Ahoana no ampiendrehina sy mampiasa SSH seranan-tsambo? Tsikelikely Guide

Hiarovana Shell, na nohafohezina toy ny SSH, dia iray amin'ireo antontan-kevitra mandroso indrindra fiarovana ny teknolojia ao amin'ny fampitana. Ny fampiasana ny toy izany eo amin'ny fitondrana ihany mamela ny router tsy ny tsiambaratelo ny vaovao azo, fa ny fikasana koa hanafainganana ny fifanakalozana ny fonosana. Na dia izany aza, tsy ny rehetra no mahalala lavitra ho afaka hanokatra ilay SSH seranan-tsambo, ary nahoana izany no ilaina rehetra. Amin'ity tranga ity dia ilaina ny hanome fanazavana mahasoa.

Port SSH: inona moa izany, ary nahoana isika no mila?

Koa satria isika miresaka momba ny fiarovana, amin'ity tranga ity, eo ambanin'ny SSH seranan-tsambo ho takarina ao amin'ny fantsona vita fanoloran-tena ny endriky ny tonelina, izay manome angon-drakitra encryption.

Ny faran'izay tsotra indrindra tetika tonelina ity dia ny hoe misokatra SSH-seranan-tsambo no ampiasaina amin'ny toerana misy anao mba encrypt angon-drakitra tao amin'ny loharano sy decryption ny endpoint. Izany dia azo hazavaina toy izao manaraka izao: na tianareo na tsia, azo avy fifamoivoizana, tsy toy ny IPSec, voaaro an-tery sy ny Output alalan'ny terminal ny tambajotra, ary amin'ny lafiny ny fandraisana ny fidirana. Mba decrypt ny vaovao nampitaina tamin'ny fantsom-pahitalavitra ity, ny mandray alalan'ny terminal mampiasa fanalahidy manokana. Amin'ny teny hafa, hiditra an-tsehatra eo amin'ny famindrana, na hampandefitra ny tsy fivadihana ny angona azo avy amin'ny fotoana iray tsy afaka raha tsy misy fanalahidy.

Fanokafana fotsiny SSH-seranan-tsambo eo amin'ny misy ny router na amin'ny alalan'ny fampiasana ny toe-javatra mety ny mpanjifa fanampiny interacts mivantana amin'ny SSH-mpizara, mamela anao hampiasa tanteraka amin'ny lafiny rehetra ny rafitra fiarovana tambajotra maoderina. Isika eto an ny fomba fampiasana ny seranan-tsambo izay voatendry amin'ny toerana misy anao na ny fomba amam-panao toe-javatra. Ireo masontsivana ao amin'ny fangatahana mba hijery sarotra, fa tsy ny fahatakarana ny fikambanana ny fifandraisana toy izany dia tsy ampy.

Standard SSH seranan-tsambo

Raha toa, tokoa, miorina amin'ny masontsivana ny zanaky ny ny router aloha no tokony hamaritra ny baiko, inona no karazana rindrambaiko dia ho ampiasaina amin'ny activating ity rohy ity. Raha ny marina, ny toerana misy anao SSH seranan-tsambo afaka toe-javatra samihafa. Ny zava-drehetra dia miankina amin'ny inona no fomba ampiasaina amin'izao fotoana izao (mifandray mivantana amin'ny lohamilina, fametrahana fanampiny nanatitra mpanjifa seranan-tsambo sy ny sisa. D.).

Ohatra, raha nampiasa ny mpanjifa Jabber, fa marina fifandraisana, encryption, sy ny seranan-tsambo famindrana antontan-kevitra 443 dia tsy maintsy ampiasaina, na ny vatana ho ambony ny fenitra 22 seranan-tsambo.

Famerenana ny ny router amin'ny fanomezana ho an'ny fandaharana iray manokana na ny fandraisana ny fepetra ilaina tsy maintsy hanao seranan-tsambo nanatitra SSH. Inona moa izany? Izany no antony iray manokana ny fidirana amin'ny fandaharana iray izay mampiasa ny aterineto, na inona na inona sehatra misy amin'izao fotoana izao izay fifanarahana fifanakalozana tahirin-kevitra (IPv4 na IPv6).

fanamarinana ara-teknika

Standard SSH seranan-tsambo 22 dia tsy ampiasaina foana tahaka ny efa mazava. Na izany aza, eto dia ilaina ny zarao ny sasany amin'ireo toetra sy ny toe-javatra ampiasaina mandritra fanamboarana.

