Jinsi ya configure na kutumia SSH bandari? Hatua kwa hatua mwongozo

Salama Shell, au hufupishwa kama SSH, ni moja ya juu zaidi teknolojia ya ulinzi wa data maambukizi. matumizi ya vile serikali kwenye ruta huo inaruhusu si tu siri ya habari zinaa, lakini pia ili kuongeza kasi ya kiwango cha pakiti. Hata hivyo, si kila mtu anajua mpaka kufungua bandari SSH, na kwa nini haya yote ni muhimu. Katika kesi hii ni muhimu kwa kutoa kujenga maelezo.

Port SSH: nini na kwa nini tunahitaji?

Kwa kuwa sisi ni kuzungumza juu ya usalama, katika kesi hii, chini ya bandari SSH kueleweka kujitolea channel katika mfumo wa handaki, ambayo inatoa data encryption.

mpango zaidi primitive handaki hii ni kwamba wazi SSH-bandari hutumiwa na default encrypt data katika chanzo na decryption ya kituo cha mwisho cha. Hii inaweza kuelezwa kama ifuatavyo: kama wewe kama hayo au la, zinaa trafiki, tofauti na IPSec, fiche kwa lazima na terminal pato la mtandao, na kwa upande kupokea mlango. Ili kusimbua maelezo yanayowasilishwa kwenye kituo hiki, terminal ya kupokea inatumia ufunguo maalum. Kwa maneno mengine, kuingilia kati katika uhamisho au maelewano ya uadilifu wa data zinaa kwa sasa moja hawawezi bila muhimu.

Tu kufungua SSH-bandari kwenye ruta yoyote au kwa kutumia mipangilio sahihi ya mteja ziada kuingiliana moja kwa moja na SSH-server, utapata kikamilifu kutumia makala yote ya mifumo ya kisasa ya mtandao wa usalama. Tuko hapa ya jinsi ya kutumia bandari hiyo ni kwa ajili na mipangilio chaguo-msingi au desturi. mkataba huo katika maombi inaweza kuonekana ngumu, lakini bila kuelewa mpangilio wa vile uhusiano haitoshi.

Standard bandari SSH

Kama, kwa kweli, kulingana na vigezo yoyote ya router lazima kwanza kuamua utaratibu, ni aina gani ya programu kutumika kwa ajili ya inleda kiungo hiki. Kwa kweli, default SSH bandari inaweza kuwa na mazingira tofauti. Kila kitu hutegemea mbinu gani hutumiwa kwa sasa (uhusiano wa moja kwa server, kufunga ziada mteja kusambaza mlango na kadhalika. D.).

Kwa mfano, kama mteja kutumika Jabber, kwa uhusiano sahihi, kuficha, na data kuhamisha bandari 443 ni ya kutumika, pamoja na kwamba mfano halisi ni kuweka katika bandari kiwango 22.

Ili kuweka upya router kwa mgao kwa ajili ya mpango fulani au mchakato mazingira muhimu na kufanya kusambaza mlango SSH. Ni kitu gani? Ni lengo la kupata hasa kwa mpango single ambayo inatumia Uhusiano Internet, bila ya kuzingatia mazingira ni ya sasa itifaki kubadilishana data (IPv4 au IPv6).

haki ya kiufundi

Standard SSH bandari 22 ni daima kutumika kama ilikuwa tayari wazi. Hata hivyo, hapa ni muhimu kutenga baadhi ya sifa na mazingira kutumika wakati wa usanidi.

Kwa uliosimbwa data usiri itifaki inahusisha matumizi ya SSH kama rena nje (mgeni) bandari mtumiaji? Lakini kwa sababu tu tunnel inatumika inaruhusu matumizi ya kile kinachoitwa kijijini shell (SSH), kupata huduma na usimamizi terminal kupitia kijijini kuingia (slogin), na kuomba kijijini nakala utaratibu (SCP).

Aidha, SSH-bandari inaweza ulioamilishwa katika kesi ambapo mtumiaji ni muhimu kutekeleza hati ya mbali X Windows, ambayo katika kesi rahisi ni uhamisho wa habari kutoka kwa mashine moja hadi nyingine, kama imekuwa alisema, pamoja na kulazimishwa encryption data. Katika hali kama hizo, ni lazima wengi kutumia misingi ya AES algorithm. Hii ni linganifu encryption algorithm, ambayo awali ilikuwa zinazotolewa katika teknolojia SSH. Na kuitumia si tu inawezekana lakini muhimu.

