Kuidas seadistada ja kasutada SSH port? Samm-sammult juhis

Secure Shell, või lühendatult SSH, see on üks kõige arenenum andmekaitse tehnoloogiate edastamiseks. Selliste korra sama ruuter võimaldab mitte ainult edastatava teabe konfidentsiaalsuse, vaid ka kiirendada vahetamist paketid. Kuid mitte igaüks teab, kuivõrd avatud SSH port, ja miks see kõik on vajalik. Sel juhul on vaja anda konstruktiivset selgitus.

Port SSH: mis see on ja miks me peame?

Kuna me räägime turvalisuse, sel juhul alla SSH port tuleb mõista Erikanalil kujul tunnel, mis pakub andmete krüpteerimist.

Kõige primitiivne skeem käesoleva tunnel on, et avatud SSH-port kasutatakse vaikimisi andmete krüpteerimiseks tekkekohas ja dekodeerimiseks näitaja kohta. Seda saab seletada järgmiselt: kas sulle meeldib või mitte, edastatakse liiklus, erinevalt IPSec, krüpteeritud sunni all ja väljundis võrgu ja saaja poolel sissepääsu. Dekrüpteerida edastatud teave selle kanali vastuvõttev terminal kasutab spetsiaalset klahvi. Teisisõnu, sekkuda üleandmise või ohustada terviklikkuse edastatud andmete hetkel üks ei saa ilma võtmeta.

Just avamist SSH-porti tahes ruuteri või kasutades sobivaid seadeid täiendavate kliendi suhtleb otse SSH-server, saate täielikult kasutada kõiki moodsate võrgu turvalisuse süsteeme. Me oleme siin, kuidas kasutada port, mis on määratud vaikimisi või kohandatud seaded. Need parameetrid taotluses võib vaadata raske, kuid ilma mõistmist organisatsiooni sellise seose ei piisa.

Standard SSH port

Kui tõesti parameetrite alusel mis tahes ruuter peaks kõigepealt kindlaks, et, millist tarkvara kasutada aktiveerides seda linki. Tegelikult vaikimisi SSH port seaded on erinevad. Kõik sõltub sellest, mida meetodit kasutatakse hetkel (otsene ühendus serveriga, installida täiendavaid kliendi pordisiire ja nii edasi. D.).

Näiteks kui klient kasutada Jabber, õige ühendused, krüpteerimine ja andmete edastamise port 443 on võimalik kasutada, kuigi teostus on seatud standard port 22.

Lähtestamiseks ruuteri jaotamise konkreetse programmi või töödelda vajalikud tingimused peavad täitma pordisiire SSH. Mis see on? See on eesmärk konkreetse juurdepääsu ühe programmi, mis kasutab Interneti-ühendus, sõltumata sellest, millise seade on praeguse protokolli vahetada andmeid (IPv4 või IPv6).

tehniline põhjendus

Standard SSH port 22 ei kasutata alati, kui see oli juba selge. Kuid siin on vaja eraldada mõned omadused ja seaded kasutada häälestamise.

Miks krüpteeritud andmete konfidentsiaalsuse protokolli puhul kasutatakse SSH puhtalt välise (külalisena) kasutaja port? Aga ainult sellepärast tunneldades kantakse see võimaldab kasutada nn kaugshelli (SSH), et pääseda terminali juhtimise kaudu serveriga (slogin) ja rakendada serveri koopia menetlust (SCP).

Lisaks SSH-port saab aktiveerida juhul, kui kasutaja on vaja käivitada kaug skripte X Windows, mis lihtsaimal juhul on teabe edastamist ühest masin teise nagu öeldud, koos sunnitud andmete krüpteerimist. Sellistes olukordades, kõige vajalikum, kasutatakse põhineb AES algoritmi. See on sümmeetriline krüpteerimine algoritmiga, mis oli algselt esitatud SSH tehnoloogiat. Ja seda kasutada mitte ainult võimalik, vaid ka vajalik.

Ajalugu realiseerimise

Tehnoloogia on ilmunud pikka aega. Jätame kõrvale küsimuse, kuidas teha jäätumise SSH port ja keskenduda sellele, kuidas see kõik toimib.

Tavaliselt taandub, kasutada proxy põhjal Sokid või kasutada VPN tunneldades. Juhul kui mõned tarkvara rakendus võib töötada VPN, parem valida see variant. Asjaolu, et peaaegu kõik tuntud programmid täna kasutada Interneti-liiklust, VPN võib töötada, kuid kergesti suunamises konfiguratsioon ei ole. See, nagu näiteks proxy servereid lubab lahkuda välise terminali aadressi, kust praegu toodetud toodangu võrgustik, kajastamata. See on nii proxy aadress muutub pidevalt ja VPN versioon jäävad samaks fikseerimist teatud piirkonnas, välja arvatud üks, kus on keeld.

