SSH портты конфигурациялау және қалай пайдалануға болады? қадамдық нұсқаулары

Қорғалған қабық, немесе SSH сияқты қысқартылған, бұл беру ең озық деректерді қорғау технологиялардың бірі болып табылады. бір маршрутизаторға мұндай режимін пайдалану ғана емес, берілетін ақпараттың құпиялылығын мүмкіндік береді, сонымен қатар пакеттерін алмасу жеделдету. Алайда, барлық SSH портын ашу үшін қаншалықты біледі, және неге бұл барлық қажет. Бұл жағдайда ол сындарлы түсініктеме беру қажет.

Порт SSH: Бұл не және неге біз қажет?

біз қауіпсіздік туралы айтып, өйткені, бұл жағдайда, SSH портына бойынша деректерді шифрлеу тоннель түрінде бөлінген арна түсінген болуы.

Осы тоннельдің ең қарабайыр схемасы болып табылады ашық SSH-порт соңғы нүктесінде көзі мен таратып деректерді шифрлау үшін әдепкі бойынша пайдаланылады. Бұл былайша түсіндіруге болады:, сіз оны ұнайды ма немесе жоқ берілетін трафик, мәжбүрлеу және желі демалыс соңын астында шифрланған IPSec, айырмашылығы, және кіреберіс алушы жағында. Осы арнадағы берілетін ақпаратты шифрын ашу үшін, қабылдау терминал арнайы кілтін пайдаланады. Басқаша айтқанда, аудару араласуға немесе кілт жоқ бір мүмкін емес қазіргі уақытта берілетін деректердің тұтастығын ымыраға.

Тек, кез келген маршрутизатордағы немесе қосымша клиент тиісті параметрлерді пайдалана отырып SSH-портты ашу, SSH-сервер тікелей өзара іс-қимыл, сіз толығымен заманауи желілік қауіпсіздік жүйелерін барлық мүмкіндіктерін пайдалануға мүмкіндік береді. Біз әдепкі немесе теңшелетін параметрлері тағайындаған портты қалай пайдалану туралы осындасыз. өтініште Бұл параметрлер қиын көрінеді, бірақ осындай байланысты ұйымдастыру түсіну жоқ жеткілікті емес еді.

Стандартты SSH порт

маршрутизатордың кез келген параметрлердің негізінде, шын мәнінде, егер бірінші тәртібін анықтау керек, бағдарламалық қамтамасыз ету қандай, осы сілтемені белсендіру үшін пайдаланылатын болады. Шын мәнінде, әдепкі SSH порт түрлі параметрлерді болуы мүмкін. Барлығы (қосымша клиент порт бағыттауды орнату, серверге тікелей байланыс және т.б.. Д.) Қазіргі уақытта пайдаланылатын қандай әдіс байланысты.

іске асуы стандартты портына 22 орнатылған болса да, мысалы, дұрыс қосылымдар, шифрлау және деректерді беру портына 443 үшін, Jabber пайдаланылатын клиент, пайдаланылуы тиіс болса.

нақты бағдарлама бойынша бөлу маршрутизатор ысыру немесе қажетті жағдай өңдеуге орындауға бар порт экспедиторлық SSH. Бұл не? Бұл параметр ағымдағы қарамастан, оның интернет байланысын пайдаланады бір бағдарламаға нақты қол жеткізу мақсаты болып табылады хаттама алмасу деректер (IPv4 немесе IPv6).

техникалық негіздемесі

ол қазірдің өзінде айқын болды ретінде стандартты SSH порт 22 әрқашан пайдаланылмайды. Алайда, бұл жерде орнату кезінде пайдаланылатын сипаттамалары мен параметрлері кейбір бөлу қажет.

Неге шифрланған деректер құпиялығы хаттама таза сыртқы (қонақ) пайдаланушы порт ретінде SSH пайдалануды көздейді? Туннелирование қолданылады ғана, өйткені Бірақ бұл қашықтан логин (slogin) арқылы терминал басқару қол жеткізу, сондай-ақ қашықтықтан көшірмесі тәртібін (SCP) қолдануға, деп аталатын Remote Shell (SSH) пайдалануға мүмкіндік береді.

Сонымен қатар, SSH-порт пайдаланушы қашықтан сценарийлерді мәжбүрлеп деректерді шифрлау бар, атап өтілгендей қарапайым жағдайда, бір машинадан ақпарат беру болып табылады X Windows, орындау үшін қажетті болып табылады жағдайда іске қосуға болады. Мұндай жағдайларда, ең қажетті AES алгоритм негізінде пайдалануға болады. Бұл бастапқыда SSH технологиясында көзделген болатын симметриялық шифрлау алгоритмі болып табылады. Ал ғана емес, бірақ қажетті пайдаланыңыз.

