Necə konfiqurasiya və SSH port istifadə etmək olar? addım guide adım

Secure Shell, və ya SSH kimi qısaldılmış, bu ötürülməsi ən qabaqcıl məlumatların qorunması texnologiyalardan biridir. eyni router belə bir rejimin istifadə yalnız ötürülən məlumatların məxfiliyini imkan verir, həm də paket mübadiləsi sürətləndirmək. Lakin, hər kəs qədər SSH port açmaq kimi bilir, niyə bütün bu lazımdır. Bu halda konstruktiv izahat vermək lazımdır.

Port SSH: nə bu və niyə biz lazımdır?

bu halda, təhlükəsizlik bəhs olunur, SSH port altında data şifreleme təmin tunel şəklində xüsusi kanal başa düşülməlidir.

Bu tunelin ən primitiv sxemi ki açıq SSH-port son nöqtə mənbə və parol çözme data şifrelemek üçün ismarıcları istifadə olunur. Siz kimi və ya, IPSec fərqli olaraq, trafik ötürülür məcburiyyət və şəbəkə çıxış terminal altında şifrelenir, və giriş qəbul tərəfində olub: Bu aşağıdakı kimi izah oluna bilər. Bu kanal ötürülən məlumat decrypt üçün qəbul terminal xüsusi açarı istifadə edir. Başqa sözlə, transfer müdaxilə və ya bir bir əsas olmadan edə hazırda ötürülən məlumatların bütövlüyünü güzəştə.

Just SSH-server ilə birbaşa hər hansı bir router və ya əlavə müştərinin uyğun parametrləri istifadə edərək, SSH-port qarşılıqlı ki açılması, tam müasir şəbəkə təhlükəsizliyi sistemlərinin bütün funksiyaları istifadə etmək üçün imkan verir. Biz burada default və ya xüsusi parametrləri ilə verilir port istifadə etmək üçün necə var. proqram bu parametrləri çətin baxmaq, lakin belə bir keçid təşkilatın anlaşma olmadan kifayət deyil bilər.

Standard SSH port

Əgər, həqiqətən, ilk sifariş müəyyən etməlidir router hər hansı parametrləri əsasında proqram hansı bu link Aktivləşdirmə üçün istifadə olunacaq. Əslində, default SSH port müxtəlif parametrləri ola bilər. Hər şey (əlavə müştəri port forwarding və s. D. quraşdırma, server birbaşa əlaqə) an istifadə olunur nə üsul asılıdır.

müştəri Jabber istifadə əgər təcəssümü standart port 22 müəyyən edilir baxmayaraq Məsələn, doğru əlaqələri, şifreleme, və ötürülməsi port 443 üçün istifadə edilir.

xüsusi proqram üçün ayrılması router yenidən və ya lazımi şərait yerinə yetirmək üçün var emal port forwarding SSH. Bu nədir? Bu parametr cari asılı olmayaraq, bir İnternet bağlantısı istifadə edir bir proqram üçün xüsusi çıxış məqsədi protokol mübadiləsi data (IPv4 və ya IPv6).

texniki əsaslandırılması

Artıq aydın idi Standard SSH port 22 həmişə istifadə olunmur. Lakin, burada quraşdırma zamanı istifadə xüsusiyyətləri və parametrləri bəzi ayırmaq lazımdır.

Niyə şifrelenmiş data məxfilik protokol sırf xarici (guest) istifadəçi port kimi SSH istifadə edilir? Amma açma tətbiq yalnız, çünki qondarma uzaq shell (SSH) istifadə uzaq giriş (slogin) vasitəsilə terminal idarə daxil olmaq və uzaq surəti proseduru (CQBK) tətbiq etməyə imkan verir.

Bundan əlavə, SSH-port istifadəçi uzaq scripts məcburi data şifrələmə ilə, bildirib ki sadə halda, bir maşın məlumat köçürən X Windows, icra etmək lazımdır halda aktivləşdirilə bilər. Belə hallarda, ən zəruri AES alqoritm əsasında istifadə edəcək. Bu, ilk SSH texnologiya təmin edən bir simmetrik şifreleme alqoritm edir. Və mümkün lakin zəruri deyil yalnız istifadə edin.

həyata keçirilməsi tarixi

texnologiya uzun müddət çıxdı. Bizə icing SSH port etmək üçün necə sual kənara buraxın, və necə bütün işlər diqqət edək.

