υλοποίησης

Η τεχνολογία έχει εμφανιστεί εδώ και πολύ καιρό. Ας αφήσουμε κατά μέρος το ζήτημα του πώς να κάνει το λιμάνι κερασάκι SSH, και να επικεντρωθεί στο πώς λειτουργούν όλα.

Συνήθως έρχεται, για να χρησιμοποιήσετε ένα πληρεξούσιο με βάση Κάλτσες ή τη χρήση VPN tunneling. Σε περίπτωση που κάποια εφαρμογή λογισμικού μπορεί να λειτουργήσει με VPN, καλύτερα να επιλέξετε αυτή την επιλογή. Το γεγονός ότι χρησιμοποιούν σχεδόν όλα τα γνωστά προγράμματα σήμερα την κυκλοφορία του Διαδικτύου, το VPN μπορεί να λειτουργήσει, αλλά εύκολα δρομολόγησης διαμόρφωση δεν είναι. Αυτό, όπως και στην περίπτωση των διακομιστών μεσολάβησης, σας επιτρέπει να αποχωρήσει από την εξωτερική διεύθυνση του τερματικού από το οποίο η στιγμή που παράγεται στο δίκτυο παραγωγής, παραγνωρισμένος. Αυτή είναι η περίπτωση με τη διεύθυνση μεσολάβησης αλλάζει πάντα, και VPN έκδοση παραμένει αμετάβλητη με την καθήλωση μιας συγκεκριμένης περιοχής, διαφορετικό από εκείνο όπου υπάρχει απαγόρευση πρόσβασης.

Η ίδια τεχνολογία που προσφέρει το λιμάνι SSH, αναπτύχθηκε το 1995 στο Πανεπιστήμιο της Τεχνολογίας στη Φινλανδία (SSH-1). Το 1996, οι βελτιώσεις έχουν προστεθεί με τη μορφή πρωτοκόλλου SSH-2, το οποίο ήταν αρκετά διαδεδομένη στο μετασοβιετικό χώρο, αν και γι 'αυτό, καθώς και σε ορισμένες χώρες της Δυτικής Ευρώπης, μερικές φορές είναι απαραίτητο να λάβουν την άδεια να χρησιμοποιήσει αυτό το τούνελ, και από κρατικές υπηρεσίες.

Το κύριο πλεονέκτημα του ανοίγματος SSH-λιμάνι, σε αντίθεση με telnet ή rlogin, είναι η χρήση των ψηφιακών υπογραφών RSA ή DSA (με τη χρήση ενός ζεύγους ανοικτών και ένα θαμμένο κλειδί). Επιπλέον, σε αυτή την κατάσταση, μπορείτε να χρησιμοποιήσετε το λεγόμενο κλειδί συνόδου με βάση Diffie-Hellman αλγόριθμο, η οποία περιλαμβάνει τη χρήση μιας συμμετρικής εξόδου κρυπτογράφηση, αν και δεν αποκλείει τη χρήση των ασύμμετρων αλγορίθμων κρυπτογράφησης κατά τη μετάδοση δεδομένων και την υποδοχή από ένα άλλο μηχάνημα.

Servers και κέλυφος

Στα Windows ή ανοικτό SSH-λιμάνι του Linux δεν είναι τόσο δύσκολο. Το μόνο ερώτημα είναι, τι είδους εργαλεία για το σκοπό αυτό θα χρησιμοποιηθούν.

Με αυτή την έννοια, είναι αναγκαίο να δοθεί προσοχή στο ζήτημα της μετάδοσης πληροφοριών και ελέγχου ταυτότητας. Πρώτον, το ίδιο το πρωτόκολλο προστατεύεται επαρκώς από το λεγόμενο εισπνοή, η οποία είναι η πιο συνηθισμένη «υποκλοπών» της κυκλοφορίας. SSH-1 αποδείχθηκε ότι είναι ευάλωτο σε επιθέσεις. Παρέμβαση στη διαδικασία της μεταφοράς δεδομένων με τη μορφή του καθεστώτος της «άνθρωπος στη μέση» είχε τα αποτελέσματά της. Πληροφορίες μπορούσε απλά να υποκλέψει και αποκρυπτογραφήσει πολύ στοιχειώδη. Αλλά η δεύτερη έκδοση (SSH-2) έχει ανοσία σε αυτό το είδος της επέμβασης, γνωστό ως εισβολή σε περίοδο, χάρη σε αυτό που είναι το πιο δημοφιλές.

