How to mîheng bikî û bi kar bînî SSH? Gav bi gav rêberîya

Secure Shell, an kurtkirin wek SSH, ev yek ji teknolojiyên herî pêşketî parastina daneyên di Veguhestina e. Bikaranîna vê rêjîmê li ser router heman destûrê ne bi tenê dikarî nihênîya agahî tê veguhestin, di heman demê de jî ji bo bilezkirina danûstandina packets. Lê belê, her kes ne dizane heta ku ji bo vekirina port SSH de, û bi vê hemû yekê jî, pêwîst e. Di vê rewşê de jî, pêwîst e ku daxuyaniyekî avaker.

Port SSH: ew çi ye û çima em hewcê?

Ji ber ku em li ser dipeyivin ewlekariyê, di vê rewşê de, di bin port SSH ya ji bo kanala têkoşerê di form of a kenda, ji bo ku şîfrekirina giştî ya daneyan bê fêmkirin.

Proje li primitive herî ji vê kenda e ku an SSH-port vekirî bi standard tê bikaranîn ku kilîta welat li source û şîfrekirina giştî ya li seriyê. Ev jî dikare bê gotin: gelo we hez an ne, di rêka trafîkê, berevajiya IPSec, ji mecbûrî û termînalê de encam ji ser torê bi şîfre, û li aliyê wergirtina wan ji ber derê. To şîfreya agahiyên nexasme li ser vê kanalê, di termînalê de distîne tîne key taybet. Bi gotineke din, ji bo mudaxeleyê li transfer an lihevhatinê li ser yekparçetiya agahîyên ku li gavê kes dikare ne bêyî key.

Just vekirina SSH-port li ser ti router yan jî bi karanîna mîhengên minasiw bi muwekîlê din danûstandinê rasterast bi SSH-server, destûrê dide te ku bi temamî bi kar tînin hemû taybetmendiyên sîstemên ewlekarî tora nûjen. Em li vir in, li ser çawa bi kar port ku ji aliyê default an custom settings rêdan. Ev parametreyên di sepanê de rêzkirina kombersê binêrin zehmet, di heman demê de, bêyî ku feraseta rêxistinê de ji yên weha girêdana ne bes e.

port Standard SSH

Eger, bi rastî jî, li ser esasê parametreyên ji ber yek ji yên router divê pêşî da diyar bike, bi çi zaniyariyane software dê ji bo weşan this link bikaranîn. Di rastiyê de, li bendera SSH default dikarî mîhengên cuda hene. Her tişt girêdayî li ku rêbaza xwe li gavê bikaranîn (girêdana rasterast ji server, bernameya şandinê de port muwekîlê din û bi vî awayî li ser. D.).

Ji bo nimûne, eger muwekîlê bikaranîn Jabber, ji bo girêdana rast, şîfrekirinê, û Porta veguheztina Daneyên 443 e ku bi kar bîne, tevî ku bighîjne ku di port standard 22 danîn.

Ji bo nûkirina rêbere bi diravên ku ji bo bernameyeke taybetî an pêvajoyê de, şert û mercên pêwîst ji bo pêkanîna şandinê de port SSH. Çi ye? Ev armanca têketineke taybetî jî ji bo bernameya single ku ji zimên girêdana Înternetê de ye, li kîjan mîhengê niha ye rates protokola welat (IPv4 an IPv6).

rastderxistina teknîkî

Standard port SSH 22 herdem bi kar ne wek ku ew ji niha ve zelal bû. Lê belê, li vir jî pêwîst ji bo veqetandin, hin taybetiyên û settings bikaranîn di dema setup e.

Çima protokola nepenîtiya daneya bişîfre dimeşin bikaranîna SSH wek (mêvan) port user safî ya ji derve? Lê belê, bi tenê ji ber ku tunneling sepandin, îmkana bikaranîna a ku bi navê shell dûr (SSH), bi dest xistina birêvebirina termînalê de bi riya login dûr (slogin), û serî li prosedûra copy dûr (HMB).