Adətən Corablar əsasında proxy istifadə və ya VPN açma istifadə etmək, aşağı gəlir. halda bir proqram bu seçimi, VPN ilə daha yaxşı işləyə bilər. demək olar ki, bütün məşhur proqramları bu gün İnternet trafiki istifadə fakt, VPN işləyə bilər, lakin asanlıqla marşrutlaşdırma konfiqurasiya deyil. Bu proxy server olduğu kimi, hazırda tanınmamış çıxış şəbəkə istehsal olan terminalın xarici ünvan tərk etməyə imkan verir. Bu proxy ünvanı ilə işi həmişə dəyişir, və VPN version çıxış qadağa var başqa bir müəyyən regionun təsbit ilə dəyişməz olaraq qalır.

SSH port edir çox eyni texnologiya, Finlandiya Texnologiya Universiteti (SSH-1) 1995-ci ildə hazırlanmışdır. 1996-cı ildə, təkmilləşdirilməsi bu, eləcə də bəzi Qərbi Avropa ölkələrində bu tuneli istifadə üçün icazə əldə etmək bəzən zəruri olsa da, post-sovet məkanında olduqca geniş idi SSH-2 protokolu şəklində əlavə və dövlət orqanlarının edilmişdir.

Telnet və ya rlogin fərqli olaraq, SSH-port açılması əsas üstünlüyü, digital imza RSA və ya DSA (açıq bir cüt və bir dəfn əsas istifadə) istifadə edir. başqa maşın ilə məlumatların ötürülməsi və qəbul zamanı asimmetrik şifreleme alqoritmləri istifadə mane baxmayaraq Bundan əlavə, bu vəziyyət, bir simmetrik şifreleme çıxış istifadə edilir Diffie-Hellman alqoritmi əsasında qondarma sessiya düyməsindən istifadə edə bilərsiniz.

Serverlər və shell

Windows və ya On Linux SSH-port açıq belə çətin deyil. yalnız sual istifadə olunacaq bu məqsədlə nə alətlər növüdür.

Bu mənada informasiya ötürülməsi və identifikasiyası məsələyə diqqət yetirmək lazımdır. Birincisi, protokol özü kifayət qədər trafik ən adi "telequlaq" dir qondarma koklama tərəfindən mühafizə olunur. SSH-1 hücumlara həssas olduğunu sübut. "Orta insan" bir sxem şəklində məlumatların ötürülməsi prosesində müdaxilə onun nəticələri idi. İnformasiya sadəcə almaq və olduqca ibtidai deşifr bilər. Amma ikinci versiyası (SSH-2) ən məşhur nə üçün, thanks sessiya qaçırma kimi tanınan müdaxilə bu cür immun olmuşdur.

təhlükəsizlik qadağan

ötürülən və qəbul məlumatların əlaqədar təhlükəsizlik gəldikdə, bu cür texnologiyanın istifadəsi ilə müəyyən əlaqələri təşkilat aşağıdakı problemlərin qarşısını almaq imkan verir:

• ötürülməsi addım sahibi, bir "snapshot" barmaq izi şəxsiyyət düyməsi;
• Windows və UNİX kimi sistemləri üçün dəstək;
• IP və DNS ünvanları (spoofing) əvəz;
• data kanal fiziki çıxışı ilə açıq parol ələ.

Əslində, belə bir sistemin bütün təşkilat "müştəri-server" prinsipi üzərində qurulub ki, xüsusi bir proqram və ya müvafiq yönlendirme istehsal server əlavə et-in zənglər bütün istifadəçi kompüter ilk.

açma

Bu xüsusi sürücü bu cür qoşulma həyata keçirilməsi sistemi yüklü olmalıdır ki olmadan gedir.