Απαγορεύσεις ασφαλείας

Όσο για την ασφάλεια σε σχέση με τις μεταδίδονται και λαμβάνονται τα δεδομένα, η οργάνωση των συνδέσεων καθιερωθεί με τη χρήση αυτής της τεχνολογίας επιτρέπει την αποφυγή τα ακόλουθα προβλήματα:

• κλειδί αναγνώρισης στον κεντρικό υπολογιστή στο βήμα μετάδοσης, όταν ένα «στιγμιότυπο» δακτυλικών αποτυπωμάτων?
• Υποστήριξη για τα Windows και UNIX-όπως συστήματα?
• υποκατάσταση IP και διευθύνσεις DNS (spoofing)?
• παρακολουθούν ανοικτό κωδικό με φυσική πρόσβαση στο κανάλι δεδομένων.

Στην πραγματικότητα, η όλη οργάνωση ενός τέτοιου συστήματος είναι χτισμένο στην αρχή του «πελάτη-διακομιστή», δηλαδή, το πρώτο του υπολογιστή όλα του χρήστη μέσω ενός ειδικού προγράμματος ή πρόσθετο κλήσεις στο διακομιστή, η οποία παράγει μια αντίστοιχη ανακατεύθυνση.

σήραγγας

Είναι αυτονόητο ότι η εφαρμογή της σύνδεσης αυτού του είδους σε ειδικό οδηγό πρέπει να είναι εγκατεστημένα στο σύστημα.

Τυπικά, σε συστήματα που βασίζονται στα Windows είναι ενσωματωμένη στο πρόγραμμα οδήγησης του κελύφους πρόγραμμα του Microsoft Teredo, η οποία είναι ένα είδος εικονικής μέσα εξομοίωση του IPv6 σε δίκτυα που υποστηρίζουν μόνο IPv4. προεπιλογή Tunnel προσαρμογέας είναι ενεργή. Σε περίπτωση βλάβης που συνδέονται με αυτό, μπορείτε να κάνετε απλώς επανεκκίνηση του συστήματος ή να εκτελέσετε μια τερματισμού και επανεκκίνησης εντολές από την κονσόλα εντολών. Για την απενεργοποίηση τέτοιες γραμμές χρησιμοποιούνται:

• netsh?
• διεπαφή σύνολο teredo κατάσταση απενεργοποιηθεί?
• διασύνδεσης ISATAP που απενεργοποιημένη κατάσταση.

Μετά την εισαγωγή της εντολής θα πρέπει να κάνετε επανεκκίνηση. Για να ενεργοποιήσετε ξανά τον προσαρμογέα και να ελέγξετε την κατάσταση των ατόμων με αναπηρία, αντί του να ενεργοποιήσετε την άδεια μητρώα, μετά την οποία, και πάλι, πρέπει να κάνετε επανεκκίνηση του ολόκληρο το σύστημα.

SSH-server

Τώρα, ας δούμε πώς η θύρα SSH χρησιμοποιείται σαν τον πυρήνα, ξεκινώντας από το πρόγραμμα «client-server». Η προεπιλεγμένη εφαρμόζεται συνήθως 22 θύρα λεπτά, αλλά, όπως αναφέρθηκε παραπάνω, μπορούν να χρησιμοποιηθούν και η 443η. Το μόνο ερώτημα στην προτίμηση του ίδιου του διακομιστή.

Οι πιο συχνές SSH-servers θεωρείται ότι είναι τα εξής:

• για τα Windows: Tectia SSH Server, OpenSSH με Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd?
• για το FreeBSD: OpenSSH?
• για το Linux: Tectia SSH Server, SSH, openssh-server, LSH-server, dropbear.

Όλες οι servers είναι δωρεάν. Ωστόσο, μπορείτε να βρείτε και να καταβάλλονται οι υπηρεσίες που παρέχει ακόμα μεγαλύτερα επίπεδα ασφάλειας, η οποία είναι απαραίτητη για την οργάνωση της πρόσβασης στο δίκτυο και την ασφάλεια των πληροφοριών στις επιχειρήσεις. Το κόστος των υπηρεσιών αυτών δεν συζητείται. Αλλά σε γενικές γραμμές μπορούμε να πούμε ότι είναι σχετικά φθηνή, ακόμη και σε σύγκριση με την εγκατάσταση ειδικού λογισμικού ή «υλικό» τείχους προστασίας.

SSH-πελάτη

θύρα Αλλαγή SSH μπορεί να γίνει με βάση το πρόγραμμα-πελάτη ή τις κατάλληλες ρυθμίσεις κατά την προώθηση των θυρών στο δρομολογητή σας.

