Sut i ffurfweddu a defnyddio porthladd SSH? Canllaw cam wrth gam

Secure Shell, neu talfyrru fel SSH, mae'n un o'r technolegau diogelu data mwyaf datblygedig yn y trosglwyddo. Nid yn unig y defnydd o cyfundrefn o'r fath ar yr un llwybrydd yn caniatáu cyfrinachedd gwybodaeth a drosglwyddir, ond hefyd i gyflymu'r broses o gyfnewid pecynnau. Fodd bynnag, nid yw pawb yn gwybod belled ag i agor y porthladd SSH, a pham y mae hyn i gyd yn angenrheidiol. Yn yr achos hwn, mae angen rhoi esboniad adeiladol.

Port SSH: beth ydyw a pham ei angen arnom?

Gan ein bod yn sôn am ddiogelwch, yn yr achos hwn, o dan y porthladd SSH gael eu deall sianel bwrpasol ar ffurf twnnel, sy'n darparu amgryptio data.

Mae'r cynllun mwyaf cyntefig o twnnel hwn yw bod yn SSH-porthladd agored yn cael ei ddefnyddio yn ddiofyn i amgryptio data yn y ffynhonnell a'r dadgriptio ar y endpoint. Gall hyn gael ei egluro fel a ganlyn: a ydych yn ei hoffi neu beidio, traffig a drosglwyddir, yn wahanol i'r IPSec, amgryptio dan orfodaeth a'r derfynell allbwn y rhwydwaith, ac ar yr ochr sy'n derbyn y fynedfa. I dadgryptio y wybodaeth a drosglwyddir ar y sianel hon, y derfynell dderbyn yn defnyddio allwedd arbennig. Mewn geiriau eraill, i ymyrryd yn y trosglwyddiad neu peryglu cywirdeb y data a drosglwyddir ar hyn o bryd yn un na all heb allwedd.

Dim ond yn agor SSH-porthladd ar unrhyw llwybrydd neu drwy ddefnyddio gosodiadau priodol o gleientiaid ychwanegol yn rhyngweithio uniongyrchol â'r SSH-gweinydd, yn eich galluogi i ddefnyddio yn llawn yr holl nodweddion o systemau diogelwch rhwydwaith modern. Rydym yma ar sut i ddefnyddio porthladd sy'n cael ei neilltuo gan gosodiadau diofyn neu arferiad. Gall y rhain paramedrau yn y cais yn edrych yn anodd, ond heb ddeall y sefydliad o gysylltiad o'r fath yn ddigon.

Safonol SSH porthladd

Os, yn wir, yn seiliedig ar y paramedrau unrhyw un o'r llwybrydd dylai yn gyntaf benderfynu ar y gorchymyn, pa fath o feddalwedd yn cael ei ddefnyddio ar gyfer activating y ddolen hon. Yn wir, gall y porthladd SSH diofyn gwahanol leoliadau. Mae popeth yn dibynnu ar yr hyn y ddull a ddefnyddir ar hyn o bryd (gysylltiad uniongyrchol â'r gweinydd, gosod anfon ymlaen porthladd cleient ychwanegol ac yn y blaen. D.).

Er enghraifft, os bydd y cleient a ddefnyddiwyd Jabber, ar gyfer cysylltiadau cywir, amgryptio, a data porthladd trosglwyddo 443 yn cael ei ddefnyddio, er bod y ymgorfforiad wedi ei osod yn y porthladd safon 22.

I ailosod y llwybrydd i'r dyraniad ar gyfer rhaglen benodol neu brosesu yn cael yr amodau angenrheidiol i berfformio pyrth ymlaen SSH. Beth yw e? Mae'n yw pwrpas mynediad arbennig i un rhaglen sy'n defnyddio cysylltiad Rhyngrwyd, waeth pa lleoliad yn gyfredol cyfnewid protocol data (IPv4 neu IPv6).

cyfiawnhad technegol

Nid yw safon porthladd SSH 22 ei ddefnyddio bob amser gan ei bod eisoes yn glir. Fodd bynnag, dyma mae angen dyrannu rhai o'r nodweddion a lleoliadau a ddefnyddir yn ystod setup.

