Թե ինչպես կարելի է կարգավորել, եւ օգտագործել SSH նավահանգստից: Քայլ առ քայլ ուղեցույցը

Secure Shell, կամ, կրճատ, ինչպես SSH, որ դա մեկն է առավել առաջադեմ տվյալների պաշտպանության տեխնոլոգիաների փոխանցման. Օգտագործումը նման ռեժիմի վրա նույն router թույլ է տալիս ոչ միայն գաղտնիությունը փոխանցվող տեղեկատվության, այլեւ արագացնել փոխանակումը փաթեթներով. Սակայն, ոչ բոլորը գիտեն, որքանով է բացել SSH նավահանգիստ, եւ թե ինչու է դա անհրաժեշտ. Այս դեպքում անհրաժեշտ է տալ կառուցողական բացատրություն:

Port SSH, թե ինչ է այն, եւ ինչու մենք պետք է.

Քանի որ մենք խոսում անվտանգության, այս դեպքում, տակ SSH նավահանգստում պետք է հասկանալ նվիրված հեռարձակման ձեւով թունելի, որը ապահովում է տվյալների կոդավորումը.

Առավել պարզունակ սխեման այս թունելի այն է, որ բաց SSH-նավահանգիստ , որն օգտագործվում է ըստ նախնականի է encrypt տվյալների աղբյուրի եւ վերծանման վրա Վերջնակետային. Սա կարելի է բացատրել է հետեւյալ կերպ. Թե արդյոք դուք ցանկանում եք այն, թե ոչ, փոխանցվում երթեւեկությունը, ի տարբերություն IPSec, կոդավորված հարկադրաբար եւ թողարկում տերմինալի ցանցի, եւ Ընդունող կողմի մուտքի. Է decrypt փոխանցվող տեղեկությունները այս հեռուստաալիքը, ստանալով տերմինալը օգտագործում է հատուկ բանալին: Այլ կերպ ասած, միջամտել է փոխանցել կամ փոխզիջման ամբողջականությունը փոխանցվող տվյալների տվյալ պահին ոչ ոք չի կարող առանց բանալիով.

Պարզապես բացման SSH-նավահանգստից ցանկացած երթուղիչի կամ օգտագործելով համապատասխան պարամետրերը լրացուցիչ հաճախորդի փոխազդում ուղղակիորեն հետ SSH-սերվերի, թույլ է տալիս Ձեզ լիարժեք օգտագործել բոլոր հատկանիշները ժամանակակից ցանցային անվտանգության համակարգեր: Մենք այստեղ ենք, թե ինչպես պետք է օգտագործել նավահանգստից, որը նշանակվում է լռելյայն կամ մաքսային կարգավորումների: Այս ցուցանիշները կիրառման կարող է նայում դժվար է, բայց առանց հասկանալու կազմակերպման նման կապի բավարար չէ:

Ստանդարտ SSH նավահանգիստ

Եթե, իրոք, հիմնված պարամետրերի որեւէ Երթուղղիչի նախ պետք է որոշելու կարգը, թե ինչպիսի ծրագրային կօգտագործվի ակտիվացման այս հղումը: Ի դեպ, Լռակյաց SSH նավահանգիստը կարող է ունենալ տարբեր պարամետրերը: Ամեն ինչ կախված է նրանից, թե ինչ մեթոդ է, որը օգտագործվում է այս պահին (ուղիղ կապի սերվերի, տեղադրելով լրացուցիչ հաճախորդը Պորտ վերահասցեավորում եւ այլն. D.):

Օրինակ, եթե հաճախորդը օգտագործվում շաղակրատանք, որովհետեւ ճիշտ կապեր, կոդավորման եւ տվյալների փոխանցման նավահանգիստ 443 կարող է օգտագործվել, չնայած, որ մարմնավորում ստեղծվել է ստանդարտ նավահանգիստ 22:

Հետադարձելու երթուղղիչին է տեղաբաշխման համար կոնկրետ ծրագրի կամ գործընթացի համար անհրաժեշտ պայմանները պետք է կատարել Պորտ վերահասցեավորում SSH. Ինչ է դա: Դա նպատակը որոշակի մատչելիության մեկ ծրագիր է, որը օգտագործում է ինտերնետ կապ, անկախ նրանից, թե որն ընդլայնված ընթացիկ արձանագրությունը փոխանակման տվյալները (IPv4 կամ IPv6):

տեխնիկական հիմնավորում

Ստանդարտ SSH նավահանգիստ 22-ը չէ, միշտ օգտագործվում, քանի որ դա եղել է արդեն պարզ է. Սակայն, այստեղ է, որ անհրաժեշտ է հատկացնել որոշ առանձնահատկությունների եւ պարամետրերը ընթացքում օգտագործած setup.