Tipik olaraq, Windows-based sistemi yalnız IPv4 dəstək şəbəkələrdə IPv6 virtual emulation vasitələrinin bir növ proqram shell sürücü Microsoft gemi qurdu, daxil edilir. Tunnel default adapter fəaldır. onunla bağlı uğursuzluq halda, yalnız bir sistem yenidən başladın və ya kapatma çıxış və komanda konsol əmrləri yenidən başladın bilər. Belə xətləri istifadə olunur söndürmək üçün:

• netsh;
• interface gemi qurdu set dövlət əlil;
• interface isatap müəyyən dövlət əlil.

yenidən başladın lazımdır komanda girdikdən sonra. To sonra yenə bütün sistemi yenidən başladın lazımdır, adapter yeniden etkinleştirmek və əvəzinə effektiv qeydə icazə əlillər durumunu kontrol edin.

SSH-server

İndi SSH port sxemi "müştəri-server" dan başlayaraq, əsas kimi istifadə olunur necə görmək edək. default adətən yuxarıda qeyd olunduğu kimi, istifadə və 443rd edilə bilər, 22 dəqiqə port tətbiq, lakin. server özü üstünlük yalnız sual.

Ən ümumi SSH-server aşağıdakı hesab olunur:

• Windows üçün: Tectia SSH Server, Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd ilə OpenSSH;
• FreeBSD üçün OpenSSH;
• Tectia SSH Server, ssh, OpenSSH-server, lsh-server, dropbear: Linux üçün.

serverlərin Bütün pulsuz. Lakin, müəssisələrdə şəbəkə girişi və informasiya təhlükəsizliyinin təşkili üçün vacibdir təhlükəsizlik, daha səviyyədə təmin xidmətləri tapmaq və ödənilmiş saxlaya bilərsiniz. Belə xidmətlərin dəyəri müzakirə olunmur. Amma ümumiyyətlə, biz hətta xüsusi proqram və ya "hardware" firewall quraşdırılması ilə müqayisədə, nisbətən ucuz demək olar ki.

SSH-client

Change SSH port müştəri proqramı əsasında və ya router müvafiq parametrləri port forwarding edilə bilər.

Siz müştəri shell toxunmaq əgər Lakin, aşağıdakı proqram məhsulları müxtəlif sistemləri üçün istifadə edilə bilər:

• Windows - SecureCRT, macunu \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD s..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux və BSD: lsh-müştəri, kdessh, OpenSSH-müştəri, Vinagre, yaxı.

Authentication ictimai düyməsi əsasında və port dəyişdirmək

İndi necə yoxlama və bir server yaradılması haqqında bir neçə söz. sadə halda, bir konfiqurasiya faylını (sshd_config) istifadə etməlidirlər. Lakin, belə mastika kimi proqramların halda, məsələn, bu olmadan edə bilərsiniz. hər hansı digər default dəyəri (22) Change SSH port tamamilə ibtidai edir.

Əsas odur ki, - bir port nömrəsini açmaq 65535 dəyəri (ali limanları sadəcə təbiətdə mövcud deyil) artıq deyil. Bundan əlavə, MySQL və ya ftpd verilənlər bazası kimi müştərilər tərəfindən istifadə edilə bilər default bəzi açıq port, diqqət yetirməlidir. Siz SSH konfiqurasiya üçün onları qeyd edin, əlbəttə, onlar yalnız iş dayandırmaq.

Eyni Jabber müştəri virtual maşın, məsələn, SSH-server istifadə edərək, eyni mühitdə çalışan olmalıdır ki, qeyd dəyər. Və ən server localhost (yuxarıda qeyd olunduğu kimi, əvəzinə 443) 4430 bir dəyər təyin etmək lazımdır. əsas fayl jabber.example.com giriş firewall ilə bağlanacaq zaman bu konfiqurasiya istifadə edilə bilər.