іске асыру тарихы

технологиясы ұзақ уақыт бойы пайда болды. АҚШ шетке мұздану SSH портын жасауға, және ол қалай, барлық жұмыстар туралы ойлауымыз қалай сұрақ қалдырыңыз болсын.

Әдетте, бұл шұлық негізінде проксиді пайдалану немесе VPN жоспарлауын пайдалану, төмен келеді. жағдайда кейбір бағдарламалық қамтамасыз қолданба осы параметрді таңдау жақсы, VPN жұмыс істей аласыз. бүгін Интернет-трафик барлығы дерлік белгілі бағдарламалар фактісі, VPN жұмыс істейді, бірақ оңай конфигурациясын бағыттаудың емес, мүмкін. Бұл, прокси сервер жағдайда ретінде, танылмаған, қазіргі уақытта шығару желісі өндірілген, оның терминал сыртқы мекенжайын қалдыру мүмкіндік береді. Яғни прокси мекенжайымен жағдайда әрқашан өзгеріп, және VPN нұсқасы қол тыйым бар бір басқа белгілі бір аймақтың бекітуге, өзгеріссіз қалады.

SSH портын ұсынады өте бірдей технология, Финляндияда технологиялық университетінің (SSH-1) 1995 жылы әзірленді. 1996 жылы, жақсартулар посткеңестік кеңістікте, бұл үшін болса да, сондай-ақ кейбір Батыс Еуропа елдерінде кең таралған болатын SSH-2 хаттама, түрінде қосылған, ол кейде осы тоннель пайдалануға рұқсат алу үшін қажет, және мемлекеттік органдардың.

Telnet немесе Rlogin айырмашылығы, SSH-портты ашу басты артықшылығы, цифрлық қолтаңба RSA немесе DSA (ашық жұбы және жерленген кілт пайдалану) пайдалану болып табылады. басқа машинада деректер беру және қабылдау кезінде асимметриялық шифрлау алгоритмдерін пайдалану мүмкіндігін жоққа дегенмен Сонымен қатар, осы жағдайды сіз, симметриялық шифрлау шығу пайдалануды көздейді Диффи-Хеллман алгоритмі негізделген деп аталатын сессиясы пернесін пайдалануға болады.

Серверлер мен Shell

Windows немесе Linux SSH-порт ашық соншалықты қиын емес. Сұрақ ғана пайдаланылатын болады осы мақсаттар үшін құралдар қандай болып табылады.

Осы мағынада, ол ақпарат беру және аутентификация мәселеге назар аудару қажет. Біріншіден, хаттама өзі жеткілікті трафик ең әдеттегі «жазып» болып табылады деп аталатын уытқұмарлықтың, қорғалған. SSH-1 шабуылдарға осал болып шықты. «Ортасында адам» бір сызба түрінде деректерді беру процесіне араласуына, оның нәтижелерін болды. Ақпараттық жай ұстап және өте қарапайым қабылдамау мүмкін. Бірақ, екінші нұсқасы (SSH-2), ең танымал болып табылады қандай арқасында Сеанс ұстап ретінде белгілі араласу осы түрінің, иммундық болды.

тыйым қауіпсіздік

деректерді қатысты қауіпсіздік болсақ, мұндай технологияларды пайдалана отырып, белгіленген байланыстарды ұйымдастыру мынадай проблемаларды болдырмауға мүмкіндік береді:

• трансмиссия қадамға, «суреттің» саусақ кезінде хостқа сәйкестендіру кілті;
• Windows және UNIX сияқты жүйелерде қолдау;
• IP және DNS мекенжайлары (алдау) ауыстыру;
• деректер арнаға физикалық қол ашық сөзді қағып.

Шын мәнінде, мұндай жүйенің тұтас ұйым арнайы бағдарлама арқылы барлық пайдаланушының компьютеріне бірінші, яғни, «клиент-сервер» принципі бойынша салынған немесе қондырмасы тиісті қайта бағыттауды шығарады серверге, шақырады.

туннелирование

Ол арнайы драйверінде осы түрінің байланысты жүзеге асыру жүйесі орнатылған болуы керек екені сөзсіз.