Historia ya utambuzi

teknolojia ameonekana kwa muda mrefu. Hebu kuondoka kando suala la jinsi ya kufanya icing SSH bandari, na kuzingatia jinsi wote kazi.

Kwa kawaida inakuja chini, kutumia proksi kwa misingi ya soksi au kutumia VPN tunnel. Katika kesi baadhi ya maombi ya programu kufanya kazi na VPN, bora kuchagua chaguo hili. ukweli kwamba karibu wote inayojulikana mipango leo hutumia trafiki mtandao, VPN kufanya kazi, lakini kwa urahisi upelekaji Configuration siyo. Hii, kama katika kesi ya seva wakala, inaruhusu kuondoka mahali nje ya terminal ambayo kwa sasa zinazozalishwa katika mtandao pato, unrecognized. Hiyo ni kesi na anwani mbadala daima ni kubadilisha, na VPN version bado kubadilika na kuwabainishia wa mkoa fulani, badala ya moja ambapo kuna kupiga marufuku kuingia.

teknolojia hiyo sana kwamba inatoa SSH bandari, ilitengenezwa mwaka 1995 katika Chuo Kikuu cha Teknolojia nchini Ufini (SSH-1). Mwaka 1996, maboresho wamekuwa aliongeza katika mfumo wa SSH-2 itifaki, ambayo ilikuwa kuenea kabisa katika nafasi baada ya Urusi, pamoja na kwamba kwa hili, na pia katika baadhi ya nchi za Ulaya Magharibi, wakati mwingine ni muhimu ili kupata ruhusa ya kutumia handaki hii, na kutoka mashirika ya kiserikali.

Faida kuu ya ufunguzi SSH-bandari, kinyume na telnet au rlogin, ni matumizi ya digital saini RSA au DSA (matumizi ya jozi ya wazi na muhimu kuzikwa). Zaidi ya hayo, katika hali hii, unaweza kutumia kinachojulikana kikao muhimu kulingana na Diffie-Hellman algorithm, ambayo inahusisha matumizi ya linganifu encryption pato, ingawa si kuzuia matumizi ya algorithms encryption asymmetric wakati data maambukizi na mapokezi kwa mashine nyingine.

Seva na shell

On Windows au Linux SSH-bandari wazi si vigumu. ni swali tu, ni aina gani ya zana kwa ajili ya kusudi hili zitatumika.

Kwa maana hii ni muhimu makini na suala la maambukizi ya habari na uthibitisho. Kwanza, itifaki yenyewe kutosha ulinzi na sniffing kinachojulikana, ambayo ni ya kawaida "wiretapping" ya trafiki. SSH-1 alithibitika kuwa hatari ya kushambuliwa. Kuingilia katika mchakato wa kuhamisha data kwa njia ya mpango wa "mtu katikati" na matokeo yake. Taarifa inaweza tu kuzuia na kufumbua msingi kabisa. Lakini toleo la pili (SSH-2) imekuwa kinga ya aina hii ya kuingilia, unaojulikana kama kipindi utekaji nyara, kutokana na kile ambacho ni maarufu zaidi.

kusitisha usalama

Kama kwa usalama katika heshima ya data zinaa na kupokea, shirika la uhusiano imara na matumizi ya teknolojia kama inaruhusu kuepuka matatizo yafuatayo:

• kitambulisho muhimu kwa jeshi katika hatua ya maambukizi, wakati "snapshot» fingerprint;
• Msaada kwa ajili ya Windows na mifumo UNIX-kama,
• badala ya IP na anwani DNS (spoofing);
• kuingilia password wazi na kimwili kupata channel data.

Kwa kweli, shirika zima la mfumo huo ni kujengwa juu ya kanuni ya "mteja-server", yaani, ya kwanza ya kompyuta ya mtumiaji kupitia mpango maalum au kifaa cha nyongeza katika simu kwa server, ambayo inazalisha redirection sambamba.

tunnel

Ni inakwenda bila kusema kwamba utekelezaji wa uhusiano wa aina hii katika dereva maalum lazima imewekwa kwenye mfumo.