Digər tərəfdən, transfer limanları qaydalarına istisnalar yaradılması ilə interfeys konfiqurasiya istifadə router ola bilər. ən modelləri giriş ünvanları vasitəsilə daxil 0.1 və ya 1.1 əlavə 192.168 ilə başlayan, lakin Mikrotik kimi imkanları ADSL-modem birləşən yönlendirici, son ünvan 88,1 istifadə edir.

eləcə də əl müəyyən port ümumi ayarları altında və Activism arzularım bölmə (Action) deyil, xarici keçid dst-nat yüklemek üçün, bu halda, sonra yeni bir qayda yaratmaq, məsələn, lazımi parametrləri seçin. Heç bir şey də burada mürəkkəb. Əsas odur ki, - ayarları tələb dəyərlər müəyyən və düzgün port təyin etmək üçün. Mənim cari olaraq, port 22 istifadə edə bilərsiniz, lakin müştəri xüsusi (müxtəlif sistemləri üçün yuxarıda bəzi) istifadə edirsə, dəyəri özbaşına dəyişdirilə bilər, lakin yalnız, belə ki, bu göstərici port nömrələri sadəcə mövcud olmayan yuxarıda bəyan dəyəri keçmir.

Siz əlaqələri qurmaq zaman da müştəri proqram parametrləri diqqət yetirməlidir. Bu, default adətən 768 qurmaq O, həmçinin 600 saniyə səviyyəsi və kök hüquqları ilə remote access icazə daxil zaman aşımı etmək olardı, baxmayaraq ki, onun parametrləri, əsas (512) minimum uzunluğu müəyyən etmək lazımdır ki, ola bilər. bu parametrləri tətbiq sonra, siz də istifadə .rhost əsasında başqa bütün identifikasiyası hüquqlarının istifadə icazə lazımdır (lakin yalnız sistem administratorları lazımdır).

istifadəçi adı sistemində qeydiyyata əgər digər şeylər arasında, hazırda təqdim eyni deyil, bu (payı nə anlamaq edənlər üçün) əlavə parametrləri tətbiqi ilə istifadəçi ssh master funksiyanı istifadə edərək aydın müəyyən olunmalıdır.

Team ~ / .ssh / id_dsa əsas çevrilməsi və şifrələmə metodu (və ya RSA) üçün istifadə edilə bilər. line ~ / .ssh / identity.pub (lakin mütləq) istifadə dönüşüm istifadə ictimai əsas yaratmaq. Lakin təcrübə göstərir ki, en asan yol ssh-keygen kimi əmrləri istifadə etmək. Burada məsələnin mahiyyəti mövcud identifikasiyası alətləri (~ / .ssh / authorized_keys) əsas əlavə etmək üçün, yalnız fakt azaldılır.

Amma biz çox uzaq getdi. Siz port parametrləri SSH məsələyə geri varsa, olduğu kimi aydın dəyişiklik SSH port belə çətin deyil. Lakin, bəzi hallarda, onlar deyirlər ki, gərək nəzərə əsas parametrləri bütün dəyərləri almaq, çünki tər olacaq. konfiqurasiya məsələ qalan (ilkin təmin olunur əgər varsa) hər hansı bir server və ya müştəri proqram girişində sonunda aşağı, və ya router port forwarding istifadə etmək. Lakin hətta port 22 dəyişiklik halda, default, eyni 443rd üçün aydın, belə bir sxem həmişə digər analoqları və onların müvafiq port aktivləşdirə bilərsiniz (lakin yalnız eyni əlavə-in Jabber quraşdırma halda iş deyil ki, başa düşmək lazımdır Bu) standart fərqlənir. Bundan əlavə, xüsusi diqqət bu, həqiqətən, cari bağlantısı istifadə üçün nəzərdə əgər birbaşa SSH-server ilə qarşılıqlı SSH-müştəri qəbulu parametr verilməlidir.

(Belə tədbirlər həyata arzu olsa da) port forwarding ilkin təmin əgər qalan kimi, SSH vasitəsilə daxil olmaq üçün parametrləri və variantları, siz dəyişə bilməz. (Əlbəttə, əl istifadə konfiqurasiya əsasında server və müştəri konfiqurasiya olmaz, halda) var ümumi bir əlaqəsi və onun gələcək istifadə, yaratmaq hər hansı bir problem, gözlənilmir. router qaydalarının yaradılması üçün ən ümumi istisnalar Hər hansı bir problem düzəltmək və ya onların qarşısını almaq üçün imkan verir.