Pam amgryptio protocol cyfrinachedd data cynnwys defnyddio SSH fel allanol yn unig (gwestai) porthladd defnyddiwr? Ond dim ond oherwydd bod twnelu ei gymhwyso ei fod yn caniatáu defnydd o hyn a elwir yn gragen o bell (SSH), i gael mynediad i reolaeth derfynell trwy mewngofnodi bell (slogin), ac yn cymhwyso'r weithdrefn copi o bell (scp).

Yn ogystal, gall SSH-porthladd yn cael ei weithredu yn yr achos lle mae'r defnyddiwr yn angenrheidiol er mwyn gweithredu sgriptiau anghysbell X Windows, sydd yn yr achos symlaf yw trosglwyddo gwybodaeth o un peiriant i'r llall, fel y dywedwyd, gyda amgryptio data orfod. Mewn sefyllfaoedd o'r fath, bydd y mwyaf angenrheidiol defnyddio yn seiliedig ar yr algorithm AES. Mae hwn yn algorithm amgryptio cymesur, a ddarparwyd yn wreiddiol mewn technoleg SSH. Ac yn ei ddefnyddio nid yn unig yn bosibl ond yn angenrheidiol.

Hanes y sylweddoliad

Mae'r dechnoleg wedi ymddangos am amser hir. Gadewch i ni adael o'r neilltu y cwestiwn o sut i wneud porthladd SSH eisin, ac yn canolbwyntio ar sut mae'r cyfan yn gweithio.

Fel arfer mae'n dod i lawr i, defnyddio dirprwy ar sail sanau neu defnyddiwch twnelu VPN. Mewn achos gall rhai cymhwysiad meddalwedd yn gweithio gyda VPN, well dewis yr opsiwn hwn. Mae'r ffaith bod rhaglenni bron pob hysbys heddiw yn defnyddio'r traffig ar y Rhyngrwyd, gall y VPN yn gweithio, ond nid yw cyfluniad hawdd llwybro yw. Mae hyn, fel yn achos y gweinyddion dirprwy, yn caniatáu i adael y cyfeiriad allanol y derfynell y mae'r gynhyrchwyd ar hyn o bryd yn y rhwydwaith allbwn, heb eu cydnabod. Felly y mae hi gyda'r cyfeiriad dirprwy yn newid bob amser, a fersiwn VPN parhau heb ei newid gyda'r obsesiwn o ranbarth penodol, ar wahân i'r un lle mae gwaharddiad ar fynediad.

Mae'r un peth iawn dechnoleg sy'n cynnig SSH porthladd, ei ddatblygu yn 1995 ym Mhrifysgol Dechnoleg yn y Ffindir (SSH-1). Yn 1996, mae gwelliannau wedi cael eu hychwanegu ar ffurf SSH-2 protocol, a oedd yn eithaf cyffredin yn y gofod ôl-Sofietaidd, er ar gyfer hyn, yn ogystal ag mewn rhai gwledydd Ewropeaidd Gorllewin, weithiau mae'n angenrheidiol i gael caniatâd i ddefnyddio'r twnnel hwn, ac o asiantaethau'r llywodraeth.

Y brif fantais o agor SSH-porthladd, yn hytrach na telnet neu rlogin, yw'r defnydd o lofnodion digidol RSA neu DSA (defnyddio pâr o agored ac allwedd claddu). Ar ben hynny, yn y sefyllfa hon gallwch ddefnyddio hyn a elwir yn allwedd sesiwn yn seiliedig ar Diffie-Hellman algorithm, sy'n cynnwys y defnydd o allbwn amgryptio cymesur, er nad yn atal y defnydd o algorithmau amgryptio anghymesur yn ystod trosglwyddo data a derbyn gan beiriant arall.

Gweinyddwyr a chragen

Ar Windows neu Linux agored SSH-porthladd nid yw mor anodd. Yr unig gwestiwn yw, pa fath o offer ar gyfer y diben hwn yn cael ei ddefnyddio.

