Qanday sozlash va SSH port foydalanish kerak? qadam hidoyat qadam

Shell xavfsiz, yoki ssh deb qisqartiriladi, u uzatish eng ilg'or ma'lumotlar himoya qilish texnologiyalarini biridir. Shu yo'riqnoma bunday rejim foydalanish nafaqat uzatiladigan axborotning maxfiyligini beradi, balki paketlar almashinuvi tezlashtirish uchun. Ammo, har uzoq ssh port ochish uchun biladi, va nima uchun bu barcha zarur. Bu holda u konstruktiv tushuntirish berish uchun zarur hisoblanadi.

Port SSH: bu nima va nima uchun biz kerak?

Biz bu holda, xavfsizlik haqida gapirganda, chunki, ssh port ostida ma'lumotlar shifrlash imkonini beradi tunnel shaklida ajratilgan kanali tushunish kerak.

Bu tunnel eng ibtidoiy sxemasi deb ochiq SSH-port oxirgi nuqta ustida manba va parol ma'lumotlarni shifrlash sukut ishlatiladi. Agar bu yoqadi yoki yo'q, IPSec farqli o'laroq, trafikni uzatiladi majbur va tarmoq chiqish terminali ostida shifrlangan va kirish qabul tomonida bo'lsin: bu quyidagicha izohlash mumkin. Bu kanal orqali uzatiladi ma'lumot parolini hal qilish uchun, qabul terminal maxsus kalitini foydalanadi. Boshqa so'zlar bilan aytganda, o'tkazish aralashish yoki bir emas, bir kalit holda mumkin vaqtda uzatilayotgan ma'lumotlar butunligini buzishi.

Faqat SSH-server bilan to'g'ridan-to'g'ri biron yo'riqnoma yoki qo'shimcha mijozning tegishli parametrlarini foydalanib SSH-port o'zaro hamkorlik ochib, to'liq zamonaviy tarmoq xavfsizligi tizimlari, barcha xususiyatlaridan foydalanish imkonini beradi. Biz bu yerda standart yoki maxsus sozlash tomonidan tayinlangan bir port qanday foydalanish bor. qo'llash Bu parametrlar qiyin qarash, lekin bunday munosabati tashkil tushunish holda etarli emas mumkin.

Standard SSH port

Bo'lsa, albatta, birinchi tartibini aniqlash kerak yo'riqnoma har qanday parametrlari asoslangan, dasturiy ta'minot qanday bu linkni faollashtirish uchun foydalaniladi. Aslida, standart ssh port turli parametrlarini bo'lishi mumkin. Hamma narsa (qo'shimcha mijoz port yo'l-yo'riq va hokazo. D o'rnatish, serverga to'g'ridan-to'g'ri ulanish) on da ishlatiladi nima usuli bog'liq.

mijoz Jabber'dan ishlatiladigan bo'lsa mujassam standart port 22-yilda o'rnatilgan bo'lsa, masalan, to'g'ri aloqasi, shifrlash va ma'lumotlar uzatish port 443 uchun, foydalanish uchun emas.

Muayyan dasturi uchun ajratish uchun router qayta o'rnatish yoki zarur sharoit amalga oshirish kerak qayta ishlash uchun port yo'naltirish ssh. Bu nima? Bu sozlama joriy bo'lishidan qat'i nazar, qaysi, internet aloqasi bitta dasturiga muayyan kirish maqsadi protokol almashinuvi ma'lumotlar (IPv4 va IPv6).

texnik asos

u allaqachon aniq edi, deb Standard SSH port 22 har doim ishlatiladigan emas. Biroq, bu yerda u o'rnatish paytida ishlatiladigan xususiyatlari va sozlash ba'zi ajratish kerak.

Nima uchun shifrlangan ma'lumotlar maxfiylik bayonnomasi sof tashqi (mehmon) Foydalanuvchi portiga ssh foydalanishni o'z ichiga oladi? Lekin tunnel qo'llaniladi faqat, chunki u bir deb atalmish uzoq qobig'i (ssh) foydalanish, masofadan kirish (slogin) orqali terminal boshqarish uchun ruxsat olish va uzoq nusxasi tartibini (scp) murojaat qilish imkonini beradi.

Bundan tashqari, SSH-port foydalanuvchi uzoq skriptlarni majburiy ma'lumotlarni shifrlash bilan, dedi qilindi oddiy holda, bir mashina dan bir ma'lumot yo'llash bo'lgan X Windows, amalga oshirish uchun zarur bo'lgan holda ulanish mumkin. Bunday hollarda, eng zarur AES algoritm asosida foydalanadi. Bu dastlab SSH texnologiya taqdim etildi, bir nosimmetrik shifrlash algoritm hisoblanadi. Va imkon lekin zarur emas, faqat foydalaning.

realizatsiya tarixi

texnologiya uzoq vaqt davomida paydo bo'lgan. AQSh muzlatish SSH port qilish uchun qanday savol chetga tark, va qanday qilib u barcha ishlar e'tiborimizni qarataylik.