Nahoana no misy mari-pamantarana protocole angona tsiambaratelo mahakasika ny fampiasana ny SSH ho toy ny ivelany fotsiny (vahiny) mpampiasa seranan-tsambo? Fa satria ambanin'ny tany ihany no ampiharina dia mamela ny fampiasana iray antsoina hoe lavitra akorany (SSH), mba hahazo ny fidirana amin'ny alalan'ny terminal lavitra fitantanana amin'ny alalan'ny fidirana (slogin), ka hampihatra ny lavitra dika mitovy fomba (scp).

Ankoatra izany, SSH-seranan-tsambo azo mampandeha ao amin'ny raharaha izay misy ny mpampiasa ilaina mba hampihatra lavitra soratra X Windows, izay tao an-tsotra raharaha dia famindrana ny vaovao avy amin'ny iray milina hafa, araka ny voalaza, miaraka amin'ny voatery angon-drakitra fanafenana. Amin'ny toe-javatra toy izany, ny tena ilaina dia mampiasa miorina amin'ny AES algorithm. Izany dia symmetric encryption algorithm, izay tamin'ny voalohany voalaza ao amin'ny SSH teknolojia. Ary tsy vitan'ny hoe mampiasa izany azo atao fa ilaina.

History of amin'ny fanatanterahana

Ny teknolojia efa niseho nandritra ny fotoana ela. Aoka isika hiala niala ny fanontaniana ny amin'ny fomba hanaovana icing SSH seranan-tsambo, ary hifantoka amin'ny fomba asa rehetra.

Matetika izany midina ho any, mba hampiasa ny taratasy fanomezam-pahefana, miorina amin'ny ba kiraro, na mampiasa VPN ambanin'ny tany. Raha misy programa afaka hiasa amin'ny VPN, tsara kokoa ny hifidy izany safidy. Ny zava-misy fa saika fandaharana rehetra fantatra ankehitriny mampiasa ny Internet fifamoivoizana, ny VPN dia afaka miasa, fa mora ny tambazotra tsy fanahafana. Izany, toy ny ao amin'ny izany no toetry ny taratasy fanomezam-pahefana lohamilina, mamela ny handao ny adiresy ivelany ny alalan'ny terminal ny amin'izao fotoana izao izay vokarina ao an-Output Network, firy. Izany no nitranga tamin'ny adiresy ny taratasy fanomezam-pahefana dia miovaova mandrakariva, ary VPN dikan mbola niova ny fixation ny faritra iray, noho ny iray hafa izay misy fandraràna ny fahafahana miditra.

Ny teknolojia ihany izay manome SSH seranan-tsambo, dia nivoatra tamin'ny 1995 tao amin'ny University of Technology any Failandy (SSH-1). Tamin'ny 1996, fanatsarana no nanampy tamin'ny endrika SSH-2 protocole, izay tena miely patrana tao amin'ny lahatsoratra-Sovietika toerana, na dia noho izany, ary koa ao amin'ny tandrefana sasany tany eoropeanina, dia indraindray ilaina mba hahazoana fahazoan-dalana hampiasa izany tonelina sy ny sampandraharaham-panjakana.

Ny tena tombontsoa ny fanokafana SSH-seranana, izay mifanohitra amin'ny telnet na rlogin, dia ny fampiasana ny nomerika sonia Afrika Atsimo na DSA (ny fampiasana ny mpivady ny misokatra sy nalevina key). Ankoatra izany, dia amin'izany toe-javatra azonao ampiasaina antsoina hoe fivoriana manan-danja miorina amin'ny Diffie-Hellman algorithm, izay mahakasika ny fampiasana ny symmetric encryption Output, na dia tsy hanakana ny fampiasana ny asymmetric encryption algorithms nandritra ny tahirin-kevitra sy ny fandraisana fifindran'ny amin'ny alalan'ny milina hafa.