Ωστόσο, αν αγγίξετε το κέλυφος του πελάτη, τα ακόλουθα προϊόντα λογισμικού μπορούν να χρησιμοποιηθούν για διάφορα συστήματα:

• Windows - SecureCRT, στόκος \ γατούλα, Axessh, ShellGuard, SSHWindows, Ζοτς, Xshell, ProSSHD κλπ?..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH?
• Linux και BSD: LSH-πελάτη, kdessh, openssh-client, Vinagre, στόκος.

Ο έλεγχος ταυτότητας βασίζεται στο δημόσιο κλειδί, και να αλλάξετε τη θύρα

Τώρα λίγα λόγια για το πώς η επαλήθευση και τη δημιουργία ενός διακομιστή. Στην απλούστερη περίπτωση, πρέπει να χρησιμοποιήσετε ένα αρχείο ρυθμίσεων (sshd_config). Ωστόσο, μπορείτε να το κάνετε χωρίς αυτό, για παράδειγμα, στην περίπτωση των προγραμμάτων, όπως στόκος. θύρα Αλλαγή SSH από την προεπιλεγμένη τιμή (22) σε κάθε άλλη είναι εντελώς στοιχειώδη.

Το κύριο πράγμα - για να ανοίξετε ένα αριθμό θύρας δεν πρέπει να υπερβαίνει την αξία των 65535 (υψηλότερη λιμάνια απλά δεν υπάρχουν στη φύση). Επιπλέον, θα πρέπει να δώσουν προσοχή σε ορισμένες ανοίξει τα λιμάνια από προεπιλογή, το οποίο μπορεί να χρησιμοποιηθεί από τους πελάτες, όπως MySQL ή FTPd βάσεις δεδομένων. Αν τους ορίσετε για τη διαμόρφωση SSH, βέβαια, το μόνο που σταματήσει να λειτουργεί.

Αξίζει να σημειωθεί ότι το ίδιο πελάτη Jabber πρέπει να εκτελείται στο ίδιο περιβάλλον με χρήση του SSH-server, για παράδειγμα, σε μια εικονική μηχανή. Και το πιο διακομιστή localhost θα πρέπει να εκχωρήσετε μια τιμή σε 4430 (αντί για 443, όπως αναφέρθηκε παραπάνω). Η διαμόρφωση αυτή μπορεί να χρησιμοποιηθεί όταν η πρόσβαση στον κεντρικό jabber.example.com αρχείο αποκλειστεί από το τείχος προστασίας.

Από την άλλη πλευρά, οι θύρες μεταφοράς μπορεί να είναι στο δρομολογητή χρησιμοποιώντας τη διαμόρφωση της διασύνδεσης της με την δημιουργία εξαιρέσεις από τους κανόνες. Στις περισσότερες μοντέλα εισόδου μέσω διευθύνσεις εισόδου που αρχίζουν με 192.168 συμπληρωμένο με 0.1 ή 1.1, αλλά δρομολογητές συνδυάζοντας δυνατότητες ADSL-μόντεμ όπως Mikrotik, τέλος διεύθυνση περιλαμβάνει τη χρήση 88.1.

Σε αυτή την περίπτωση, να δημιουργήσετε ένα νέο κανόνα, στη συνέχεια, ορίστε τις απαραίτητες παραμέτρους, για παράδειγμα, για να εγκαταστήσετε την εξωτερική σύνδεση DST-nat, καθώς και με το χέρι προβλέπεται θύρες δεν είναι σύμφωνα με τις γενικές ρυθμίσεις και στην ενότητα των προτιμήσεων Ακτιβισμός (Δράση). Τίποτα δεν είναι πολύ περίπλοκο εδώ. Το κύριο πράγμα - για να καθορίσετε τις απαιτούμενες τιμές των ρυθμίσεων και ρυθμίστε τη σωστή θύρα. Από προεπιλογή, μπορείτε να χρησιμοποιήσετε θύρα 22, αλλά αν ο πελάτης χρησιμοποιεί μια ειδική (μερικά από τα παραπάνω για διαφορετικά συστήματα), η τιμή μπορεί να αλλάξει αυθαίρετα, αλλά μόνο έτσι ώστε η παράμετρος αυτή να μην υπερβαίνει τη δηλωθείσα τιμή, πάνω από την οποία οι αριθμοί θύρας δεν είναι απλά διαθέσιμα.

