Kif biex jiġi kkonfigurat u l-użu tal-port SSH? Gwida pass pass

Secure Shell, jew abbrevjata bħala SSH, huwa wieħed mill-aktar teknoloġiji avvanzati protezzjoni tad-data fit-trasmissjoni. L-użu ta 'tali reġim dwar l-istess router tippermetti mhux biss l-kunfidenzjalità tal-informazzjoni trasmessa, iżda wkoll biex jitħaffef l-iskambju ta' pakketti. Madankollu, mhux kulħadd jaf safejn biex tiftaħ il-port SSH, u dan kollu għaliex huwa meħtieġ. F'dan il-każ huwa meħtieġ li jagħti spjegazzjoni kostruttiv.

Port SSH: x'inhu u għaliex għandna bżonn?

Peress li aħna qed nitkellmu dwar is-sigurtà, f'dan il-każ, taħt il-port SSH li jinftiehem kanal apposta fil-forma ta 'mina, li jipprovdi encryption ta' data.

L-iskema aktar sofistikat ta 'dan mina huwa li open SSH-port huwa użat fil-kontumaċja għall-kriptaġġ data fis-sors u deċifrar dwar l-endpoint. Dan jista 'jiġi spjegat kif ġej: jekk inti simili jew le, it-traffiku trasmessa, b'differenza mill-IPSec, encrypted taħt l-obbligu u t-terminal produzzjoni tan-netwerk, u fuq in-naħa riċeviment ta' l-entratura. Jiddekripta l-informazzjoni trażmessa fuq dan il-kanal, it-terminal jirċievi juża ċavetta speċjali. Fi kliem ieħor, li jintervjeni fit-trasferiment jew tikkomprometti l-integrità tad-dejta trażmessa fil-mument wieħed ma jistax mingħajr ewlieni.

Biss ftuħ SSH-port fuq kwalunkwe router jew billi tuża l-issettjar addattat tal-klijent addizzjonali jinteraġixxi b'mod dirett ma 'l-SSH server, jippermettilek li tuża bis-sħiħ il-karatteristiċi ta' sistemi moderni ta 'sigurtà tan-netwerk. Aħna qegħdin hawn dwar kif tuża port li huwa assenjat mill default jew tad-dwana settings. Dawn il-parametri fl-applikazzjoni tista 'tidher diffiċli, iżda mingħajr għarfien ta' l-organizzazzjoni ta 'tali konnessjoni mhijiex biżżejjed.

Standard tal-port SSH

Jekk, fil-fatt, ibbażata fuq il-parametri ta 'xi ta' l-router għandu l-ewwel jiddeterminaw l-ordni, liema tip ta 'softwer se jintużaw biex jattivaw din ir-rabta. Fil-fatt, il-port SSH default jista 'jkollhom settings differenti. Kollox jiddependi fuq liema metodu jintuża fil-mument (konnessjoni diretta mas-server, installazzjoni addizzjonali twassil tal-port klijent u l-bqija. D.).

Per eżempju, jekk il-klijent użat Jabber, għall-konnessjonijiet korretta, encryption, u data tat-trasferiment tal-port 443 għandu jintuża, għalkemm l-inkarnazzjoni huwa stabbilit fil-port istandard 22.

Għal reset-router għall-allokazzjoni għal programm partikolari jew jipproċessa l-kondizzjonijiet meħtieġa jkollha twettaq twassil tal-port SSH. X'inhu dan? Huwa l-iskop ta 'aċċess partikolari għal programm wieħed li juża konnessjoni Internet, irrispettivament minn liema istabbiliment huwa attwali ta' skambju protokoll data (IPv4 jew IPv6).

ġustifikazzjoni teknika

Standard SSH port 22 huwa mhux dejjem użat kif kien diġà ċar. Madankollu, hawnhekk huwa meħtieġ li jiġu allokati xi wħud mill-karatteristiċi u settings użati matul setup.

Għaliex kriptata protokoll kunfidenzjalità tad-data tinvolvi l-użu ta SSH bħala (mistieden) tal-port utent purament esterna? Iżda biss għaliex tunnelling hija applikata tippermetti l-użu ta 'hekk imsejħa qoxra remot (SSH), sabiex jikseb aċċess għall-ġestjoni tat-terminal permezz login remoti (slogin), u tapplika l-proċedura tal-kopja remot (SCP).

Barra minn hekk, SSH-port tista 'tiġi attivata fil-każ fejn l-utent huwa meħtieġ biex tesegwixxi skripts remoti X Windows, li fil-każ sempliċi trasferiment ta' informazzjoni minn magna waħda għall-ieħor, kif intqal, bil-encryption ta 'data sfurzat. F'sitwazzjonijiet bħal dawn, l-aktar meħtieġa se tuża bbażata fuq l-algoritmu AES. Din hija algoritmu kriptaġġ simmetriku, li oriġinarjament kienet ipprovduta fit-teknoloġija SSH. U l-użu mhux biss possibbli iżda meħtieġa.