Seesama tehnoloogia, mis pakub SSH port, töötati 1995. aastal Tehnikaülikooli Soomes (SSH-1). 1996. aastal parandusi on lisatud kujul SSH-2 protokoll, mis oli üsna levinud postsovetlikus ruumis, kuigi see, samuti mõned Lääne-Euroopa riigid, mõnikord on vaja saada luba selle tunnel, ja valitsusasutused.

Peamine eelis avamist SSH-port, mitte telnet või rlogin, on digitaalallkirja kasutamine RSA või DSA (kasutamise paari avatud ja maetud võti). Lisaks selles olukorras saab kasutada nn seansivõtmega põhineb Diffie-Hellman algoritmi, mis hõlmab kasutamist sümmeetriline krüpteerimine väljund, kuigi ei välista asümmeetriline krüptograafia algoritmide ajal andmete edastamiseks ja vastuvõtmiseks teise masinaga.

Serverid ja kest

Windows või Linux SSH-port avatud ei ole nii raske. Ainuke küsimus on, millist vahendid selleks kasutatakse.

Selles mõttes on vaja pöörata tähelepanu probleemi info edastamiseks ja autentimist. Esiteks protokoll ise on piisavalt kaitstud nn nuusutamisel, mis on kõige tavalisema "pealtkuulamise" liiklust. SSH-1 osutunud haavatavaks. Häired protsessi andmete ülekandmise vormis kava "mees keset" oli oma tulemusi. Teave võiks lihtsalt kinni ja hoomama elementaarne. Aga teine versioon (SSH-2) on immuunsed selline sekkumine, mida tuntakse seansiärandamise tänu sellele, mida on kõige populaarsem.

Keelud turvalisuse

Nagu turvalisuse suhtes edastatud ja vastuvõetud andmete korraldamise ühendused loodud kasutamiseks sellise tehnoloogia võimaldab vältida järgmised probleemid:

• identifitseerimise võti peremehe edastamise etapp, kui "snapshot» sõrmejälgede;
• Toetus Windows ja UNIX-laadsete süsteemide;
• asendamine IP ja DNS-aadressid (kelmuse);
• pealtkuulamist avatud parooli füüsilise juurdepääsu andmetele kanal.

Tegelikult kogu organisatsiooni sellise süsteem on üles ehitatud põhimõttel "klient-server", mis on esiteks kasutaja arvutisse läbi spetsiaalse programmi või add-in kõned server, mis toodab vastava ümbersuunamine.

tunneldades

On ütlematagi selge, et rakendamine seoses sedalaadi eriline juht peab olema paigaldatud süsteemi.

Tavaliselt Windows-põhiste süsteemide ehitatud programmi kest juht Microsoft Teredot, mis on omamoodi virtuaalne imiteerimist abil IPv6 võrkudes toetavad ainult IPv4. Tunnel vaikimisi adapter on aktiivne. Kui rike seotud, saate lihtsalt teha süsteemi taaskäivitamist või täita seiskamine ja taaskäivitamine käsklusi käsku konsooli. Deaktiveerida nagu read kasutatakse:

• netsh;
• liides Teredot olekusse keelatud;
• liides isatap seadistusseisundi keelatud.

Pärast sisenemist käsk peaks taaskäivitada. Uuesti lubamiseks adapter ja oleku puudega asemel võimaldas registrite luba, mille järel jällegi tuleks taaskäivitada kogu süsteemi.

SSH-server

Nüüd vaatame, kuidas SSH port kasutatakse tuum alates kava "klient-server". Vaikimisi kasutatakse tavaliselt 22 minutit sadamasse, kuid nagu eespool mainitud, saab kasutada ja 443.. Ainus küsimus eelistus server ise.

Kõige tavalisem SSH-serverid peetakse järgmisi:

• Windows: Tectia SSH Server, OpenSSH koos Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• FreeBSD: OpenSSH;
• Linux: Tectia SSH Server, ssh, OpenSSH serveri LSH-server, dropbear.

Kõik serverid on tasuta. Kuid te võite leida ja tasulisi teenuseid, mis pakuvad isegi suurema turvalisuse, mis on oluline selleks, et korraldada juurdepääsu võrgule ja infoturbe ettevõtetele. Maksumus selliste teenuste ei arutatud. Aga üldiselt võib öelda, et see on suhteliselt odav, isegi võrreldes paigaldamine eritarkvara või "riistvara" tulemüüri.

SSH-kliendi

Muuda SSH port saab teha tuginedes kliendi programmi või sobivad seaded, kui pordisiire ruuteri.

Siiski, kui te puudutage kliendi kest, järgmine tarkvara tooteid saab kasutada erinevates süsteemides:

• Windows - SecureCRT, kitt \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD jne.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux ja BSD: LSH-kliendi, kdessh, OpenSSH-kliendi, Vinagre, kitt.

Autentimine põhineb avaliku võtme ja muuta port

Nüüd paar sõna selle kohta, kuidas kontrollimine ja luua server. Kõige lihtsamal juhul peate kasutama konfiguratsioonifaili (sshd_config). Siiski saate teha ilma selleta, näiteks programmide puhul nagu PuTTY. Muuda SSH port vaikimisi väärtus (22) mis tahes muu on täiesti elementaarne.