Odatda u Socks asosida proksi foydalanish yoki VPN tunnel foydalanish, pastga keladi. holda ba'zi dasturlar dasturi bu variantni tanlash, VPN bilan yaxshi ishlashi mumkin. deyarli barcha ma'lum dasturlar bugungi kunda Internet trafikni ishlatish dalil, VPN ishlash mumkin, lekin oson yo'l-yo'riq konfiguratsiya emas. Bu, proksi serverlar taqdirda sifatida, bugungi kunda tanilmagan, chiqish tarmog'ida ishlab chiqarilgan bo'lgan terminali tashqi manzilini tark qilish imkonini beradi. Bu proksi manzilini bilan ishi har doim o'zgarib, va VPN versiyasi foydalanish bo'yicha taqiq bor kimsadan boshqa muayyan mintaqa aniqlamay bilan o'zgarishsiz qoladi.

SSH port taklif juda Shu texnologiyasi, Finlyandiya texnologiyalari universiteti (ssh-1) 1995 yilda ishlab chiqilgan. 1996-yilda, shifo, bu uchun, shuningdek, ayrim G'arbiy Evropa mamlakatlarida, bu tunnel foydalanish uchun ruxsat olish uchun ba'zan zarur bo'lsa-da, post-sovet fazoda juda keng tarqalgan edi SSH-2 protokol, shaklida qo'shiladi, va davlat organlari etildi.

Telnet yoki rlogin farqli o'laroq, SSH-port ochish asosiy afzalligi, raqamli imzo RSA yoki DSA (ochiq bir juft va dafn kaliti foydalanish) foydalanish hisoblanadi. boshqa mashina tomonidan ma'lumotlar uzatish va qabul paytida asimmetrik shifrlash algoritmlarini foydalanishni oldini bo'lmasa-da Bundan tashqari, bu vaziyatda siz, bir nosimmetrik shifrlash chiqishi foydalanishni o'z ichiga oladi Diffie-Hellman algoritm asosida atalmish majlisi tugmasini foydalanishingiz mumkin.

Serverlar va qobiq

Windows yoki Linux SSH-port ochiq , shuning uchun qiyin emas. faqat savol foydalaniladi, bu maqsad uchun nima vositalari xil bo'ladi.

Shu ma'noda axborot uzatish va autentifikatsiya masalasiga e'tibor qilish kerak. Birinchidan, protokol o'zi etarli trafik eng odatiy "telequloq" deb atalmish, hidlash, bilan himoyalangan. SSH-1 hujumlarga zaif ekanini isbotladi. "O'rta odam" bir sxemasi shaklida ma'lumotlarni uzatish jarayonida aralashish, uning natijalarini edi. Axborot shunchaki to'xtatish va juda elementar tilbiriktirganini mumkin. Lekin, ikkinchi versiyasi (ssh-2) eng mashhur nima uchun rahmat majlisi hujumlarga sifatida tanilgan aralashuvi bunday, uchun immun bo'ldi.

xavfsizlik man

uzatilgan va qabul qilingan ma'lumotlarning nisbatan xavfsizlik kelsak, bunday texnologiya foydalanish bilan tashkil ulanishlar tashkil etish quyidagi muammolarni oldini olish imkonini beradi:

• uzatish qadamda xost, bir "surat» barmoq identifikatsiya tugmasi;
• Windows va UNIX-kabi tizimlari uchun qo'llab-quvvatlash;
• IP-va DNS manzili (aldash) almashtirish;
• ma'lumotlarni kanal jismoniy kirish bilan ochiq parolni oldini.

Aslida, bunday tizim butun tashkilot "mijoz-server» tamoyili bo'yicha qurilgan, ya'ni, bir maxsus dastur yoki tegishli yo'l-yo'riq ishlab chiqaradi server, kiritish-yilda qo'ng'iroqlar orqali barcha foydalanuvchi kompyuter birinchi.

Yer osti yo'li

Bu maxsus qurilmasi bunday munosabati amalga oshirish tizimi o'rnatilgan bo'lishi kerak, deb turib ketadi.