Թե ինչու կոդավորված տվյալների գաղտնիությունը արձանագրությունը ներառում է օգտագործման SSH որպես զուտ արտաքին Կներեք մասին port. Բայց միայն այն պատճառով, որ tunneling կիրառվում է այն թույլ է տալիս օգտագործումը, այսպես կոչված հեռավոր shell (SSH), ձեռք բերել մուտք դեպի տերմինալի կառավարման միջոցով հեռավոր մուտքի (slogin), եւ կիրառել հեռավոր պատճենը կարգը (SCP):

Ի լրումն, SSH-նավահանգիստը կարող է ակտիվացնել այն դեպքում, երբ օգտագործողը անհրաժեշտ է կատարել հեռավոր սցենարներ X Windows, որը պարզագույն դեպքում է տեղեկատվության փոխանցման մեկ մեքենայի մյուսը, ինչպես արդեն հայտարարել է, մի հարկադրված տվյալների կոդավորման. Նման իրավիճակներում, առավել անհրաժեշտ կլինի օգտագործել հիման վրա AES ալգորիթմ. Սա սիմետրիկ կոդավորումը ալգորիթմ, որն ի սկզբանե նախատեսված է SSH տեխնոլոգիայով. Եւ օգտագործել այն ոչ միայն հնարավոր է, այլեւ անհրաժեշտ է:

Պատմությունը իրականացման

Որ տեխնոլոգիան է հայտնվել մի երկար ժամանակ: Մի կողմ թողնենք այն հարցը, թե ինչպես պետք է անել, icing որ ssh նավահանգիստ, եւ կենտրոնանալ թե ինչպես է այն բոլոր աշխատանքները:

Սովորաբար դա գալիս է իջնում է, օգտագործել վստահված անձ հիման վրա կիսագուլպաներ կամ օգտագործել VPN tunneling. Եթե որոշ ծրագրային հայտը կարող է աշխատել հետ VPN, ավելի լավ է ընտրել այս տարբերակը: Այն փաստը, որ գրեթե բոլոր հայտնի ծրագրերը այսօր օգտագործում ինտերնետի ծավալը, ապա VPN կարող է աշխատել, բայց հեշտությամբ routing կոնֆիգուրացիա չէ. Սա, քանի որ այն դեպքում վստահված անձ սերվերներ, թույլ է տալիս հեռանալ արտաքին հասցեն տերմինալի, որից ներկայումս արտադրվում է թողարկում ցանցում, չճանաչված: Որ այն դեպքն է, որ վստահված անձը, հասցեն միշտ փոխվում է, եւ VPN տարբերակը մնում է անփոփոխ, ինչպես ամրագրման որոշակի տարածաշրջանում, այլ, քան այն մեկը, որտեղ կա մի արգելքը մուտք:

Հենց այն նույն տեխնոլոգիան, որը առաջարկում է SSH նավահանգիստ, մշակվել է 1995 թ-ին համալսարանի տեխնոլոգիական Ֆինլանդիայի (SSH-1): 1996 թ.-ին, բարելավումներ են ավելացվել ձեւով SSH-2 արձանագրություն, որը բավականին տարածված է հետխորհրդային տարածությունում, թեեւ դրա համար, ինչպես նաեւ մի շարք արեւմտյան Եվրոպայի երկրների, դա երբեմն անհրաժեշտ է ստանալ թույլտվություն է օգտագործել այս թունել, եւ պետական կառավարման մարմինների.

Հիմնական առավելությունը բացման SSH-նավահանգիստը, քանի որ ի տարբերություն telnet կամ rlogin, օգտագործումը թվային ստորագրությունների RSA կամ DSA (օգտագործման մի զույգ բաց եւ մի թաղված բանալիով): Ավելին, այս իրավիճակում դուք կարող եք օգտագործել, այսպես կոչված նիստը բանալին հիման վրա Diffie-Hellman ալգորիթմի, որը ներառում է օգտագործման սիմետրիկ կոդավորումը արտադրանքի, թեեւ ոչ արգելում ասիմետրիկ գաղտնագրման ալգորիթմներ ընթացքում տվյալների փոխանցման եւ ընդունման կողմից մեկ այլ մեքենայի:

Սերվերներ եւ shell

Վրա Windows կամ Linux SSH-port օփենում այնքան էլ դժվար. Միակ հարցն այն է, թե ինչպիսի գործիքներ Այս նպատակով կօգտագործվեն:

Այս առումով անհրաժեշտ է ուշադրություն դարձնել, խնդրին Տեղեկատվության փոխանցման եւ իսկությունը. Նախ, արձանագրությունը ինքնին բավականաչափ պաշտպանված են, այսպես կոչված Sniffing, որը հանդիսանում է առավել սովորական «գաղտնալսումներ» երթեւեկության. SSH-1 ապացուցվել է խոցելի են հարձակումների: Միջամտությունը գործընթացում փոխանցելու տվյալներ ձեւով սխեմայի »մարդու միջին« ուներ իր արդյունքները: Տեղեկություն կարող է պարզապես խլել եւ վերծանել բավական տարրական: Բայց երկրորդ տարբերակը (SSH-2) եղել անձեռնմխելի է այս տեսակի միջամտության, որը հայտնի է որպես սեսիայի, շնորհիվ թե ինչ է ամենատարածված.

արգելում անվտանգությունը

Ինչ վերաբերում է անվտանգության ապահովման առումով, որ փոխանցվող եւ ստացված տվյալների կազմակերպումը միացումների սահմանված օգտագործման հետ նման տեխնոլոգիան թույլ է տալիս խուսափել հետեւյալ խնդիրները `

• նույնականացման բանալին է հյուրընկալող ին հաղորդման քայլ, երբ «ՊԱՏԿԵՐԸ» մատնահետք.
• Աջակցություն Windows եւ UNIX նման համակարգեր.
• փոխարինում IP եւ DNS հասցե (spoofing).
• intercepting բաց գաղտնաբառը ֆիզիկական հասանելիության տվյալների ալիքով:

Ըստ էության, ամբողջ կազմակերպումը նման համակարգի, որը կառուցվել է սկզբունքով «սպասառու-սերվեր», այսինքն, առաջին հերթին օգտագործողի համակարգչի միջոցով հատուկ ծրագրի կամ ավելացնել-ի զանգերի սերվերի վրա, որը արտադրում է համապատասխան Վերաուղղորդում:

tunneling

Ավելորդ է ասել, որ իրականացումը կապի այս տեսակի հատուկ վարորդ պետք է տեղադրված է համակարգը.

Սովորաբար, Windows- ի վրա հիմնված համակարգերի կառուցվում է ծրագիրը shell վարորդի Microsoft- ը Teredo, որը մի տեսակ վիրտուալ մրցում միջոցների IPv6 է ցանցերում աջակցող IPv4 միայն. Թունել լռելյայն ադապտեր է ակտիվ. Ի ձախողման դեպքում դրա հետ կապված, դուք կարող եք պարզապես կատարել համակարգը վերսկսման կամ կատարել անջատում եւ վերսկսել հրամաններ են հրամանատարության մխիթարել. Ապաակտիվացնել այդ գծերը օգտագործվում են:

• netsh;
• ինտերֆեյս Teredo հավաքածու պետություն անջատված է:
• ինտերֆեյս isatap սահմանված պետություն անջատված է:

Հետո մտնում հրամանը պետք է վերսկսել: Է կրկին ակտիվացնել այն ադապտեր եւ ստուգել հաշմանդամի կարգավիճակ փոխարեն միացված գրանցումների թույլտվության, որից հետո, կրկին, պետք է վերսկսել ամբողջ համակարգը:

SSH-սերվեր

Հիմա եկեք տեսնենք, թե ինչպես է SSH նավահանգիստ օգտագործվում է որպես հիմնական, սկսած սխեմայի «հաճախորդ-սերվերային». Լռակյաց, որը սովորաբար կիրառվում է 22 րոպե նավահանգստից, սակայն, ինչպես վերը նշվեց, կարող է օգտագործվել, եւ 443rd: Միակ հարցը, որ նախապատվությունը է սերվերի մեջ.

Ամենատարածված SSH-սերվերների համարվում է հետեւյալը.

• Windows- ի համար: Tectia ssh Server, OpenSSH հետ Cygwin, MobaSSH, KpyM ՏԵԼՆԵՏ / ssh Server, WinSSHD, copssh, freeSSHd.
• համար FreeBSD: OpenSSH.
• համար Linux: Tectia ssh սերվերի, ssh, openssh-սերվերի, L¨SH-սերվերի, dropbear.