Kwa kawaida, katika mifumo Windows makao ni kujengwa katika dereva mpango shell Microsoft Teredo, ambayo ni aina ya virtual wivu kupitia IPv6 katika mitandao kusaidia IPv4 tu. Tunnel default ADAPTER ni kazi. Katika tukio la kushindwa yanayohusiana nayo, unaweza tu kufanya mfumo wa kuanzisha upya au kufanya kufunga na kuanzisha upya amri kutoka console amri. Kuzima mistari hiyo hutumika:

• netsh,
• interface Teredo kuweka hali walemavu;
• interface isatap kuweka hali walemavu.

Baada ya kuingiza amri lazima upya. Ili kuwezesha tena ADAPTER na kuangalia hali ya walemavu badala ya kuwezeshwa rejista kibali, na baada ya, tena, lazima kuanzisha upya mfumo mzima.

SSH-server

Sasa hebu angalia jinsi bandari SSH ni kutumika kama msingi, kuanzia mpango "mteja-server". default ni kawaida kutumika dakika 22 bandari, lakini, kama ilivyoelezwa hapo juu, inaweza kutumika na 443. swali tu katika upendeleo wa server yenyewe.

kawaida SSH seva inachukuliwa kuwa yafuatayo:

• kwa Windows: Tectia SSH Server, OpenSSH na Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• kwa FreeBSD: OpenSSH;
• kwa ajili ya Linux: Tectia SSH Server, SSH, OpenSSH-server, LSH-server, dropbear.

Yote seva bila malipo. Hata hivyo, unaweza kupata na kulipwa huduma kutoa hata viwango kubwa ya usalama, ambayo ni muhimu kwa ajili ya shirika ya kupata mtandao na usalama wa habari katika makampuni. gharama ya huduma kama si kujadiliwa. Lakini kwa ujumla tunaweza kusema kuwa ni ghali, hata kwa kulinganisha na ufungaji wa programu maalum au "vifaa" firewall.

SSH mteja

Badilisha SSH bandari yanaweza kufanywa kwa misingi ya mpango mteja au vipimo sahihi wakati kusambaza mlango kwenye ruta yako.

Hata hivyo, kama kugusa ganda mteja, kufuatia bidhaa za programu inaweza kutumika kwa ajili ya mifumo mbalimbali:

• Windows - SecureCRT, putty \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD nk;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH,
• Linux na BSD: LSH-mteja, kdessh, OpenSSH-mteja, Vinagre, putty.

Uthibitishaji ni msingi muhimu wa umma, na mabadiliko ya bandari

Sasa maneno machache kuhusu jinsi ya kuthibitisha na kuanzisha server. Katika kesi rahisi, lazima kutumia faili Configuration (sshd_config). Hata hivyo, unaweza kufanya bila hiyo, kwa mfano, katika kesi ya programu kama vile putty. Badilisha SSH bandari kutoka thamani chaguo-msingi (22) nyingine yoyote ni msingi kabisa.

Jambo kuu - kufungua bandari ya simu hayazidi thamani ya 65,535 (bandari ya juu tu hazipo katika asili). Aidha, lazima makini na baadhi bandari wazi kwa chaguo-msingi, ambayo inaweza kutumika na wateja kama MySQL au FTPD hifadhidata. Ukitaja yao kwa ajili ya SSH Configuration, bila shaka, wao tu kuacha kufanya kazi.

Ni muhimu kubainisha huo Jabber mteja lazima mbio katika mazingira sawa kwa kutumia SSH-server, kwa mfano, kwenye mashine virtual. Na wengi server localhost unahitaji kuwapa thamani kwa 4430 (badala ya 443, kama ilivyotajwa hapo juu). Usanidi huu inaweza kutumika wakati upatikanaji wa kuu faili jabber.example.com imefungwa na firewall.

Kwa upande mwingine, uhamisho bandari inaweza kuwa kwenye router kutumia usanidi wa interface wake na viumbe wa vizuizi katika sheria. Katika mifano mingi ya pembejeo kupitia anwani pembejeo kwa kuanza na 192.168 zikisaidiwa na 0.1 au 1.1, lakini ruta kuchanganya uwezo ADSL-modemu kama MikroTik, mwisho mahali inahusisha matumizi ya 88.1.