Odatda, Windows asoslangan tizimlarida faqat IPv4 qo'llab-quvvatlash tarmoqlarda IPv6 virtual o'xshatish vositasida bir xil bo'lgan dastur qobiq haydovchi Microsoft yog'och qurti, ichiga qurilgan. Tunnel standart adapter faol. u bilan bog'liq bo'lgan qobiliyatsiz taqdirda, siz faqat tizimini qayta qilish yoki O'chirish va buyruq konsolidan buyruqlarni qayta boshlash mumkin. Bunday chiziqlar ishlatiladi o'chirish uchun:

• netsh;
• interfeysi yog'och qurti majmui davlat o'chirib;
• interfeysi ISATAP belgilangan davlat o'chirib.

qayta lozim buyrug'ini kirib keyin. Qaysi keyin, yana, butun tizimini qayta kerak, adapterni qayta faollashtirish va o'rniga yoqishingiz registrlari ruxsatnomaning nogiron holatini tekshirib ko'ring.

SSH-server

Endi ssh port sxemasi "mijoz-server» dan boshlab, yadro sifatida ishlatiladi qanday ko'raylikchi. Standart odatda yuqorida aytib o'tilganidek, foydalanish va 443rd mumkin, 22 daqiqa port qo'llaniladi, lekin. server o'zi qo'yib faqat savol.

eng keng tarqalgan SSH-serverlar quyidagi hisoblanadi:

• Windows uchun: Tectia ssh Server, Cygwin, MobaSSH, KpyM Telnet / ssh Server, WinSSHD, copssh, freeSSHd bilan OpenSSH;
• FreeBSD uchun: openssh;
• Tectia ssh Server, ssh, openssh-server, LSH-server, dropbear: Linux uchun.

serverlar barcha bepul. Ammo, korxonalar tarmoq kirish va axborot xavfsizligi tashkil etish uchun muhim bo'lgan xavfsizlik, hatto katta darajasini ta'minlash xizmatlarini topish va pullik bo'lishi mumkin. Bunday xizmatlar qiymati muhokama qilinmaydi. Lekin, umuman olganda, biz uni, hatto maxsus dasturiy yoki "apparat" xavfsizlik devori o'rnatish bilan solishtirganda, nisbatan arzon, deb aytish mumkin.

SSH-mijoz

O'zgartirish SSH port mijoz dasturi asosida yoki yo'riqnoma tegishli sozlamalarni port yo'naltirish qilinishi mumkin.

Agar mijoz qobiq tegib bo'lsa, quyidagi dasturiy mahsulotlar turli tizimlari uchun foydalanish mumkin:

• Windows - SecureCRT, PuTTY \ singlimiz, Axessh, ShellGuard, SSHWindows, Zoc'un, XShell, ProSSHD boshqalar;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux va UX: LSH-mijoz, kdessh, openssh-mijoz, Vinagre, macun.

Haqiqiylikni tekshirish davlat kalit asoslangan va port o'zgartirish bo'ladi

Endi qanday qilib tekshirish va server o'rnatish haqida bir necha so'zlar. oddiy holda, siz konfiguratsiya faylini (sshd_config) foydalanishingiz kerak. Ammo, bu kabi PuTTY sifatida dasturlarni holda, masalan, u holda, albatta, mumkin. boshqa har qanday uchun standart qiymati (22) Change SSH port to'liq boshlang'ich hisoblanadi.

asosiy narsa - bir port raqami ochish uchun 65535 qiymatini (oliy portlar shunchaki tabiatda mavjud bo'lmagan) dan oshmaydi. Bundan tashqari, MySQL yoki ftpd bazalari kabi mijozlar tomonidan foydalanish mumkin sukut ochiq portlar, e'tibor kerak. Agar SSH konfiguratsion uchun ularni belgilash bo'lsa, albatta, ular faqat ish to'xtatish.

Bu ayni Jabber mijoz bir virtual mashina ustida, masalan, SSH-server orqali shu muhitda ishlaydigan bo'lishi kerak, deb qayd arziydi. Va eng server localhost (yuqorida aytilganidek, o'rniga 443) 4430 uchun bir qiymati tayinlash kerak bo'ladi. Asosiy fayl jabber.example.com foydalanish xavfsizlik devori tomonidan bloklangan bo'lsa, bu konfiguratsiya foydalanish mumkin.

