כיצד להגדיר ולהשתמש ביציאת ה- SSH? צעד אחר צעד מדריך

Secure Shell, או מקוצר כמו SSH, זה הוא אחד טכנולוגיות הגנת נתונים המתקדמות ביותר השידור. שימוש משטר כזה על אותו נתב מאפשר לא רק על סודיות המידע מועבר, אלא גם כדי לזרז את חילופי מנות. עם זאת, לא כולם יודעים עד כמה לפתוח את יציאת SSH, ומדוע כל זה הוא הכרחי. במקרה זה יש צורך לתת הסבר קונסטרוקטיבי.

נמל SSH: מה זה ולמה אנחנו צריכים?

מכיוון שאנו מדברים על ביטחון, במקרה זה, על פי יציאת SSH כדי להיות מובן ערוץ ייעודי בצורת מנהרה, אשר מספקת הצפנת נתונים.

התכנית הפרימיטיבית ביותר של מנהרה זו היא כי א-יציאת SSH פתוחה משמשת כברירת מחדל כדי להצפין נתונים במקור והפענוח על הקצה. ניתן להסביר זאת כך: אם אתה אוהב את זה או לא, משודר תנועה, בניגוד IPSec, מוצפן תחת כפייה ומסוף הפלט של הרשת, ובצד המקבל של הכניסה. כדי לפענח את המידע המשודר בערוץ זה, למתקן קבלת משתמש במפתח מיוחד. במילים אחרות, להתערב העברה או להתפשר על שלמות הנתונים המועברים ברגע אחד לא יכול בלי מפתח.

רק פתיחת SSH-נמל על כל נתב או באמצעות ההגדרות המתאימות של לקוח נוסף אינטראקציה ישירות עם שרת SSH, מאפשר לך להשתמש באופן מלא את כל התכונות של מערכות אבטחת רשת מודרניות. אנחנו כאן על איך להשתמש ביציאת מוקצה על ידי הגדרות ברירת מחדל או מותאמות אישית. פרמטרים אלה ביישום עשויים להיראות מסובכים, אך ללא הבנה של ארגון קשר כזה אינו מספיק.

יציאת SSH רגילה

אם, אכן, על סמך הפרמטרים של כל נתב צריך קודם לקבוע את הסדר, איזה סוג של תוכנה תשמש להפעלת הקישור הזה. למעשה, יציאת ה- SSH המחדל יכולה להיות הגדרות שונות. הכל תלוי מה השיטה משמשת כרגע (חיבור ישיר לשרת, התקנת העברת הנמל הלקוח נוספת וכן הלאה. ד).

לדוגמא, אם הלקוח בשימוש ג'אבר, לחיבורים נכונים, הצפנה, ואת יציאת העברת נתוני 443 הוא לשמש, למרות ההתגלמות מוגדרת בנמל התקן 22.

כדי לאפס את הנתב ההקצאה עבור תכנית מסוימת או לעבד את התנאים הדרושים יש לבצע הפניית פורטים SSH. מה זה? זוהי המטרה של גישה מיוחדת לתכנית אחת משתמשת בחיבור לאינטרנט, לא משנה איזו הגדרה היא נוכחיים חילופי פרוטוקול נתונים (IPv4 או IPv6).

הצדקה טכנית

יציאת SSH תקן 22 לא תמיד משמש כבר היה ברור. עם זאת, כאן יש צורך להקצות כמה מן המאפיינים והגדרות להשתמש במהלך ההתקנה.

למה פרוטוקול סודיות נתונים מוצפן כרוך בשימוש SSH כנמל משתמש חיצוני גרידא (אורח)? אבל רק בגלל מינהור מוחל זה מאפשר שימוש פגז מרחוק שנקרא (SSH), כדי לקבל גישה לניהול המסוף באמצעות התחברות מרחוק (slogin), ולהחיל את ההליך להעתיק מרחוק (SCP).

בנוסף, SSH-port יכול להיות מופעל במקרה בו המשתמש הוא הכרחי לבצע סקריפטים מרחוק Windows X, אשר במקרה הפשוט ביותר הוא העברת מידע ממחשב אחד למשנהו, כפי שנאמר, עם הצפנת נתונים בכפייה. במצבים כאלה, יש צורך ביותר ישתמשו מבוסס על אלגוריתם AES. זהו אלגוריתם הצפנה סימטרי, אשר סופק במקור בטכנולוגית SSH. ולהשתמש בו לא רק אפשרי אלא הכרחי.