Yn yr ystyr hwn, mae angen i chi dalu sylw at y mater o drosglwyddo gwybodaeth a dilysu. Yn gyntaf, mae'r protocol ei hun yn cael ei warchod yn ddigonol gan y arogli fel y'i gelwir, sef y mwyaf arferol "wiretapping" o draffig. Profodd SSH-1 i fod yn agored i ymosodiadau. Ymyriant yn y broses o drosglwyddo data ar ffurf cynllun o "dyn yn y canol" Roedd ei ganlyniadau. Gallai gwybodaeth syml rhyng-gipio a dehongli yn eithaf elfennol. Ond mae'r ail fersiwn (SSH-2) wedi bod yn imiwn i'r math hwn o ymyriad, a elwir yn y sesiwn herwgipio, diolch i hyn sydd fwyaf poblogaidd.

gwaharddiadau diogelwch

Fel ar gyfer diogelwch o ran y data a drosglwyddir ac a gafwyd, trefnu cysylltiadau a sefydlwyd gyda'r defnydd o dechnoleg o'r fath yn caniatáu i osgoi'r problemau canlynol:

• allwedd adnabod at y gwesteiwr yn y cam trosglwyddo, pan yn "ciplun" olion bysedd;
• Cymorth ar gyfer Windows a systemau UNIX-fel;
• amnewid IP a chyfeiriadau DNS (spoofing);
• rhyng-gipio cyfrinair agored gyda mynediad corfforol i'r sianel data.

Mewn gwirionedd, y sefydliad cyfan o system o'r fath yn cael ei hadeiladu ar yr egwyddor o "cleient-gweinydd", hynny yw, yn gyntaf oll cyfrifiadur y defnyddiwr drwy raglen arbennig neu alwadau ychwanegu-i-mewn at 'r gweinyddwr, sy'n cynhyrchu ailgyfeirio cyfatebol.

twnelu

Afraid dweud bod yn rhaid i'r y cysylltiad o'r math hwn yn yrrwr arbennig ar waith yn cael ei osod ar y system.

Fel arfer, mewn systemau sy'n seiliedig ar Windows yn cael ei adeiladu i mewn i'r gragen rhaglen gyrrwr Microsoft Teredo, sy'n rhyw fath o gyfrwng efelychiad rhithwir o IPv6 mewn rhwydweithiau cefnogi IPv4 yn unig. adapter diofyn Twnnel yn weithredol. Mewn achos o fethiant sy'n gysylltiedig ag ef, gallwch wneud restart system neu berfformio shutdown a restart gorchmynion gan y consol gorchymyn. I deactivate llinellau o'r fath yn cael eu defnyddio:

• netsh;
• rhyngwyneb wladwriaeth set teredo anabl;
• isatap rhyngwyneb gosod wladwriaeth anabl.

Ar ôl mynd i mewn i'r gorchymyn y dylid ailddechrau. Ail-alluogi'r adapter a gwirio statws anabledd yn lle y cofrestri drwydded alluogi, ar ôl hynny, unwaith eto, dylai'r ailgychwyn y system gyfan.

SSH-gweinydd

Nawr, gadewch i ni weld sut y porthladd SSH yn cael ei ddefnyddio fel y craidd, gan ddechrau o'r cynllun "cleient-gweinydd". Fel arfer, 'r ball yn cael ei gymhwyso 22 munud porthladd, ond, fel y nodwyd uchod, yn cael ei ddefnyddio a'r 443eg. Yr unig gwestiwn yn dewis y gweinydd ei hun.

Y mwyaf cyffredin SSH-gweinyddion yn cael ei ystyried i fod y canlynol:

• ar gyfer Windows: Tectia SSH Server, OpenSSH gyda Cygwin, MobaSSH, KpyM Telnet / Gweinydd SSH, WinSSHD, copssh, freeSSHd;
• i FreeBSD: OpenSSH;
• ar gyfer Linux: Tectia SSH Server, ssh, openssh-gweinyddwr, Lambert Smith Hampton-gweinyddwr, dropbear.