Servers sy ny akorandriaka

Ao amin'ny Windows na Linux SSH-seranan-tsambo mivelatra dia tsy dia sarotra. Ny hany fanontaniana dia hoe, inona no fitaovana ho an'ny tanjona io no ampiasaina.

Amin'izay heviny izay dia ilaina ny mihaino ny adihevitra momba ny fampitana vaovao sy ny fanamarinana. Voalohany indrindra, ny fifanarahana ihany dia ampy miaro ny antsoina hoe sniffing, izay no tena mahazatra "wiretapping" ny fifamoivoizana. SSH-1 hita fa marefo ny fanafihana. Fitsabahan'ny ao amin'ny dingan'ny nafindrany angon-drakitra tao amin'ny endriky ny tetika ny "olona eo afovoany" nanana ny vokatra. Information afaka manakana fotsiny sy decipher tena fototra. Fa ny faharoa Bible (SSH-2) efa vita fanefitra izany karazana tsehatra, fantatra amin'ny anarana hoe fivoriana fijirihana, noho ny zavatra malaza indrindra.

mandrara security

Ary ny amin'ny fiarovana amin'ny fanajana ny mifindra sy nahazo antontan-kevitra, ny fandaminana ny fifandraisana miorina amin'ny fampiasana ny teknolojia dia mamela izany tsy olana manaraka ireto:

• famantarana manan-danja tao an-toby tao amin'ny fampitana dingana, rehefa "Snapshot» tondro;
• Fanohanana ny Windows sy UNIX-toy ny rafitra;
• fanoloana ny adiresy IP sy ny DNS (spoofing);
• intercepting tenimiafina misokatra ara-batana ny fidirana ho any amin'ny tahirin-kevitra fantsona.

Raha ny marina, ny rehetra fikambanana ny toy izany rafitra dia miorina eo amin'ny foto-kevitra ny "mpanjifa-server", izany hoe voalohany indrindra ny mpampiasa ny solosaina amin'ny alalan'ny fandaharana manokana na hametraka-in antso ho amin'ny lohamilina, izay mamokatra mifandanja redirection.

ambanin'ny tany

Izany tsy lazaina fa ny fampiharana ny fifandraisana toy izany ao amin'ny mpamily manokana dia tsy maintsy hapetraka ao amin'ny rafitra.

Matetika, ao amin'ny Windows-rafitra mifototra dia miorina eo an-fandaharana akora mpamily Teredo Microsoft, izay karazana fomba virtoaly alain-tahaka IPv6 ao amin'ny tambajotra manohana IPv4 ihany. Tonelina toerana misy anao adaptatera dia mavitrika. Raha toa ny tsy fahombiazana mifandray izany, dia afaka manao ny rafitra fotsiny Restart na manao ny fanakatonana, ary hamerina didy avy hampionona ny didy. Mba deactivate tsipika toy izany no ampiasaina:

• netsh;
• interface tsara teredo fanjakana napetraka kilemaina;
• interface tsara isatap nametraka fanjakana kilemaina.

Rehefa niditra ny didy dia tokony hamerina. Mba hahafahan'ny indray ny adaptatera sy mijery ny toerana misy manan-kilema fa tsy ny nanampy firaketana fahazoan-dalana, avy eo, indray, dia tokony hamerina ilay rafitra manontolo.

SSH-mpizara

Andeha hojerentsika ny fomba seranan-tsambo ny SSH no ampiasaina ho toy ny fototra, manomboka amin'ny tetika "mpanjifa-server". Ny toerana misy anao dia matetika ampiharina 22 minitra seranana, fa, araka ny voalaza etsy ambony, dia mety ho ampiasaina sy ny 443rd. Ny hany fanontaniana ao amin'ny safidin'ny ny mpizara mihitsy.

Ny tena mahazatra SSH-lohamilina dia heverina ho izao manaraka izao:

• ho an'ny Windows: Tectia SSH Server, OpenSSH amin'ny Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• for FreeBSD: OpenSSH;
• ho an'ny Linux: Tectia SSH Server, ssh, openssh-lohamilina, lsh-mpizara, dropbear.