היסטוריה של המימוש

הטכנולוגיה תוצג במשך זמן רב. הבה נניח בצד את השאלה כיצד להפוך יציאת SSH הדובדבן, ולהתמקד איך כל זה עובד.

בדרך כלל זה מסתכם, להשתמש בפרוקסי על בסיס גרביים או להשתמש מינהור VPN. במקרה כמה יישום תוכנה יכול לעבוד עם VPN, עדיף לבחור באפשרות זו. העובדה שכמעט כל היום תוכניות ידועות להשתמש תעבורת האינטרנט, ה- VPN יכול לעבוד, אבל תצורת ניתוב בקלות הוא לא. זה, כמו במקרה של שרתי פרוקסי, מאפשר להשאיר את הכתובת החיצונית של הטרמינל שממנו מיוצר כיום ברשת התפוקה, לא מוכר. זה המקרה עם כתובת פרוקסי תמיד משתנה, וגרסת VPN נשארה ללא שינוי עם הקיבוע של אזור מסוים, שונה מזו שבה יש איסור על גישה.

הטכנולוגיה הגיעה אותה מציעה ביציאת ה- SSH, פותחה בשנת 1995 ב University of Technology בפינלנד (SSH-1). בשנת 1996, שיפורים נוספו בצורת פרוטוקול SSH-2, אשר היה נפוץ למדי במרחב הפוסט-סובייטי, למרות לכך, כמו גם בחלק ממדינות מערב אירופה, זה לפעמים יש צורך לקבל אישור להשתמש במנהרה זו, וכן מסוכנויות ממשלתיות.

היתרון העיקרי של פתיחת SSH-נמל, בניגוד telnet או rlogin, הוא השימוש של חתימות דיגיטליות RSA או DSA (שימוש זוג פתוח ומפתח קבור). יתרה מזאת, במצב הזה אתה יכול להשתמש במפתח מושב שנקרא מבוסס על דיפי-הלמן אלגוריתם, אשר כרוך בשימוש פלט הצפנה סימטרי, אם כי לא למנוע את השימוש של אלגוריתמי הצפנה א-סימטריים במהלך העברת נתונים וקבלת פנים על ידי מכונה אחרת.

שרתים ו פגז

ב- Windows או פתוח SSH-יציאת לינוקס הוא לא כל כך קשה. השאלה היחידה היא, איזה סוג של כלי למטרה זו תשמש.

במובן זה יש צורך לשים לב לנושא של העברת מידע ואימות. ראשית, הפרוטוקול בעצמו מוגן באופן מספק על ידי מרחרח שנקרא, המהווה את הרגיל ביותר "האזנות הסתר" של תנועה. SSH-1 הוכיח שהוא פגיע להתקפות. הפרעה בתהליך של העברת נתונים בצורה של תכנית של "אדם באמצע" היו תוצאותיה. המידע יכול פשוט ליירט ולפענח די יסודי. אבל הגרסה השנייה (SSH-2) כבר חסינה לסוג כזה של התערבות, הידוע בשם חטיפת הפעלה, בזכות מה היא פופולרי ביותר.

באן אבטחה

ובאשר לביטחון בגין הנתונים המועברים וקבלו, ארגון הקשרים הוקמו עם השימוש בטכנולוגיה כזו מאפשר למנוע את הבעיות הבאות:

• מפתח לזיהוי אל המארח את שלב השידור, כאשר "טביעת אצבע תמונת מצב»;
• תמיכה עבור Windows ו- UNIX מערכות דמויות;
• החלפה של IP וכתובות DNS (התחזות);
• ליירט את סיסמא פתוחה עם גישה פיזית ערוץ הנתונים.

למעשה, הארגון כולו של מערכת כזו בנוי על העיקרון של "לקוח-שרת", כלומר, קודם כל על המחשב של המשתמש באמצעות תכנית מיוחדת או תוספת שיחות לשרת, המייצר ניתוב מקביל.

מינהור

למותר לציין כי יישום החיבור מסוג זה נהג מיוחד חייב להיות מותקן על המערכת.