Mae pob un o'r gweinyddion yn rhad ac am ddim. Fodd bynnag, gallwch ddod o hyd ac yn talu gwasanaethau sy'n darparu lefelau hyd yn oed mwy o ddiogelwch, sy'n hanfodol ar gyfer trefnu mynediad i'r rhwydwaith a diogelwch gwybodaeth mewn mentrau. Nid yw cost gwasanaethau o'r fath yn cael ei drafod. Ond yn gyffredinol, gallwn ddweud ei bod yn gymharol rad, hyd yn oed o'i gymharu â gosod meddalwedd arbennig neu "galedwedd" firewall.

SSH cleient

Gall newid SSH porthladd yn cael ei wneud ar sail y rhaglen cleient neu'r gosodiadau priodol pan porthladd anfon ymlaen ar eich llwybrydd.

Fodd bynnag, os ydych yn cyffwrdd y gragen cleient, y cynhyrchion meddalwedd canlynol y gellir eu defnyddio ar gyfer gwahanol systemau:

• Windows - SecureCRT, pwti \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD ac ati;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux a BSD: LSH-gleient, kdessh, openssh-cleient, Vinagre, pwti.

Dilysu yn seiliedig ar yr allwedd gyhoeddus, a newid y porthladd

Nawr ychydig eiriau am sut y dilysu a sefydlu gweinydd. Yn yr achos symlaf, rhaid i chi ddefnyddio ffeil ffurfweddu (sshd_config). Fodd bynnag, gallwch wneud hebddo, er enghraifft, yn achos y rhaglenni fel pwti. Newid SSH porthladd o'r gwerth diofyn (22) i unrhyw un arall yn hollol elfennol.

Y prif beth - peidiwch â agor rhif porth yn fwy na gwerth 65535 (porthladdoedd uwch nid yn unig yn bodoli mewn natur). Yn ogystal, dylid talu sylw i rai porthladdoedd agored yn ddiofyn, y gellir ei ddefnyddio gan gleientiaid megis cronfeydd data MySQL neu FTPD. Os byddwch yn eu nodi ar gyfer cyfluniad SSH, wrth gwrs, nid ydynt ond rhoi'r gorau i weithio.

Mae'n werth nodi bod yn rhaid i'r un cleient Jabber yn rhedeg yn yr un amgylchedd gan ddefnyddio SSH-gweinydd, er enghraifft, ar beiriant rhithwir. A bydd angen localhost fwyaf gweinyddwr at benodi a gwerth i 4430 (yn hytrach na 443, fel y soniwyd uchod). Gall hyn cyfluniad yn cael ei ddefnyddio pan fydd mynediad i'r prif jabber.example.com ffeil rwystro gan y wal dân.

Ar y llaw arall, gall y porthladdoedd trosglwyddo fod ar y llwybrydd yn defnyddio cyfluniad ei ryngwyneb gyda'r eithriadau i'r rheolau greu. Yn y rhan fwyaf o fodelau mewnbwn drwy gyfeiriadau mewnbwn gan ddechrau gyda 192.168 ategu gan 0.1 neu 1.1, ond mae llwybryddion cyfuno galluoedd ADSL-modemau fel Mikrotik, cyfeiriad pen yn golygu defnyddio 88.1.

Yn yr achos hwn, yn creu rheol newydd, ac yna gosod y paramedrau angenrheidiol, er enghraifft, i osod y cysylltiad allanol DST-nat, yn ogystal â Nid yw porthladdoedd a ragnodir llaw o dan y gosodiadau cyffredinol ac yn yr adran o ddewisiadau Gweithredaeth (Gweithredu). Nid oes dim yn rhy gymhleth yma. Y prif beth - i nodi'r gwerthoedd sydd eu hangen o leoliadau a gosod y porthladd cywir. Yn ddiofyn, gallwch ddefnyddio porthladd 22, ond os bydd y cwsmer yn defnyddio arbennig (rhai o'r uchod ar gyfer systemau gwahanol), gall y gwerth yn cael ei newid fympwyol, ond dim ond fel na fydd y paramedr hwn yn fwy na gwerth a ddatganwyd, ac uwchben y Nid yw rhifau porthladd ar gael yn syml.