Rehetra ny lohamilina dia afaka. Na izany aza, dia afaka mahita sy mandray karama tolotra izay manome sehatra lehibe kokoa ny fiarovana, izay tena ilaina ho an'ny fandaminana ny fidirana tambajotra sy ny fiarovana ao amin'ny orinasa vaovao. Ny vola lany amin'ny asa toy izany dia tsy noresahina. Fa amin'ny ankapobeny isika, dia afaka milaza fa somary lafo, na dia raha oharina amin'ny fametrahana ny rindrankajy manokana na "fitaovana" Firewall.

SSH-mpanjifa

Change SSH seranan-tsambo dia azo atao eo amin'ny fototry ny mpanjifa fandaharana na ny toe-javatra mety, rehefa nanatitra amin'ny seranan-tsambo ny router.

Na izany aza, raha mikasika ny mpanjifa akorany, manaraka ity vokatra rindrambaiko azo ampiasaina ho an'ny rafitra isan-karazany:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD sns.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux sy BSD: lsh-mpanjifa, kdessh, openssh-mpanjifa, Vinagre, putty.

Authentication Mifototra amin'ny vahoaka fanalahidy izy ireo ka hanova ny seranan-tsambo

Ary teny vitsivitsy ny fanamarinana mikasika ny fomba sy mametraka ny lohamilina. Ao amin'ny tranga tsotra, dia tsy maintsy mampiasa ny fanahafana rakitra (sshd_config). Na izany aza, dia afaka atao raha tsy izany, ohatra, ao amin'ny raharaha ny fandaharan'asa toy ny PuTTY. Change SSH seranan-tsambo avy any amin'ny toerana misy anao sanda (22) ho hafa tanteraka fototra.

Ny zava-dehibe indrindra - hanokatra ny seranan-tsambo maro dia tsy mihoatra ny hasarobidin'ny 65535 (ambony seranana tsy misy tsotra izao eo amin'ny natiora). Ankoatra izany, dia tokony handinika ny sasany seranana misokatra amin'ny toerana misy anao, izay azo ampiasain'ny mpanjifa toy ny MySQL na FTPD angona. Raha mamaritra azy ireo ho fanahafana SSH, mazava ho azy, tsy hiasa fotsiny izy ireo.

Tsara ny manamarika fa iray ihany Jabber mpanjifa dia tsy maintsy mihazakazaka ao amin 'ny tontolo iainana mampiasa serveur SSH-, ohatra, amin'ny milina virtoaly. Ary ny tena mpizara localhost dia mila manendry ny zava-dehibe ny 4430 (fa tsy 443, araka ny voalaza etsy ambony). Izany fanahafana Azo ampiasaina rehefa lehibe ny fidirana ho any amin'ny rakitra jabber.example.com voasakana ny Firewall.

Amin'ny lafiny iray, ny seranan-tsambo famindrana mety ho eo amin'ny fampiasana ny router ny fanahafana ny interface tsara ny amin'ny famoronana ny maningana ny fitsipika. Amin'ny ankamaroan'ny torohevitra modely amin'ny alalan'ny adiresy torohevitra manomboka amin'ny 192,168 nameno amin'ny 0,1 na 1,1, fa natambatra router fahaiza-manao toy ny ADSL-modems Mikrotik, adiresy farany Tafiditra ny fampiasana ny 88,1.

Amin'ity tranga ity, mamorona vaovao fitsipika, dia nametraka ny ilaina masontsivana, ohatra, ny hametraka ny ivelany fifandraisana DST-Nat, ary koa ny tanana ny voalaza seranana dia tsy mba ambanin'ny ankapobeny toe-javatra sy ny fizarana an-tserasera tiany (Action). Tsy misy zavatra sarotra loatra eto. Ny zava-dehibe indrindra - ny mamaritra ny soatoavina takiana ny toe-javatra, ary nametraka ny marina seranan-tsambo. Ny toerana misy anao, dia afaka mampiasa seranana 22, fa raha ny mpanjifa mampiasa manokana (ny sasany amin'ireo etsy ambony fa samy hafa rafitra), ny zava-dehibe dia azo ovaina tiany, raha tsy mba izany fikirana tsy mihoatra ny nanambara vidiny, mihoatra noho izay seranan-tsambo isa fotsiny fa tsy misy.