בדרך כלל, במערכות מבוססות Windows בנויה לתוך נהג פגז תכנית Microsoft Teredo, שהוא סוג של אמצעי הדמיית הווירטואלי של IPv6 ברשתות תומכות IPv4 בלבד. מתאם מנהרת ברירת מחדל הוא פעיל. במקרה של כשל קשור אליו, אתה פשוט יכול לעשות הפעלה מחדש של מערכת או לבצע כיבוי והפעלה מחדש פקודות מהמסוף הפקוד. כדי לבטל קווים כאלה משמשים:

• netsh;
• מדינת ממשק סט Teredo מושבת;
• מדינת הממשק להגדיר isatap מושבת.

לאחר הזנת הפקודה צריך להפעיל מחדש. כדי להפעיל מחדש את המתאם ו לבדוק את מצב נכי חלף היתר הרושם המופעל, שלאחריו, שוב, צריך להפעיל מחדש את המערכת כולה.

SSH שרת

עכשיו בוא נראה איך יציאת ה- SSH משמש כליבה, החל את ערכת "שרת-לקוח". ברירת המחדל לרוב מוחלת נמל 22 דקות, אבל, כאמור, יכול לשמש ואת 443. השאלה היחידה ההעדפה של השרת עצמו.

SSH-השרתים הנפוצים ביותר נחשבים את הדברים הבאים:

• עבור Windows: שרת SSH Tectia, OpenSSH עם Cygwin, MobaSSH, KpyM Telnet / SSH שרת, WinSSHD, copssh, freeSSHd;
• עבור FreeBSD: OpenSSH;
• עבור לינוקס: שרת SSH Tectia, SSH, OpenSSH-שרת, שרת lsh, dropbear.

כל השרתים הינם בחינם. עם זאת, אתה יכול למצוא ושילם שירותים המספקים גם רמות גבוהות יותר של אבטחה, אשר הוא הכרחי עבור הארגון של גישה לרשת אבטחת מידע בארגונים. עלות שירותים כאלה לא נדונה. אבל באופן כללי ניתן לומר כי הוא זול יחסית, אפילו בהשוואה התקנה של תוכנה מיוחדת או חומת אש "חומרה".

SSH-לקוח

נמל שינוי SSH יכול להתבצע על בסיס תוכנית הלקוח או את ההגדרות המתאימות כאשר הפניית פורטים בנתב.

עם זאת, אם אתה נוגע פגז הלקוח, את מוצרי התוכנה הבאות יכולים לשמש עבור מערכות שונות:

• Windows - SecureCRT, מרק \ קיטי, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD וכו ';..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• לינוקס ו- BSD: lsh-לקוח, kdessh, OpenSSH-לקוח, Vinagre, מרק.

האימות מבוססת על המפתח הציבורי, ולשנות את היציאה

עכשיו כמה מילים על איך אימות הגדרת שרת. במקרה הפשוט ביותר, אתה חייב להשתמש בקובץ תצורה (sshd_config). עם זאת, אתה יכול לעשות בלי זה, למשל, במקרה של תוכניות כגון מרק. נמל שינוי SSH מערך ברירת המחדל (22) לכל האחרים הוא יסודי לחלוטין.

העיקר - כדי לפתוח מספר יציאה אינו עולה על הערך של 65,535 (יציאות גבוהות פשוט אינן קיימות בטבע). בנוסף, כדאי לשים לב כמה יציאות פתוחות כברירת מחדל, אשר ניתן להשתמש בהם על ידי לקוחות כמו מסדי נתונים MySQL או FTPd. אם תציין אותם לתצורת SSH, כמובן, הם פשוט להפסיק לעבוד.

זה ראוי לציין כי באותו לקוח ג'אבר חייב לפעול בסביבה זהה באמצעות SSH שרת, למשל, על מכונה וירטואלית. והכי השרת localhost יצטרך להקצות ערך 4430 (במקום 443, כאמור לעיל). תצורה זו יכולה לשמש כאשר גישת jabber.example.com הקובץ הראשי נחסמה על ידי חומת האש.

מצד השני, יציאות ההעברה יכולות להיות בנתב באמצעות התצורה של הממשק שלה עם הקמתה של חריגות מכללי. ברוב הדגמים קלטו באמצעות כתובות קלט החל 192.168 בתוספת 0.1 או 1.1, אבל נתבים המשלבים יכול ADSL-מודמים כמו Mikrotik, כתובים הסוף כרוך בשימוש 88.1.