Storja tar-realizzazzjoni

It-teknoloġija deher għal żmien twil. Ejjew twarrab l-kwistjoni ta 'kif jagħmlu port SSH silġ, u tiffoka fuq kif dan xogħlijiet kollha.

Normalment niġu jistabbilixxi, jużaw prokura fuq il-bażi ta 'Kalzetti jew l-użu VPN tunnelling. Fil-każ xi software applikazzjoni jistgħu jaħdmu ma 'VPN, aħjar li jagħżlu din l-għażla. Il-fatt li l-programmi kważi kollha magħrufa llum jużaw l-traffiku tal-internet, il-VPN jistgħu jaħdmu, iżda konfigurazzjoni faċilment rotta mhuwiex. Dan, bħal fil-każ tas-servers ta 'prokura, jippermetti li jħallu l-indirizz esterna tal-port minn fejn l bħalissa prodotta fin-netwerk produzzjoni, mhux rikonoxxut. Dan huwa l-każ bl-indirizz prokura huwa dejjem tinbidel, u VPN verżjoni tibqa 'mhux mibdula bl-iffissar ta' reġjun partikolari, li ma jkunx dak fejn ikun hemm projbizzjoni fuq aċċess.

L-istess teknoloġija li toffri port SSH, ġie żviluppat fl-1995 fil-Università tat-Teknoloġija fil-Finlandja (SSH-1). Fl-1996, it-titjib ġew miżjuda fil-forma ta 'SSH-2 protokoll, li kien pjuttost mifruxa fl-ispazju post-Sovjetiku, għalkemm għal dan, kif ukoll f'xi pajjiżi Ewropej tal-Punent, huwa kultant meħtieġ li jiksbu permess biex jużaw dan mina, u minn aġenziji tal-gvern.

Il-vantaġġ prinċipali ta 'ftuħ SSH-port, għall-kuntrarju telnet jew rlogin, huwa l-użu ta' firem diġitali RSA jew DSA (l-użu ta 'par ta miftuħa u ċavetta midfun). Barra minn hekk, f'din is-sitwazzjoni tista 'tuża l-hekk imsejħa ċavetta għal sessjoni bbażati fuq Diffie-Hellman algoritmu, li tinvolvi l-użu ta' produzzjoni kriptaġġ simmetriku, għalkemm mhux jipprekludi l-użu ta 'algoritmi ta' kriptar asimetriċi waqt it-trasmissjoni tad-data u r-riċeviment bil-magna oħra.

Servers u qoxra

Fuq Windows jew Linux miftuħa SSH-port ma jkunx hekk diffiċli. L-unika kwistjoni hija, liema tip ta 'għodda għal dan il-għan se jintużaw.

F'dan is-sens huwa meħtieġ li tingħata attenzjoni għall-kwistjoni tal trasmissjoni ta 'informazzjoni u l-awtentikazzjoni. L-ewwelnett, il-protokoll innifsu huwa protett biżżejjed mill-xamm hekk imsejħa, li hija l-aktar tas-soltu "wiretapping" tat-traffiku. -SSH 1 ppruvat li jkunu vulnerabbli għal attakki. Interferenza fil-proċess ta 'trasferiment tad-data fil-forma ta' skema ta ' "bniedem fin-nofs" kellhom riżultati tagħha. Informazzjoni tista 'sempliċement jinterċettaw u jiddeċifraw pjuttost elementari. Iżda t-tieni verżjoni (SSH-2) kienet immuni għal dan it-tip ta 'intervent, magħrufa bħala ħtif sessjoni, grazzi għal dak li huwa l-aktar popolari.

projbizzjonijiet sigurtà

Fir-rigward tas-sigurtà fir-rigward tad-dejta trażmessa u riċevuti, l-organizzazzjoni ta 'konnessjonijiet stabbiliti bl-użu ta' teknoloġija bħal din tippermetti tevita l-problemi li ġejjin:

• muftieħ identifikazzjoni lill-Istat ospitanti fil-pass trasmissjoni, meta "snapshot» marki tas-swaba ta ';
• Appoġġ għall-Windows u s-sistemi UNIX-like;
• sostituzzjoni ta 'PI u indirizzi DNS (spoofing);
• interċettazzjoni password miftuħa mal aċċess fiżiku għall-kanal tad-data.

Attwalment, l-organizzazzjoni kollha ta 'tali sistema hija mibnija fuq il-prinċipju ta' "klijent server", jiġifieri, l-ewwel kompjuter l-utent permezz ta 'programm speċjali jew żid-in sejħiet għall-server, li jipproduċi direzzjoni mill-ġdid korrispondenti.

tunnelling

Huwa ovvju li l-implimentazzjoni tal-konnessjoni ta 'dan it-tip ta' sewwieq speċjali għandu jiġi installat fuq is-sistema.