Katika hali hii, kujenga utawala mpya, kisha kuweka vigezo muhimu, kwa mfano, kufunga uhusiano wa nje DST-nat, pamoja na bandari manually kinachotakiwa si chini ya mipangilio ya jumla na katika sehemu ya upendeleo Harakati (Action). Hakuna pia ngumu hapa. Jambo kuu - ili kueleza maadili inayotakiwa ya mazingira na kuweka bandari sahihi. Kwa chaguo-msingi, unaweza kutumia bandari 22, lakini kama mteja anatumia maalum (baadhi ya juu kwa ajili ya mifumo tofauti), thamani inaweza kubadilishwa kiholela, lakini tu ili na kigezo hiki haizidi thamani alitangaza, na juu yake namba bandari ni tu haipatikani.

Wakati kuanzisha uhusiano pia lazima makini na vigezo ya mpango mteja. Inaweza pia kuwa kwamba katika mipangilio yake na kutaja muda wa matumizi ya ufunguo (512), ingawa default ni kawaida kuweka 768. Pia ni kuhitajika kwa kuweka timeout kuingia kwenye ngazi ya sekunde 600 na ufikivu wa mbali ruhusa na haki za mizizi. Baada ya kutumia mipangilio hii, unahitaji pia kuruhusu matumizi ya haki zote kujitambulisha, isipokuwa zile kulingana na matumizi .rhost (lakini ni muhimu tu kwa mfumo wa watawala).

Miongoni mwa mambo mengine, kama mtumiaji jina amesajiliwa katika mfumo, si sawa na vishawishi kwa sasa, ni lazima maalum waziwazi kwa kutumia user SSH bwana amri kwa kuanzishwa kwa vigezo ziada (kwa mwenye akili ni nini kinahitajika).

Timu ~ / .ssh / id_dsa inaweza kutumika kwa ajili ya mageuzi ya muhimu na njia encryption (au rsa). Kujenga ufunguo wa umma kutumiwa na kubadilika kwa kutumia mstari ~ / .ssh / identity.pub (lakini si lazima). Lakini, kama inaonyesha mazoezi, njia rahisi ya kutumia amri kama SSH-keygen. Hapa kiini cha tatizo hupungua pekee ya kweli, kwa kuongeza msingi wa zana zinazopatikana uthibitisho (~ / .ssh / authorized_keys).

Lakini wamekwenda mbali mno. Kama kurejea suala mazingira ya bandari SSH, kama imekuwa wazi mabadiliko SSH bandari si vigumu. Hata hivyo, katika hali fulani, wanasema, itakuwa na jasho, kwa sababu ya haja ya kuzingatia maadili yote ya vigezo muhimu. wengine wa suala Configuration majipu chini mlango wa mpango wowote server au mteja (ikiwa hutolewa awali), au kutumia kusambaza mlango kwenye ruta. Lakini hata katika kesi ya mabadiliko ya bandari 22, msingi, kwa 443 sawa, lazima ieleweke wazi kwamba mpango huo haifanyi kazi, lakini tu katika kesi ya kufunga hiyo katika kuongeza Jabber (milinganisho wengine wanaweza kuamsha na milango yao, ni tofauti na kiwango). Aidha, tahadhari maalumu itolewe parameter kuweka SSH mteja, ambayo moja kwa moja kuwasiliana na SSH-server, ikiwa ni kweli wanatakiwa kutumia muunganisho wa sasa.

Na yale, kama kusambaza mlango si zinazotolewa awali (ingawa ni kuhitajika kwa kufanya vitendo hivyo), mazingira na chaguzi kwa ajili ya kupata kupitia SSH, huwezi kubadilika. Kuna matatizo yoyote wakati wa kuunda uhusiano, na matumizi yake zaidi, kwa ujumla, ni hayakutarajiwa (isipokuwa, bila shaka, hii haitatumika manually configure muundo wa kompyuta msingi na mteja). isipokuwa kawaida kuundwa sheria kwenye ruta utapata kurekebisha matatizo yoyote au kuuepuka.