Peaasi - et avada pordi number ei ületa väärtust 65535 (kõrgem sadamate lihtsalt ei eksisteeri looduses). Lisaks peaks pöörama tähelepanu mõned avatud pordid vaikimisi mida saab kasutada klientide nagu MySQL või ftp andmebaase. Kui määrate neid SSH konfiguratsiooni, muidugi, nad lihtsalt lakata töötamast.

Tasub märkimist, et sama Jabber klient peab töötama samas keskkonnas, kasutades SSH-server, näiteks virtuaalne masin. Ja kõige server localhost on vaja väärtustada 4430 (mitte 443, nagu eespool mainitud). See konfiguratsioon võib kasutada, kui juurdepääsu peamisele faili jabber.example.com blokeeritud tulemüüri.

Teiselt poolt, üleandmise sadamates saab ruuteri kasutades konfiguratsiooni selle liidese loomine reeglite erandid. Enamikel mudelitel sisendi kaudu sisendi algavate aadresside 192,168 täiendatud 0,1 või 1,1, kuid ruuterid Kombineerides võimeid ADSL-modemid jms Mikrotik, lõpuaadressi hõlmab kasutamist 88.1.

Sel juhul luua uus reegel, seejärel määrake vajalikud parameetrid, näiteks paigaldada välisühenduste DST-nat, samuti käsitsi kirjutatud pordid ei ole sätestatud üldiste seadete ja osa aktivism eelistusi (Action). Midagi liiga keeruline siin. Peaasi - et määrata nõutud väärtused ning seada õigesse porti. Vaikimisi saab kasutada port 22, kuid kui klient kasutab spetsiaalset (mõned eespool erinevate süsteemide) väärtus võib omavoliliselt muuta, kuid ainult nii, et see parameeter ei ületa deklareeritud väärtusest, millest suurema sadama numbrid on lihtsalt ei ole saadaval.

Kui seadistate ühendused ka peaks pöörama tähelepanu parameetrid kliendi programmi. See võib olla nii, et selle sätted on täpsustada minimaalne pikkus võti (512), kuigi vaikimisi seatakse tavaliselt 768. Samuti on soovitav määrata timeout sisse logida tase 600 sekundit ja kaugjuurdepääsu luba administraatori õigusi. Pärast rakendades neid seadeid, peate ka lubada kasutada kõiki autentimise õigused, välja arvatud need, mis põhinevad kasutamise .rhost (kuid see on vajalik ainult süsteemi administraatorid).

Muuhulgas, kui kasutaja nimi süsteemis registreeritud, ei ole sama kasutusele hetkel, tuleb täpsustada selgesõnaliselt käsuga kasutaja ssh kaptenile kehtestada täiendavad parameetrid (neile, kes mõistavad, mis on kaalul).

Meeskonna ~ / .ssh / id_dsa saab kasutada ümberkujundamine võtme ja krüpteerimise meetod (või RSA). Et luua avaliku võtme, mida konverteerimise rida ~ / .ssh / identity.pub (kuid mitte tingimata). Aga nagu praktika näitab, lihtsaim viis kasutada käske nagu ssh-keygen. Siin sisuliselt probleem on vähendatud üksnes asjaolu, et lisada võti saadaval autentimise vahendid (~ / .ssh / authorized_keys).

Aga me oleme läinud liiga kaugele. Kui sa lähed tagasi pordisätete SSH küsimus, sest on selge muutuse SSH port ei ole nii raske. Kuid mõnes olukorras, nad ütlevad, on higi, sest vajadust võtta arvesse kõiki väärtusi põhiparameetrite. Ülejäänud konfiguratsiooni probleem taandub sissepääs iga server või klient programmi (kui see on ette esialgu), või kasutada pordisiire ruuter. Aga isegi juhul, kui muutub sadama 22, vaikimisi, et sama 443. tuleks selgelt mõista, et selline skeem ei tööta alati, kuid ainult juhul, paigaldus sama add-in Jabber (muud analoogid saab aktiveerida ja nende sadamate, see erineb standard). Lisaks tuleb erilist tähelepanu pöörata parameetrite seadistamine SSH-kliendi, mis otse suhelda SSH-server, kui see on tõesti peaks kasutama praegust ühendus.

Nagu ülejäänud, kui pordisiire ei esitata esialgu (kuigi see on soovitav teostada sellised meetmed), seaded ja valikud SSH, sa ei saa muuta. Seal mingeid probleeme, kui ühenduse loomise ja selle edasine kasutamine, üldiselt ei esine (kui muidugi, ei kasutata käsitsi seadistada konfiguratsiooniserveris põhinev ja klient). Kõige tavalisem erandeid eeskirjade loomisele ruuter võimaldab parandada mingeid probleeme või neid vältida.