במקרה זה, ליצור כלל חדש, ולאחר מכן להגדיר את הפרמטרים הנדרשים, למשל, להתקין את החיבור החיצוני DST-NAT, כמו גם יציאות שנקבעו באופן ידני אינן תחת ההגדרות הכלליות בסעיף של העדפות אקטיביזם (פעולה). שום דבר לא יותר מדי מסובך כאן. העיקר - כדי לציין את הערכים הנדרשים של הגדרות ולהגדיר את היציאה הנכונה. כברירת מחדל, אתה יכול להשתמש נמל 22, אבל אם הלקוח משתמש מיוחד (חלק מן הנ"ל למערכות שונות), הערך יכול להיות שונה באופן שרירותי, אלא רק כך פרמטר זה אינו עולה על הערך המוצהר, שמעליו מספרי יציאה הם פשוט לא זמינים.

בעת הגדרת קשרים גם צריך לשים לב לפרמטרים של תוכנית הלקוח. ייתכן מאוד כי בהגדרות שלה יש לציין את משך הזמן המינימלי של המפתח (512), אם כי ברירת המחדל היא בדרך כלל להגדיר 768. זה גם רצוי להגדיר את פסק הזמן כדי להיכנס לרמה של 600 שניות ואת רשות גישה מרחוק עם זכויות שורש. לאחר החלת הגדרות אלה, אתה צריך גם לאפשר את השימוש של כל זכויות האימות, מלבד אלה המבוססים על .rhost השימוש (אבל זה הכרחי רק למנהלי מערכת).

בין היתר, אם שם המשתמש הרשום במערכת, לא זהה הציג כרגע, זה חייב להיות מוגדר במפורש באמצעות הפקודה מאסטר ssh המשתמש עם כניסתה של פרמטרים נוספים (למי מבין מה עומד על הפרק).

צוות ~ / .ssh / id_dsa יכול לשמש לחידוש המפתח ואת שיטת ההצפנה (או RSA). כדי ליצור מפתח ציבורי המשמש את ההמרה באמצעות קו ~ / .ssh / identity.pub (אבל לא בהכרח). אבל, כפי שמראה בפועל, הדרך הקלה להשתמש בפקודות כמו-keygen ssh. הנה התמצית של הנושא מצטמצמת רק לעובדה, להוסיף את מפתח כלי האימות הזמינים (~ / .ssh / authorized_keys).

אבל אנחנו פשוט מגזימים. אם נחזור לנושא SSH הגדרות הנמל, כפי שהיה ביציאת ה- SSH שינוי ברור הוא לא כל כך קשה. עם זאת, במצבים מסוימים, הם אומרים, יצטרכו להזיע, כי הצורך לקחת בחשבון את כל הערכים של פרמטרים מרכזיים. שאר בבעיה בתצורת מסתכם הכניסה של כל תוכנית שרת או לקוח (אם זה מסופק בתחילה), או להשתמש הפניית פורטים בנתב. אבל גם במקרה של שינוי של הנמל 22, ברירת המחדל, לאותו 443, יש להבין בבירור כי תכנית כזו לא עובדת תמיד, אבל רק במקרה של התקנה אותה תוספת ג'אבר (אנלוגים אחרים יכולים להפעיל והיציאות שלהם, זה שונה מן הסטנדרט). בנוסף, תשומת לב מיוחדת צריכה להינתן פרמטר הגדרת לקוח SSH, אשר אינטראקציה ישירות עם שרת SSH, אם הוא באמת אמור להשתמש בחיבור הנוכחי.

באשר לשאר, אם העברת הנמל לא מסופק בתחילה (אם כי רצוי לבצע פעולות כאלה), הגדרות ואפשרויות עבור גישה באמצעות SSH, אתה לא יכול לשנות. יש בעיות כלשהן בעת יצירת חיבור, ושימוש הנוסף שלה, בכלל, לא צפוי (אלא אם כן, כמובן, לא ישמש באופן ידני את תצורת השרת בתצורה מבוססות הלקוח). החריגים השכיחים ביותר ליצירת כללים על הנתב מאפשר לך לתקן בעיות או להימנע מהם.