Како да го конфигурирате и да се користи SSH порта? Чекор по чекор водич

Безбедна школка, или скратено како SSH, таа е една од најнапредните технологии за заштита на податоци во преносот. Користењето на таков режим на ист рутер овозможува не само на доверливоста на пренесената информација, но исто така да се забрза размената на пакети. Сепак, не секој знае далеку што да се отвори SSH порта, и зошто сето ова е потребно. Во овој случај тоа е потребно да се даде конструктивен објаснување.

Порт SSH: што е тоа и зошто ни се потребни?

Бидејќи станува збор за безбедноста, во овој случај, под SSH порта треба да се сфати посветен канал во форма на тунел, кој предвидува енкрипција на податоците.

Најпримитивните шема на овој тунел е дека отворен SSH порта се користи како стандардна за шифрирање на податоци на изворот и декрипција на крајната точка. Ова може да се објасни на следниов начин: дали ви се допаѓа или не, пренесува сообраќај, за разлика од IPSec, шифрирана под принуда и на излез терминалот на мрежата, како и на приемната страна на влезот. За декриптирање на информациите пренесени на овој канал, добивањето на терминал користи посебен клуч. Со други зборови, да се интервенира во преносот или загрозат интегритетот на пренесените податоци во овој момент никој не може без клуч.

Само отворање на SSH-порта на било кој рутер или со користење на соодветни поставувања на дополнителните клиентот се поврзува директно со SSH-сервер, ви овозможува целосно да ги користат сите карактеристики на современите системи за мрежна безбедност. Ние сме тука за тоа како да се користи порта на која е назначен од страна стандардно или прилагодени поставки. Овие параметри во примената може да изгледа тешко, но без разбирање на организацијата на таква врска не е доволно.

Стандардна порта SSH

Ако, навистина, врз основа на параметрите на која било од рутер прво треба да се утврди редоследот, каков вид на софтвер ќе се користи за активирање на овој линк. Всушност, SSH стандардната порта може да има различни поставувања. Сè зависи од тоа кој метод се користи во моментот (директна врска со серверот, инсталирање на дополнителен товар клиент порта и така натаму. Д.).

На пример, ако на клиентот се користи Jabber, за правилно врски, енкрипција, и пренос на податоци пристаниште 443 треба да се користи, иако олицетворение е поставена во стандардна порта 22.

За да го ресетирате рутерот за распределба за одредена програма или процес на потребните услови мора да се изврши порт пренасочување на SSH. Што е тоа? Тоа е целта на одредена пристап до единствена програма која користи интернет конекција, без разлика на која опција е моменталната размена протокол податоци (IPv4 или IPv6).

техничката оправданост

Стандардна SSH порта 22 не секогаш се користи како што веќе беше јасно. Сепак, тука тоа е потребно да се одвои некои од карактеристиките и прилагодувања кои се користат за време на поставувањето.

Зошто шифрирана протокол за доверливост на податоци вклучува употреба на SSH како чисто надворешна (гостин) корисникот пристаниште? Но, само затоа што се применува тунелирање што им овозможува на употреба на т.н. далечински школка (SSH), за да се добие пристап до терминал за управување со мрежниот логин (slogin), а се применува постапката за далечински копија (SCP).

Покрај тоа, SSH-пристаниште може да се активира во случај кога е потребно корисникот да се изврши далечински скрипти X Windows, кои во наједноставен случај е пренос на информации од една машина на друга, како што беше речено, при присилно енкрипција на податоците. Во такви ситуации, најмногу е потребно ќе го користи врз основа на алгоритам AES. Ова е симетрична енкрипција алгоритам, кој првично беше предвидено во SSH технологија. И го користат не само можна, но неопходни.

Историја на реализација

Технологијата се појави за долго време. Да ги оставиме настрана прашањето за тоа како да се направи шлаг SSH порта, и да се фокусира на тоа како сето тоа функционира.

Обично тоа се сведува на, да се користи прокси врз основа на чорапи или да користите VPN тунелирање. Во случај некои софтверски апликации можат да работат со VPN, подобро да се избере оваа опција. Фактот дека речиси сите познати програми денес го користат интернет сообраќај, на VPN може да работи, но лесно рутирање конфигурација не е. Ова, како и во случај на прокси сервери, им овозможува да го напушти Адреса на терминалот од кои во моментов се произведуваат во производството мрежа, непризната. Таков е случајот со адресата на прокси е секогаш се менува, и VPN верзија останува непроменета со фиксација на одреден регион, освен онаа која има забрана за пристап.