Όταν ρυθμίζετε τις συνδέσεις και θα πρέπει να δώσει προσοχή στις παραμέτρους του προγράμματος-πελάτη. Μπορεί κάλλιστα να είναι ότι στις ρυθμίσεις του πρέπει να καθορίσετε το ελάχιστο μήκος του κλειδιού (512), ενώ η προεπιλογή είναι συνήθως ορίζεται 768. Είναι επίσης επιθυμητό να ορίσετε το χρονικό όριο για να συνδεθείτε με το επίπεδο 600 δευτερόλεπτα και την απομακρυσμένη άδεια πρόσβασης με δικαιώματα root. Μετά την εφαρμογή αυτών των ρυθμίσεων, θα πρέπει να επιτρέπουν και τη χρήση όλων των δικαιωμάτων ταυτότητας, εκτός από εκείνες που βασίζονται στην .rhost χρήση (αλλά είναι απαραίτητο μόνο για τους διαχειριστές του συστήματος).

Μεταξύ άλλων, εάν το όνομα χρήστη καταχωρηθεί στο σύστημα, δεν είναι το ίδιο όπως θεσπίστηκε αυτή τη στιγμή, θα πρέπει να διευκρινίζεται ρητά με τη χρήση του κύριου εντολή ssh χρήστη με την εισαγωγή επιπλέον παραμέτρων (για όσους καταλαβαίνουν τι διακυβεύεται).

Team ~ / .ssh / id_dsa μπορούν να χρησιμοποιηθούν για μετασχηματισμό του κλειδιού και τη μέθοδο κρυπτογράφησης (ή RSA). Για να δημιουργήσετε ένα δημόσιο κλειδί που χρησιμοποιείται από τη μετατροπή χρησιμοποιώντας τη γραμμή ~ / .ssh / identity.pub (αλλά όχι αναγκαστικά). Όμως, όπως δείχνει η πρακτική, ο ευκολότερος τρόπος για να χρησιμοποιήσετε εντολές όπως ssh-keygen. Εδώ η ουσία του ζητήματος μειώνεται μόνο στο γεγονός, για να προσθέσετε το κλειδί για τα διαθέσιμα εργαλεία ελέγχου ταυτότητας (~ / .ssh / authorized_keys).

Αλλά έχουμε πάει πολύ μακριά. Αν πάτε πίσω στο θέμα ρυθμίσεις θύρας SSH, όπως κατέστη σαφές λιμάνι αλλαγή SSH δεν είναι τόσο δύσκολο. Ωστόσο, σε ορισμένες περιπτώσεις, λένε, θα πρέπει να ιδρώνουν, επειδή η ανάγκη να ληφθούν υπόψη όλες οι τιμές των βασικών παραμέτρων. Το υπόλοιπο του ζητήματος διαμόρφωσης βράζει κάτω στην είσοδο των οποιονδήποτε διακομιστή ή πελάτη του προγράμματος (εάν παρέχεται αρχικά), ή να χρησιμοποιήσετε την προώθηση των θυρών στο δρομολογητή. Αλλά ακόμη και σε περίπτωση αλλαγής της θύρας 22, η προεπιλεγμένη, με την ίδια την 443, θα πρέπει να καταστεί σαφές ότι ένα τέτοιο σύστημα δεν λειτουργεί πάντα, αλλά μόνο στην περίπτωση της εγκατάστασης το ίδιο πρόσθετο στο Jabber (άλλα ανάλογα μπορεί να ενεργοποιήσει και τις αντίστοιχες θύρες τους, διαφέρει από το πρότυπο). Επιπλέον, θα πρέπει να δοθεί ιδιαίτερη προσοχή ρύθμιση παραμέτρων SSH-πελάτη, η οποία θα αλληλεπιδρούν άμεσα με το SSH-server, αν είναι πραγματικά έπρεπε να χρησιμοποιήσετε την τρέχουσα σύνδεση.

Όσο για τα υπόλοιπα, αν η προώθηση των θυρών δεν προβλέπεται αρχικά (αν και είναι επιθυμητό να εκτελεί τέτοιες ενέργειες), τις ρυθμίσεις και τις επιλογές για την πρόσβαση μέσω SSH, δεν μπορείτε να αλλάξετε. Υπάρχουν τυχόν προβλήματα κατά τη δημιουργία μιας σύνδεσης, και την περαιτέρω χρήση του, σε γενικές γραμμές, δεν αναμένεται (εκτός, φυσικά, δεν θα πρέπει να χρησιμοποιείται με μη αυτόματο τρόπο ρυθμίσετε το διακομιστή που βασίζεται σε διαμόρφωση και πελάτη). Οι πιο κοινές εξαιρέσεις από τη δημιουργία κανόνων για το router σας επιτρέπει να διορθώσετε τυχόν προβλήματα ή την αποφυγή τους.