Boshqa tomondan, uzatish portlari qoidalariga istisnolardan yaratish bilan interfeys sozlamasini orqali yo'riqnoma bilan bo'lishi mumkin. eng modellarida Kirish manzillar orqali kiritish 0,1 yoki 1,1 bilan to'ldirilsin 192.168 bilan boshlanadigan, lekin mikrotik kabi qobiliyat ADSL-modemlar birlashtirgan routerlar, oxiri manzili 88,1 foydalanishni o'z ichiga oladi.

shuningdek qo'lda tutilgan portlar Umumiy sozlash ostida va Activism preferensiyalar bo'limda (action) emas, tashqi ulanishni DSt-nat o'rnatish uchun, bu holda, keyin, yangi qoida yaratish Misol uchun, zarur parametrlarini sozlash. Hech narsa bu erda ham murakkab. Asosiy narsa - sozlamalar talab qiymatlarni tanlashingiz va to'g'ri ulanish nuqtasini belgilash uchun. Sukut bo'yicha siz port 22 foydalanishingiz mumkin, lekin mijoz maxsus (turli tizimlari uchun yuqoridagi ba'zi) foydalanadi bo'lsa, qiymati o'zboshimchalik o'zgartirilishi mumkin, lekin faqat shu qadar, bu parametr port raqamlari oddiygina mavjud emas qaysi yuqorida e'lon qiymatini, oshmaydi.

Agar ulanish o'rnatilgan bo'lsa ham mijoz dasturi parametrlari e'tibor kerak. Bu yaxshi ko'rsatuv odatda 768. belgilangan Shuningdek, 600 soniya darajasida va ildiz huquqlari bilan masofaviy erkin foydalanish ruxsat berish uchun tizimga takrorlash o'rnatish uchun kerak bo'ladi-da, uning sozlash, kalit (512) eng kam uzunligini belgilash kerak bo'lishi mumkin. Ushbu ri qo'llash so'ng, shuningdek, foydalanish .rhost asoslangan o'zga barcha Autentifikatsiya huquqlari foydalanish, ruxsat kerak (lekin u faqat tizim administratorlari uchun zarur).

Foydalanuvchi nomi tizimda ro'yxatga agar boshqa narsalar orasida, ayni paytda joriy bir xil emas, deb, u (xavf ostida nima tushunish kishilar uchun) qo'shimcha parametrlar joriy etish bilan foydalanuvchi ssh master buyruq yordamida ochiq ko'rsatilgan bo'lishi kerak.

Team ~ / Ssh / id_dsa kaliti o'zgartirish va shifrlash usuli (yoki RSA) uchun foydalanish mumkin. liniyasi ~ / Ssh / identity.pub (lekin shart emas) yordamida konvertatsiya tomonidan foydalaniladigan umumiy kaliti yaratish uchun. Lekin, amaliyot shuni ko'rsatmoqdaki, eng oson yo'li ssh-keygen kabi buyruqlarni ishlatish. Bu erda masala mohiyati mavjud Autentifikatsiya vositalari (~ / Ssh / authorized_keys) kaliti kiritish uchun, faqat Aslida pasaytirildi.

Lekin, biz juda uzoq ketgan. Agar port ri SSH masalaga qaytib borsangiz, bo'ldi, deb ochiq-oydin almashtirish SSH port shunday qiyin emas. Biroq, ba'zi vaziyatlarda, derlar, ehtiyoj hisobga asosiy parametrlari barcha qiymatlarni qabul qilish, chunki, ter kerak bo'ladi. konfiguratsiya masala qolgan (u dastlab taqdim bo'lsa) har qanday server yoki mijoz dasturi kirish uchun pastga qaynoq, yoki yo'riqnoma ustidagi port yo'l-yo'riq foydalanish. Lekin hatto portiga 22 o'zgarishi taqdirda, standart, shu 443rd uchun, aniq, bunday dastur har doim boshqa analoglar va ularning tegishli portlar faollashtirish mumkin (lekin faqat shu plaginni-yilda Jabber o'rnatish taqdirda ishlamaydi anglash kerak Bu) standarti bilan farq qiladi. Bundan tashqari, alohida e'tibor, albatta joriy ulanishni ishlatish kerak bo'lsa, to'g'ridan-to'g'ri, SSH-server bilan o'zaro qiladi SSH-mijoz, parametr berilishi kerak.

(Bunday harakatlarni amalga oshirish uchun kerak bo'lsa-da), port yo'naltirish dastlab taqdim bo'lmasa dam kelsak, ssh orqali kirish uchun Sozlamalar va imkoniyatlari, siz o'zgartirish mumkin emas. (Albatta, qo'lda ishlatiladigan konfiguratsiya asoslangan server va mijoz konfiguratsiya bo'lmaydi, bo'lsa) bor, umuman bir aloqasi va uni yanada foydalanish, yaratish har qanday muammo, kutilmoqda emas. yo'riqnoma qoidalarini yaratish uchun eng keng tarqalgan istisnolar Agar biron-bir muammolarni tuzatish yoki ularni oldini olish imkonini beradi.