Әдетте, Windows негізделген жүйелерінде тек IPv4 қолдау желілерде IPv6 виртуалды эмуляция құралдарын бір түрі болып табылады бағдарламасы қабық жүргізуші Microsoft Teredo, ішіне орнатылған. Tunnel әдетті адаптер белсенді болып табылады. онымен байланысты істен шыққан жағдайда, сіз жай ғана жүйе қайта іске қосылғанға жасауға немесе ажырату орындау және командалық консолі Пәрмендерді қайта бастауға болады. мұндай сызықтар ажырату үшін қолданылады:

• Netsh;
• интерфейс Teredo жиынтығы мемлекеттік ажыратылған;
• интерфейс ISATAP өшірілген мемлекет орнату.

пәрменді енгізе кейін қайта іске қосу қажет. адаптерін қайта қосу және мүгедек мәртебесін орнына қосылған тізілім рұқсат тексеру үшін, содан кейін, тағы да, бүкіл жүйесін қайта іске қосыңыз тиіс.

SSH-сервер

Енді SSH порты схемасы «клиент-сервер» бастап, өзегі ретінде пайдаланылады қалай көрейік. Әдепкі әдетте 22 минут порты қолданылады, бірақ, жоғарыда айтылғандай, пайдаланылуы мүмкін және 443rd. серверде өзі артықшылық ғана мәселе.

ең көп тараған SSH-серверлер келесі болып саналады:

• Windows үшін: Cygwin, MobaSSH, KpyM Telnet / SSH сервері, WinSSHD, copssh, freeSSHd бар Tectia SSH-сервер, OpenSSH;
• FreeBSD үшін: OpenSSH;
• Linux үшін: Tectia SSH-сервер, SSH, OpenSSH-сервер, LSH-сервер, dropbear.

серверлер Барлық тегін. Алайда, сіз кәсіпорындарда желілік қатынау және ақпараттық қауіпсіздікті ұйымдастыру үшін маңызды болып табылатын, табу және қауіпсіздік тіпті үлкен деңгейлерін қамтамасыз ақылы қызметтер алады. Мұндай қызмет құны талқыланды емес. Бірақ жалпы алғанда, біз ол тіпті арнайы бағдарламалық қамтамасыз ету немесе «аппараттық» брандмауэр орнату салыстырғанда, салыстырмалы арзан болып табылады деп айтуға болады.

SSH-клиент

порт Маршрутизатордағы экспедиторлық кезде өзгерту SSH порты клиент бағдарламасы негізінде немесе тиісті параметрлерге жасалуы мүмкін.

Сіз клиент снаряд түртіп Алайда, егер, келесі бағдарламалық өнімдерді түрлі жүйелерін пайдалануға болады:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, # J K |, XShell, ProSSHD т.б;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux және BSD: LSH-клиент, kdessh, OpenSSH-клиент, Vinagre, замазка.

Аутентификация ашық кілтінің негізінде, және портын өзгертуге отыр

қалай тексеру және серверді орнату туралы Енді бірер сөз. қарапайым жағдайда, сіз конфигурация файлын (sshd_config) пайдалану керек. Алайда, сіз осындай PuTTY бағдарламалары жағдайда, мысалы, онсыз істеуге болады. кез келген басқа да Әдепкі мән (22) өзгерту SSH порты толық бастауыш болып табылады.

Ең бастысы - бұл порт нөмірін ашу үшін (жоғары порттар жай табиғатта жоқ,) 65535 мәнін аспайды. Сонымен қатар, MySQL немесе FTPD деректер базасын сияқты клиенттер пайдалана алады, ол әдепкі бойынша кейбір ашық порттарда назар аудару керек. Сіз SSH конфигурациясы үшін оларды көрсетсеңіз, әрине, олар жай ғана жұмыс істемеуі.

Ол сол Jabber клиент виртуалды машинасында, мысалы, SSH-сервер көмегімен, бір ортада іске қосылған болуы керек Айта кетейік. (Жоғарыда айтылғандай, орнына 443) және ең сервер жергілікті 4430 мәнді тағайындау қажет болады. брандмауэр бұғатталған файл негізгі jabber.example.com кезде қол Бұл конфигурация пайдалануға болады.

Екінші жағынан, трансфер порттар ережелерін алып тастаудың құру оның интерфейсінің конфигурациясын пайдаланып маршрутизаторға болуы мүмкін. Ең модельдері 0,1 немесе 1,1 толықтырылды 192.168 бастап енгізу мекенжайлары арқылы кіріс, бірақ Mikrotik сияқты мүмкіндіктері ADSL-модемдер үйлестіре маршрутизаторлар жылы, соңғы мекенжайы 88,1 пайдалануды көздейді.