На истата технологија која нуди SSH порта, беше развиен во 1995 година на Универзитетот за технологија во Финска (SSH-1). Во 1996 година, биле додадени подобрувања во форма на SSH-2 протокол, која беше доста распространет во пост-советскиот простор, иако за тоа, како и во некои западноевропски земји, понекогаш е потребно да се добие дозвола за користење на тунелот, и од владини агенции.

Главната предност на отворањето на SSH-пристаниште, што е спротивно на телнет или меѓу кои, е користење на дигитални потписи RSA и DSA (употребата на еден пар на отворен и погребан клуч). Исто така, во оваа ситуација може да се користат т.н. сесија клуч врз основа на Diffie-Hellman алгоритам, кој вклучува и употреба на симетрична енкрипција излез, иако не исклучува употреба на асиметрична енкрипција алгоритми за време на пренос на податоци и прием од страна на друга машина.

Сервери и школка

На Windows или Linux SSH-пристаниште отворено не е толку тешко. Единственото прашање е, каков вид на алатки за оваа намена ќе се користат.

Во оваа смисла тоа е неопходно да се обрне внимание на прашањето за пренос на информации и автентикација. Прво, самиот протокол е доволно заштитен од страна на т.н. душкаат, која е најобичната "прислушкување" на сообраќај. SSH-1 покажа дека се ранливи на напади. Пречки во процесот на пренос на податоци во форма на шема на "човекот во средината" ја имаше својата резултати. Информации едноставно може да се интервенира и дешифрира прилично основното. Но, втората верзија (SSH-2) е имуна на овој вид на интервенција, познат како сесија киднапирање, благодарение на она што е најпопуларниот.

Забрана за безбедност

Како и за безбедност во однос на испратените и примените податоци, во организација на конекции формирана со користење на оваа технологија овозможува да ги следите следните проблеми:

• идентификација на клучот за домаќин на чекор пренос, кога "слика» отпечатоци;
• Поддршка за Windows и UNIX-like системи;
• замена на IP и DNS адреси (измама);
• зграпчување отворен лозинка со физички пристап до каналот на податоци.

Всушност, целата организација на еден ваков систем е изградена врз принципот на "клиент-сервер", што е, прво на сите компјутерот на корисникот преку посебна програма или додадете-во разговори со серверот, која произведува соодветните редирекција.

тунелирање

Тоа подразбира дека спроведувањето на поврзаноста на овој вид на посебен возачот мора да биде инсталиран на системот.

Обично, во Windows-базирани системи се вградени во програмата возачот школка Мајкрософт Teredo, што е еден вид на виртуелен емулација помош на IPv6 мрежи во поддршка само IPv4. адаптер тунел стандардно е активен. Во случај на неуспех поврзани со него, вие само може да се направи систем рестарт или вршење на исклучување и рестартирајте команди од командната конзола. За да го деактивирате се користат како линии:

• netsh;
• оневозможени интерфејс Teredo сет државата;
• интерфејс isatap Поставете оневозможени.

По внесување на команда треба да се рестартира. За да го вклучите повторно на адаптер и проверка на статусот на лицата со хендикеп, наместо от регистри дозвола, по што, пак, треба да го рестартирате на целиот систем.

SSH-сервер

Сега да видиме како SSH порта се користи како јадро, почнувајќи од шемата "клиент-сервер". Стандардната обично се применува во 22 минута пристаниште, но, како што е споменато погоре, може да се користи и 443.. Единственото прашање во изборот на серверот себе.

Најчестите SSH-сервери се смета за следново:

• за Windows: Tectia SSH сервер, OpenSSH со Cygwin, MobaSSH, KpyM Телнет / SSH сервер, WinSSHD, copssh, freeSSHd;
• за FreeBSD: OpenSSH;
• Linux: Tectia SSH сервер, SSH, OpenSSH-сервер, LSH-сервер, dropbear.

Сите сервери се бесплатни. Сепак, може да се најде и платени услуги кои нудат дури и поголем степен на безбедност, што е од суштинско значење за организација на пристап до мрежа и безбедноста на информациите во претпријатијата. Цената на таквите услуги не се дискутира. Но, во принцип може да се каже дека тоа е релативно евтина, дури и во споредба со инсталација на посебен софтвер или "хардвер" огнениот ѕид.

SSH клиент

Промена на SSH пристаниште може да се направи врз основа на програма на клиентот или на соодветни поставувања кога порт пренасочување на вашиот рутер.

Меѓутоа, ако се допре школка клиентот, следните софтверски производи може да се користат за различни системи:

• Windows - SecureCRT, кит \ Кити, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD итн;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux и BSD: LSH-клиент, kdessh, OpenSSH-клиент, Пристапете ги Вашите, кит.