Tipikament, f'sistemi bil-Windows hija mibnija fis-sewwieq qoxra programm Microsoft Teredo, li huwa tip ta 'mezz emulazzjoni virtwali ta' l-IPv6 fin-netwerks ta 'appoġġ IPv4 biss. adapter nuqqas mina hija attiva. Fil-każ ta 'nuqqas assoċjat magħha, inti tista' biss tagħmel jistartja sistema jew iwettqu għeluq u jerġgħu jibdew kmandi mill-kmand console. Diżattivazzjoni tali linji huma użati:

• netsh;
• interface istat sett teredo b'diżabilità;
• interface isatap sett istat b'diżabilità.

Wara li tidħol l-kmand għandu jerġa 'jibda. Biex terġa 'tippermetti l-adapter u jivverifika l-istatus tal-persuni b'diżabilità minflok il-permess reġistri ppermettiet, wara li, għal darb'oħra, jekk jerġa' jibda s-sistema kollha.

SSH server

Issa ejja naraw kif il-port SSH huwa użat bħala l-qalba, li jibdew mill-iskema "klijent server". In-nuqqas hija normalment applikata 22 minuta tal-port, imma, kif imsemmi hawn fuq, jistgħu jintużaw u l-443. L-unika domanda fil-preferenza ta 'l-server innifsu.

Il SSH servers aktar komuni huwa meqjus li jkun dan li ġej:

• għall-Windows: Tectia SSH Server, OpenSSH ma cygwin, MobaSSH, KpyM telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• għal FreeBSD: OpenSSH;
• għal-Linux: Tectia SSH Server, ssh, OpenSSH-server, lsh server, dropbear.

Kollha tas-servers huma b'xejn. Madankollu, inti tista 'ssib u mħallsa servizzi li jipprovdu livelli akbar ta' sigurtà, li hija essenzjali għall-organizzazzjoni ta 'aċċess tan-network u s-sigurtà ta' informazzjoni fl-intrapriżi. L-ispiża ta 'tali servizzi mhuwiex diskuss. Iżda b'mod ġenerali nistgħu ngħidu li huwa relattivament irħas, anke meta mqabbla mal-installazzjoni ta 'software speċjali jew "ħardwer" firewall.

SSH klijent

port bidla SSH tista 'ssir fuq il-bażi tal-programm klijent jew tal-issettjar adatt meta twassil tal-port fuq router tiegħek.

Madankollu, jekk inti tmiss il-qoxra klijent, il-prodotti ta 'softwer li ġejjin jistgħu jintużaw għal sistemi differenti:

• Twieqi - SecureCRT, stokk \ kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD eċċ;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux u BSD: lsh-klijent, kdessh, OpenSSH-klijent, Vinagre, stokk.

Awtentikazzjoni hija bbażata fuq il ċavetta pubblika, u jibdlu l-port

Issa ftit kliem dwar kif il-verifika u t-twaqqif ta 'server. Fil-każ sempliċi, inti għandek tuża fajl konfigurazzjoni (sshd_config). Madankollu, inti tista 'tagħmel mingħajr dan, per eżempju, fil-każ ta' programmi bħal stokk. port bidla SSH mill-valur ta 'default (22) għal kull oħra hija kompletament elementari.

Il-ħaġa prinċipali - li tiftaħ numru tal-port ma jaqbiżx il-valur tal-65,535 (portijiet ogħla sempliċiment ma jeżistu fin-natura). Barra minn hekk, għandhom jagħtu attenzjoni għal xi portijiet miftuħa fil-kontumaċja, li jistgħu jintużaw mill-klijenti bħal MySQL jew FTPD databases. Jekk inti tispeċifika minnhom għal konfigurazzjoni SSH, naturalment, huma biss jieqfu jaħdmu.

Huwa ta 'min jinnota li l-istess klijent Jabber għandu tkun qed taħdem fl-istess ambjent li jużaw SSH server, per eżempju, fuq magna virtwali. U l-aktar server localhost se jkollhom bżonn biex assenjat valur lill 4430 (minflok 443, kif imsemmi hawn fuq). Din il-konfigurazzjoni jistgħu jintużaw meta l-aċċess għall-jabber.example.com fajl prinċipali imblukkata mill-firewall.

Min-naħa l-oħra, il-portijiet ta 'trasferiment jista' jkun fuq il-router użu tal-konfigurazzjoni tal-relazzjoni tagħha mas-ħolqien ta 'eċċezzjonijiet għar-regoli. Fil mudelli l-aktar kontribut permezz indirizzi input u jibdew bl 192.168 supplimentati 0.1 jew 1.1, iżda routers jikkombinaw kapaċitajiet ADSL-modems bħall Mikrotik, l-indirizz aħħari jinvolvi l-użu ta '88.1.