Բոլոր սերվերների անվճար են. Սակայն, դուք կարող եք գտնել եւ վճարովի ծառայություններ, որոնք ապահովում նույնիսկ ավելի մեծ մակարդակ, որը էական է կազմակերպության ցանցի հասանելիության եւ տեղեկատվական անվտանգության ձեռնարկություններում: Արժեքն նման ծառայությունների չի քննարկվել: Բայց, ընդհանուր առմամբ, կարող ենք ասել, որ դա համեմատաբար էժան, նույնիսկ հետ համեմատած տեղադրման հատուկ ծրագրային կամ «ապարատային» firewall.

SSH-հաճախորդը

Փոփոխություն SSH նավահանգիստը կարող է կատարվել հիման վրա հաճախորդի ծրագրի կամ համապատասխան պարամետրերը, երբ նավահանգստի վերահասցեավորում Ձեր երթուղղիչին.

Սակայն, եթե դուք ձեռք հաճախորդի կմախք, հետեւյալ ծրագրային արտադրանքը կարող է օգտագործվել տարբեր համակարգերի

• Windows - SecureCRT, Մածիկ \ Kitty, Axessh, ShellGuard, SSHWindows, Zoc, XShell, ProSSHD այլն;:
• Mac OS X, iTerm2, vssh, NiftyTelnet SSH.
• Linux եւ BSD: L¨SH-հաճախորդը, kdessh, openssh-հաճախորդը, vinagre, ծեփամածիկ.

Իսկությունը ստուգելու հիմնված է հանրային բանալին, եւ փոխել նավահանգիստ

Հիմա մի քանի խոսք, թե ինչպես է ստուգման եւ ստեղծելու սերվեր: Պարզագույն դեպքում, դուք պետք է օգտագործեք կազմաձեւման ֆայլը (sshd_config): Սակայն, դուք կարող եք անել առանց դրա, օրինակ, այն դեպքում, ծրագրերի, ինչպիսիք են Ծեփամածիկ: Փոփոխություն SSH նավահանգիստ է նախնական արժեքը (22) ցանկացած այլ ամբողջովին տարրական.

Հիմնական բան է բացել նավահանգիստ համարը չի գերազանցում արժեքը 65535 (Բարձրագույն նավահանգիստները պարզապես գոյություն չունեն բնության մեջ): Բացի այդ, պետք է ուշադրություն դարձնել որոշ բաց նավահանգիստները By default, որոնք կարող են օգտագործվել է հաճախորդների նման MySQL կամ FTPD տվյալների բազաների նկատմամբ. Եթե դուք նշեք նրանց համար SSH կազմաձեւման, իհարկե, նրանք պարզապես դադարում են աշխատել:

Հարկ է նշել, որ այդ նույն շաղակրատանք հաճախորդը պետք է վազում է նույն միջավայրում, օգտագործելով ssh-սերվեր, օրինակ, մի վիրտուալ մեքենա. Եւ ամենայն սերվերի localhost պետք է հանձնարարել է արժեք է 4430 (փոխարեն 443, ինչպես վերը նշվեց): Այս կոնֆիգուրացիա կարող է օգտագործվել, երբ մուտք են հիմնական ֆայլի jabber.example.com արգելափակվել է firewall- ով.

Իսկ մյուս կողմից, փոխանցման նավահանգիստները կարող են լինել, որ router օգտագործելով կոնֆիգուրացիան իր ինտերֆեյսի ստեղծման հետ կանոններից բացառությունները: Մասում մոդելների մուտքագրում ներածման հասցեներով սկսելով 192.168 լրացնել 0.1 կամ 1.1 սակայն երթուղագծիչներ համատեղելով կարողությունները ADSL մոդեմներ, ինչպիսիք MikroTik, վերջը հասցեն ներառում է օգտագործման 88.1.

Այս դեպքում, ստեղծել նոր կանոն, այնուհետեւ սահմանել անհրաժեշտ պարամետրերը, օրինակ, տեղադրել արտաքին կապը DST-nat, ինչպես նաեւ ձեռքով սահմանված նավահանգիստները չեն տակ ընդհանուր պարամետրերը եւ բաժնում ակտիվության նախասիրությունների (Action): Ոչինչ էլ բարդ Մականուն: Հիմնական բան է ճշտել պահանջվող արժեքները պարամետրերը, եւ սահմանվել է ճիշտ նավահանգիստ է. Ըստ նախնականի, դուք կարող եք օգտագործել նավահանգստից 22, բայց եթե հաճախորդը օգտվում է հատուկ (որոշ վերը տարբեր համակարգերի), արժեքը կարող է փոխվել կամայականորեն, բայց միայն այնպես, որ այդ ցուցանիշը չի գերազանցի հայտարարված արժեքը, որից բարձր նավահանգիստը համարները պարզապես հասանելի չէ:

Երբ եք ստեղծել կապեր նաեւ պետք է ուշադրություն դարձնել պարամետրերի հաճախորդ ծրագիր: Այն կարող է նաեւ լինել, որ իր պարամետրերը պետք է նշեք նվազագույն երկարությունը ստեղնը (512), թեեւ լռելյայն սովորաբար սահմանվում 768. Այն նաեւ ցանկալի է սահմանել timeout մուտք դեպի մակարդակով 600 վայրկյանում եւ հեռավոր հասանելիության թույլտվության հետ արմատական իրավունքները: Հետո կիրառելով այդ պարամետրերը, որ դուք պետք է նաեւ թույլատրել օգտվել բոլոր իսկությունը իրավունքների, բացառությամբ նրանց, ովքեր հիման վրա օգտագործման .rhost (բայց դա անհրաժեշտ է միայն համակարգի ադմինիստրատորները):

Ի թիվս այլ բաների, եթե օգտագործողը անունը գրանցվել է համակարգում, նույնը չէ, քանի ներդրվել տվյալ պահին, ապա դա պետք է լինի նշված հստակորեն օգտագործելով օգտվողին ssh վարպետության հրաման ներդրման հետ լրացուցիչ պարամետրերի (նրանց համար, ովքեր հասկանում են, թե ինչ է ցցի):

Թիմը ~ / .ssh / id_dsa կարող են օգտագործվել վերափոխման առանցքային եւ կոդավորման եղանակը (կամ RSA): Ստեղծել հանրային բանալին օգտագործվում է դարձի օգտագործելով գծի ~ / .ssh / identity.pub (բայց ոչ պարտադիր): Սակայն, քանի որ փորձը ցույց է տալիս, որ ամենահեշտ ճանապարհը օգտագործել հրամանները, ինչպիսիք ssh-keygen: Այստեղ էությունը հարցի նվազեցվում է միայն այն փաստին, որպեսզի ավելացնել բանալին առկա վավերացման գործիքների (~ / .ssh / authorized_keys):

Բայց մենք անցել շատ հեռու: Եթե դուք գնում է ետ `դեպի նավահանգիստ պարամետրերը SSH հարցում, քանի որ արդեն պարզ փոփոխություն SSH նավահանգիստ այնքան էլ դժվար. Սակայն, որոշ դեպքերում, նրանք ասում են, պետք է շատ աշխատել, քանի որ անհրաժեշտ է հաշվի առնել բոլոր արժեքները հիմնական պարամետրերի. Մնացած է կազմաձեւման հարցի եռում իջնում է մուտքի ցանկացած սերվերի կամ հաճախորդի ծրագիրը (եթե դա նախատեսված սկզբանե), կամ օգտագործել նավահանգիստ վերահասցեավորում է երթուղղիչին. Բայց նույնիսկ փոփոխության դեպքում նավահանգստում 22, Լռակյաց, նույն 443rd, պետք է հստակ հասկանալ, որ նման սխեման միշտ չէ, որ աշխատում է, բայց միայն այն դեպքում, տեղադրելու է նույն ավելացնել jabber (այլ analogs կարող են ակտիվացնել եւ նրանց համապատասխան նավահանգիստները, Այն տարբերվում է ստանդարտ): Բացի այդ, հատուկ ուշադրություն պետք է դարձվի պարամետրի SSH-հաճախորդին, ով պետք է անմիջականորեն շփվել է SSH-սերվերի, եթե դա իրոք պետք է օգտագործել ընթացիկ կապը:

Ինչ վերաբերում է մնացած, եթե նավահանգիստ վերահասցեավորում չի տրամադրվում սկզբանե (թեեւ դա ցանկալի է կատարել այնպիսի գործողություններ), կարգավորումներ ու տարբերակներ համար հասանելիության միջոցով SSH, դուք չեք կարող փոխել: Ինչ խնդիրներ կան, երբ ստեղծելով մի կապ, եւ դրա հետագա օգտագործումը, ընդհանուր առմամբ, չի սպասվում (եթե, իհարկե, չի կարող օգտագործվել ձեռքով կարգավորել կազմաձեւման սերվերի վրա հիմնված եւ հաճախորդի). Ամենատարածված բացառություններ ստեղծման կանոնների վրա երթուղղիչին թույլ է տալիս Ձեզ ուղղել որեւէ խնդիր կամ խուսափել դրանցից.