За проверка на автентичност е врз основа на јавен клуч, и промена на порта

Сега неколку зборови за тоа како проверка и поставување на сервер. Во наједноставен случај, мора да се користи конфигурациската датотека (sshd_config). Сепак, може да се направи без него, на пример, во случај на програми како што се кит. Промена на SSH порта од стандардната вредност (22) со било кој друг е целосно основното.

Главната работа - да се отвори бројот на портата не ја надминува вредноста на 65535 (повисока пристаништа, едноставно не постојат во природата). Покрај тоа, треба да се обрне внимание на некои отворени порти по дифолт, која може да се користи од страна на клиентите како MySQL или ftpd бази на податоци. Ако им се определи за конфигурација на SSH, се разбира, тие едноставно престане да работи.

Вреди да се напомене дека истиот Jabber клиент мора да работи во истата средина со користење на SSH сервер, на пример, на виртуелна машина. И повеќето сервер localhost ќе треба да се додели вредност на 4430 (наместо 443, како што е споменато погоре). Оваа конфигурација може да се користи кога пристап до главната датотека jabber.example.com блокиран од страна на огнениот ѕид.

Од друга страна, пристаништа трансферот може да биде на рутер со користење на конфигурација на нејзиниот интерфејс со создавањето на исклучоци од правилата. Во повеќето модели влез преку внесување адреси почнуваат со 192,168 дополнети со 0,1 или 1,1, но рутери комбинирање способности АДСЛ модеми како Mikrotik, крајот адреса вклучува употреба на 88,1.

Во овој случај, се создаде ново правило, потоа во собата на потребните параметри, на пример, да се инсталира на надворешна врска DST-национално, како и рачно пропишани пристаништа не се под општите поставки и во делот на параметри активизам (Акција). Ништо не е премногу комплицирано тука. Главната работа - за да одредите потребните вредности на поставувања и го постави на вистинската порта. Стандардно, може да се користи порт 22, но ако клиентот користи специјална (некои од погоре за различни системи), вредноста може да се менува произволно, но само толку дека овој параметар не надминува декларираната вредност, над кој пристаниште броеви, едноставно, не се достапни.

Кога ќе се постави врски, исто така, треба да се обрне внимание на параметрите на програмата на клиентот. Тоа може да биде дека во својата поставувања треба да го наведете минималната должина на клучот (512), иако стандардно е обично се поставени 768. Исто така е пожелно да се постави на време за да се логирате за да се на ниво од 600 секунди, а дозвола за далечински пристап со право на коренот. По спроведувањето на овие подесувања, можете, исто така, треба да се дозволи употреба на сите права за проверка, освен оние врз основа на .rhost употреба (но тоа е само потребно да се систем администратори).

Меѓу другото, ако на корисничко име регистрирани во системот, не е исто како воведен во овој момент, тоа мора да бидат зададени експлицитно користење на корисничко ssh господар команда со воведување на дополнителни параметри (за оние кои се разбере она што е во прашање).

Тимот ~ / .ssh / id_dsa може да се користи за трансформација на клучот и енкрипција метод (или RSA). Да се создаде јавен клуч се користи од страна на конверзија со користење на линија ~ / .ssh / identity.pub (но не секогаш). Но, како што покажува практиката, најлесниот начин да ги користат команди како ssh-keygen. Еве на суштината на прашањето се сведува само на фактот, да додадете клучот на достапни алатки за проверка (~ / .ssh / authorized_keys).

Но, ние сме претерале. Ако се вратиме на прашањето за подесувањата на портите SSH, како што беше јасна промена SSH порта не е толку тешко. Меѓутоа, во некои ситуации, велат тие, ќе треба да се пот, затоа што треба да се земат предвид сите вредности на клучните параметри. Остатокот од прашањето за конфигурација се сведува на влезот на било кој сервер или клиент програма (ако тоа е предвидено на почетокот), или да се користи порт пренасочување на рутер. Но, дури и во случај на промена на порта 22, стандардно, на истиот 443., треба јасно да се разбере дека таквата шема не е секогаш работа, но само во случај на инсталирање на истиот додаток во Jabber (други аналози може да ги активирате и нивните пристаништа, таа се разликува од стандардните). Покрај тоа, треба да се посвети посебно внимание параметар поставување SSH клиент, со што директно ќе комуницирате со SSH-сервер, ако тоа е навистина би требало да се користи тековната конекција.

Што се однесува до останатите, ако се на товар на пристаништето не е предвидено на почетокот (иако тоа е пожелно да се вршат такви активности), подесувањата и опциите за пристап преку SSH, не може да се промени. Има било какви проблеми при создавањето на врска, и понатаму неговата употреба, во принцип, не се очекува (освен, се разбира, нема да се користи рачно конфигурирање на сервер-базирани и клиентот). Најчестите исклучоци за создавање на правила за рутер ти овозможува да се поправи било какви проблеми или да ги избегнете.