Rehefa nanangana ny fifandraisana ihany koa ny tokony mihaino ny masontsivana ny mpanjifa fandaharana. Mety tsara ho izany amin'ny toe-javatra tsy maintsy mamaritra ny kely indrindra halavan'ny manan-danja (512), na ny toerana misy anao dia matetika nametraka 768. ihany koa tsara ny nametraka ny timeout mba midira ao amin'ny ny haavon'ny 600 segondra sy ny lavitra fidirana alalana amin'ny faka zo. Rehefa avy fampiharana izany toe-javatra, dia mila ihany koa ny hamela ny fampiasana ny zo fanamarinana rehetra, afa-tsy izay miorina amin'ny fampiasana .rhost (fa ilaina ihany ny rafitra mpitantana).

Ankoatra ny zavatra hafa, raha toa ny mpampiasa anarana voasoratra anarana ao amin'ny rafitra, fa tsy mitovy ny nampidirina amin'izao fotoana izao, dia tsy maintsy voatondro mazava mampiasa ny mpampiasa ssh tompony didy ny fampidirana ny fanampiny masontsivana (ho an'ireo izay mahatakatra inona no tandindomin-doza).

Team ~ / .ssh / id_dsa dia azo ampiasaina ho fanodinana ny manan-danja sy ny fomba fanafenana (na Afrika Atsimo). Mba hamorona ny fanalahidy-bahoaka ampiasain'ny ny fiovam-po mampiasa ny tsipika ~ / .ssh / identity.pub (fa tsy voatery). Saingy, tahaka ny fanao mampiseho, ny fomba tsotra indrindra mampiasa didy toy ny ssh-keygen. Eto ny fototry ny olana dia ny nihena ihany ny zava-misy, mba hanampy ny fanalahidin'ny misy fanamarinana fitaovana (~ / .ssh / authorized_keys).

Fa efa lasa lavitra loatra. Raha hiverina any amin'ny seranan-tsambo toe-javatra SSH olana, araka ny efa mazava fiovana SSH seranan-tsambo dia tsy dia sarotra. Na dia izany aza, amin'ny toe-javatra sasany, hoy izy ireo, dia tsy maintsy hatsembohana, satria fa mila tafiditra ao ny manan-danja rehetra masontsivana soatoavina. Ny sisa amin'ny fanahafana vay olana teo ho eo anoloan'ny varavaran'ny misy lohamilina na mpanjifa fandaharana (raha toa ka omena voalohany), na hampiasa seranan-tsambo nanatitra ny ny router. Fa na dia raha ny fanovana ny seranana 22, ny toerana misy anao, ny iray ihany 443rd, tokony ho mazava tsara fa toy izany rafitra tsy foana miasa, raha tsy ao anatin'ny raharaha ny fametrahana mitovy add-in Jabber (hafa analogs Afaka mampihetsika sy ny tsirairay avy seranana, tsy mitovy amin'ny ny faneva). Ankoatra izany, dia manokana dia tokony homena fikirana mametraka SSH-mpanjifa, izay mifandray mivantana amin'ny SSH-mpizara, raha toa ka tena tokony hampiasa ny fifandraisana amin'izao fotoana izao.

Ary ny sisa, raha nanatitra ny seranan-tsambo dia tsy nanome voalohany (na dia tsara ny hanao zavatra toy izany), toe-javatra sy ny safidy ho an'ny fidirana amin'ny alalan'ny SSH, tsy afaka miova. Misy olana, rehefa namorona ny fifandraisana, sy ny fampiasana bebe kokoa, amin'ny ankapobeny, dia tsy antenaina (raha tsy, mazava ho azy, dia tsy azo ampiasaina tanana ampiendrehina ny fanahafana mpizara-monina sy ny mpanjifa). Ny tena mahazatra maningana ny famoronana ny lalàna momba ny ny router dia mamela anao hanitsy olana na mialà amin'ireny olona ireny.