Бұл жағдайда, жаңа ереже жасау, содан кейін қажетті параметрлерді орнатыңыз, мысалы, сыртқы байланыс DST-NAT орнату, сондай-ақ қолмен белгіленген порттар жалпы параметрлері астындағы және Белсенділік преференциялар (іс-шаралар) бөлімінде емес. Ештеңе де мұнда да күрделі. Ең бастысы - параметрлерін қажетті мәндерді көрсетіңіз және дұрыс портын орнату үшін. Тапсырыс беруші (түрлі жүйелер үшін жоғарыда кейбір) арнайы пайдаланады Әдепкі бойынша, егер сіз портты 22 пайдалана аласыз, бірақ, шамасы бетiнше өзгертуге болады, бірақ бұл параметр порт нөмірлерін жай қол жетімді емес болып табылатын, жоғарыда жариялады мәні, аспайды, тек, сондықтан.

Сіз байланыстарды орнатуға кезде, сондай-ақ клиент бағдарламасының параметрлерін назар аудару керек. Ол сондай-ақ әдепкі әдетте ол 600 секунд деңгейі мен түбір құқықтарын қашықтан қатынау рұқсаты кіру үшін күту уақытын орнатуға, сондай-ақ жөн 768 орнатылады, дегенмен оның параметрлерінде, кілт (512) ең төменгі ұзындығы көрсету қажет болуы мүмкін. Осы параметрлерді қолдану кейін, сондай-ақ пайдалану .rhost негізделген көрсетiлгендерден басқа барлық аутентификация құқықтарын пайдалану, (бірақ ол тек жүйе әкімшілері қажет) рұқсат қажет.

Бұлардан басқа, жүйеде тіркелген пайдаланушы аты, қазіргі уақытта енгізілген бірдей емес, егер, ол (кону түсіну үшін, кім) қосымша параметрлерін енгізу арқылы пайдаланушы SSH мастер пәрменін қолдану арқылы анық көрсетілуі тиіс.

Team ~ / ssh / id_dsa пернесі мен шифрлау әдісі (немесе RSA) түрлендіру үшін пайдаланылуы мүмкін. желісі ~ / ssh / identity.pub (бірақ міндетті емес) пайдалана отырып, айырбастау пайдаланылатын ашық кілт жасау үшін. SSH-Keygen сияқты пәрмендерді пайдалану Бірақ, тәжірибе көрсетіп отырғандай, ең оңай жолы. Мұнда мәселе мәні тек фактісі дейін төмендейді, (~ / ssh / автоплық) қолда бар аутентификация құралдарын кілтін қосу.

Бірақ біз тым алыс кетті. Егер сіз анық өзгеріс SSH порты болды ретінде, артқы порт параметрлері SSH мәселе өтіңіз Егер соншалықты қиын емес. қажеттілігі назарға негізгі параметрлерін барлық мәндерін алуға, себебі Алайда, кейбір жағдайларда, дейді олар, тер болады. конфигурация мәселесі (ол бастапқыда көзделген болса) кез келген серверге немесе клиенттік бағдарлама кіреберісіне азайтатын, немесе маршрутизаторға порт қайта жіберуді пайдалану қалған. Бірақ тіпті портына 22 өзгерген жағдайда, әдепкі, сол 443rd үшін, осындай схема әрқашан жұмыс істемейді, бірақ тек сол қондырманы Jabber орнату жағдайда (басқа аналогтары белсендіру және олардың тиісті порттар мүмкін екенін анық түсінген жөн ол) стандартына ерекшеленеді. Сонымен қатар, ерекше назар, бұл шынында да ағымдағы байланысын пайдалану көзделіп отыр, егер тікелей, SSH-сервермен өзара іс-қимыл болады SSH-клиент орнату параметрін, берілуі тиіс.

Қалған (ол осындай іс-әрекеттерді орындау үшін мүмкіндігінше дегенмен), порт экспедиторлық бастапқыда көзделген болмаса, SSH арқылы қол жеткізу үшін параметрлері мен параметрлер, сіз өзгерте алмайсыз. (Әрине, конфигурация серверге негізделген және клиентті конфигурациялау қолмен пайдаланылуы мүмкін емес болады, егер) кез келген проблемалар қосылымды құру және оны одан әрі пайдалану, жалпы, бар жоспарланып отырған жоқ. маршрутизатордағы ережелерін құруға ең көп таралған ерекшеліктер Егер сіз қандай да бір проблемаларды түзету немесе оларды болдырмауға мүмкіндік береді.