Pan fyddwch yn sefydlu cysylltiadau hefyd y dylid talu sylw i paramedrau'r rhaglen cleient. Mae'n ddigon posibl bod yn rhaid i yn ei lleoliadau i bennu isafswm hyd yr allwedd (512), er bod y diofyn fel arfer yn cael ei osod 768. Mae hefyd yn ddymunol i osod y timeout i fewngofnodi ar y lefel o 600 eiliad ac mae'r caniatâd mynediad o bell gyda hawliau gwraidd. Ar ôl gwneud cais y lleoliadau hyn, rhaid i chi hefyd caniatáu defnyddio holl hawliau dilysu, ac eithrio'r rhai sy'n seiliedig ar y .rhost defnyddio (ond mae angen yn unig i gweinyddwyr system).

Ymhlith pethau eraill, os yw'r enw defnyddiwr cofrestredig yn y system, nid yr un fath fel y'i cyflwynwyd ar hyn o bryd, mae'n rhaid nodi yn uniongyrchol gan ddefnyddio y meistr gorchymyn ssh defnyddiwr drwy gyflwyno paramedrau ychwanegol (ar gyfer y rhai sy'n deall yr hyn sydd yn y fantol).

Gall Tîm ~ / .ssh / id_dsa ei ddefnyddio ar gyfer trawsnewid y allweddol a'r dull amgryptio (neu RSA). I greu allwedd gyhoeddus a ddefnyddir gan y trosiad gan ddefnyddio'r llinell ~ / .ssh / identity.pub (ond nid o reidrwydd). Ond, fel y dengys arfer, y ffordd hawsaf i ddefnyddio gorchmynion fel ssh-keygen. Yma, hanfod y mater yn cael ei leihau yn unig at y ffaith, er mwyn ychwanegu'r allwedd i'r offer dilysu sydd ar gael (~ / .ssh / authorized_keys).

Ond rydym wedi mynd yn rhy bell. Os byddwch yn mynd yn ôl at y mater gosodiadau porthladd SSH, nid fel wedi bod yn glir porthladd newid SSH mor anodd. Fodd bynnag, mewn rhai sefyllfaoedd, maen nhw'n dweud, bydd yn rhaid i chwysu, oherwydd yr angen i gymryd i ystyriaeth yr holl werthoedd paramedrau allweddol. Mae gweddill y mater cyfluniad boils i lawr at fynedfa unrhyw raglen gweinydd neu gleient (os caiff ei ddarparu yn y lle cyntaf), neu i ddefnyddio pyrth ymlaen ar y llwybrydd. Ond hyd yn oed mewn achos o newid y porthladd 22, 'r ball, at yr un 443eg, gael eu deall yn glir nad yw cynllun o'r fath bob amser yn gweithio, ond dim ond mewn achos o osod un ychwanegu i mewn Jabber (gall analogs eraill activate a'u porthladdoedd priod, Mae'n wahanol i'r safon). Yn ogystal, dylid rhoi sylw arbennig yn cael ei roi paramedr gosod SSH cleient, a fydd yn rhyngweithio uniongyrchol â'r SSH-gweinyddwr, os mae i fod mewn gwirionedd i ddefnyddio'r cysylltiad ar hyn o bryd.

Fel ar gyfer y gweddill, os nad yw'r anfon ymlaen porthladd yn cael ei ddarparu yn y lle cyntaf (er ei bod yn ddymunol i berfformio camau gweithredu o'r fath), gosodiadau ac opsiynau ar gyfer mynediad drwy SSH, ni allwch newid. Mae unrhyw broblemau wrth greu cysylltiad, ac mae ei defnydd pellach, yn gyffredinol, ni ddisgwylir (oni bai, wrth gwrs, ni fydd yn cael ei ddefnyddio â llaw ffurfweddu'r ffurfweddiad gweinydd-seiliedig a cleient). Yr eithriadau mwyaf cyffredin i'r rheolau ar y llwybrydd greu yn eich galluogi i gywiro unrhyw broblemau neu eu hosgoi.