F'dan il-każ, joħolqu regola ġdida, mbagħad issettja l-parametri meħtieġa, per eżempju, biex tinstalla l-konnessjoni esterna DST-nat, kif ukoll portijiet magħżula manwalment mhumiex taħt il-settings ġenerali u fit-taqsima ta 'preferenzi attiviżmu (Azzjoni). Xejn wisq ikkumplikat hawn. Il-ħaġa prinċipali - li jispeċifikaw il-valuri meħtieġa ta 'settings u jistabbilixxu l-port korretta. Konvenzjonalment, inti tista 'tuża port 22, iżda jekk il-klijent juża speċjali (xi wieħed minn dawn għal sistemi differenti), il-valur jistgħu jiġu mibdula b'mod arbitrarju, iżda biss sabiex dan il-parametru ma jaqbiżx il-valur iddikjarat, fuq minnu numri tal-port sempliċement mhumiex disponibbli.

Meta inti twaqqaf konnessjonijiet wkoll għandhom jagħtu attenzjoni għall-parametri tal-programm klijent. Jista 'jkun ukoll li f'ambjenti tagħha għandhom jispeċifikaw it-tul minimu taċ-ċavetta (512), għalkemm in-nuqqas huwa normalment stabbiliti 768. Huwa wkoll mixtieq li jiġu stabbiliti l-timeout log fuq il-livell ta' 600 sekondi u l-remoti permess aċċess bi drittijiet għeruq. Wara l-applikazzjoni dawn is-settings, inti għandek bżonn biex jippermettu wkoll l-użu tad-drittijiet kollha ta 'awtentikazzjoni, minbarra dawk ibbażati fuq l-.rhost użu (iżda huwa meħtieġ biss li amministraturi tas-sistema).

Fost affarijiet oħra, jekk l-isem l-utent irreġistrat fis-sistema, mhux l-istess kif introdotta fil-mument, għandu jiġi speċifikat espliċitament użu tal-kmand kaptan ssh utent bl-introduzzjoni ta 'parametri addizzjonali (għal dawk li jifhmu dak li huwa involut).

Tim ~ / .ssh / id_dsa jistgħu jintużaw għat-trasformazzjoni taċ-ċavetta u l-metodu ta 'encryption (jew RSA). Biex jinħoloq ċavetta pubblika użat mill-konverżjoni bl-użu tal-linja ~ / .ssh / identity.pub (iżda mhux neċessarjament). Iżda, kif turi l-prattika, l-eħfef mod biex jużaw jikkmanda bħal ssh-Keygen. Hawnhekk l-essenza tal-kwistjoni hija mnaqqsa biss għall-fatt, li żżid il-muftieħ għall-għodod awtentikazzjoni disponibbli (~ / .ssh / authorized_keys).

Iżda aħna jesaġeraw. Jekk inti tmur lura għall-kwistjoni settings port SSH, kif kien ċar port SSH bidla mhuwiex daqshekk diffiċli. Madankollu, f'xi sitwazzjonijiet, jgħidu, se jkollhom għaraq, minħabba l-ħtieġa li jitqiesu l-valuri kollha ta 'parametri ewlenin. Il-bqija tal-kwistjoni konfigurazzjoni jeħodna għall-entratura ta 'kwalunkwe programm server jew klijent (jekk ikun provdut inizjalment), jew għall-użu twassil tal-port fuq il-router. Iżda anke f'każ ta 'bidla tal-port 22, l-inadempjenza, għall-istess 443, għandu jinftiehem b'mod ċar li tali skema ma dejjem xogħol, iżda biss fil-każ ta' installazzjoni l-istess żid-in Jabber (analogi oħra jista 'jattiva u l-portijiet rispettivi tagħhom, hija differenti mill-istandard). Barra minn hekk, attenzjoni speċjali għandha tingħata parametru twaqqif SSH klijent, li se direttament jinteraġixxu mal-SSH server, jekk ikun verament suppost li jużaw l-konnessjoni kurrenti.

Fir-rigward tal-bqija, jekk il-twassil tal-port ma jkunx ipprovdut inizjalment (għalkemm huwa mixtieq li jwettaq azzjonijiet bħal dawn), l-issettjar u l-għażliet għall-aċċess permezz SSH, inti ma tistax tbiddel. Hemm xi problemi meta ħolqien ta 'konnessjoni, u l-użu ulterjuri tagħha, b'mod ġenerali, mhux mistenni (sakemm, naturalment, mhux se jintuża manwalment kkonfigurat l-konfigurazzjoni bbażati server u l-klijent). L-eċċezzjonijiet aktar komuni għall-ħolqien ta 'regoli dwar l-router jippermettilek li tikkoreġi xi problemi jew jevitawhom.