Li gel vê, SSH-port dikarin di doza ku bikarhêner pêwist e, da ku li Skrîpta dûr X Windows, ku di sadetirîn doza a veguhestina agahî ji yek makîne ji hev e, wek ku hatiye gotin, bi şîfrekirina giştî ya daneyan bi darê zorê aktîfkirin. Di van rewşên, ku pêwîst herî wê kar li ser Rêbaza AES bingeha. Ev Rêbaza şîfrekirina sîmetrîk, ku di destpêkê de li teknolojiya SSH hat pêşkêşkirin e. Û bi kar tînin, ev ne tenê gengaz di heman demê de pêwîst e.

History of pêkanîna

The teknolojiya hatiye ji bo demeke dirêj xuya bû. Bila ji me re li aliyekî bihêlin pirsa çawa bide bendera icing SSH, û li ser ku çawa ev hemû karên.

Bi piranî ew berjêrî ba tê, bi kar a proxy li ser bingeha Socks an bi kar tunneling VPN. Di doza hin application software dikarin bi VPN bixebitin, baştir ji bo hilbijartina vê bijare. Ev rastiyeke ku, bernameyên hema hema hemû zanîn îro bi kar tînin trafîkê Internet de, li VPN dikarin kar bikin, lê bi hêsanî ANKETORÊ veavakirina e ne. Ev, wek ku di doza Proksiyan, dihêle ku navnîşana derve yên termînalê ya ku niha di tora encam, nehatine çêkirin biterikînin. Ev rewş, bi navnîşana proxy de her tim diguhere, û Versiyon ji VPN çunkî bi mezaxê yên herêmê û hinek din ji ku derê ye, qedexeya li ser ketina li wir dimîne.

The pir heman teknolojiya ku ji bo bendera SSH, di sala 1995 de li University of Technology li Finlandiya (SSH-1) de hate pêşxistin. Li sala 1996, pêşketinên li form of SSH-2 protokola, ya ku di qada post-Sovyetê gelekî berfireh bû zêdekirin, tevî ku ji bo vê yekê, her weha li çend welatên Ewropayê Western, lê carinan pêwîst e ji bo bidestxistina destûr ji bo bikaranîna vê kenda, û ji ajansên hikûmeta.

Avantaja sereke yên vekirina SSH-port, wek ku ji bo Telnet an rlogin dijî, bikaranîna îmze dîjîtal RSA an DSA (bikaranîna cotek vekirî û key veşartin) e. Ji bilî vê, di vê rewşê de tu key session, ku bi navê li ser Diffie-Hellman algorithm, ku boçûna bikaranîna a encam şîfrekirinê çewtî bi kar tînin, tevî ku bikaranîna algorîtmayên şîfrekirinê yên asîmetrîk di dema veguhestina di welat û bi resepsiyonekê makîneyeke din bixwe ne.

Server û shell

Li ser Windows an Linux SSH-port vekirî ye da, ne zehmet bû. Pirsa bi tenê ye, bi çi zaniyariyane Amûrên ji bo vê armancê were bikaranîn.

Di vê wateyê de bala xwe bidin ku pirsgirêka ji nifşekî agahî û authentication pêwîst e. Di serî de, protokola bi xwe ye, bi têra xwe bi ku bi navê kişandina, ku her carê herî "wiretapping" ji trafîkê de tên parastin. SSH-1 îspat bibe nazik ji bo êrîşên. Destwerdana di vê pêvajoyê de ji bo guherandina daneyên di form of a xaxê ji "man di navîn" encamên wê hebû. Information bi asanî bikim û deşîfre pir seretayî. Lê Versiyon ji diduyan (SSH-2) hatiye bi vî rengî ya destwerdana, tê zanîn ku, birevînin. Session neparastiye bûye, bi saya çi herî populer e.

bans ewlekariyê

Wekî ku ji bo ewlekariyê di rêza ji bo welat tê veguhestin û stand, rêxistina pêwendiyên avakirin bi bikaranîna van teknolojiyê dihêle ku rê li pirsgirêkên jêr e:

• key nasname ji mêvandarê at gav veguhestinê, dema ku "Teşeya» tilîka;
• Piştgiriya ji bo Windows û sîstemên UNIX-wek;
• têxî ji IP û navnîşanên DNS (dengê xwe);
• intercepting şîfreya xwe vekirî bi ketina fîzîkî bi kanala daneyan.

Di rastiyê de, li hemû rêxistin ji vê pergalê li ser esasê prensîba "muwekîlê-server" hatiye avakirin, ku ev e, berî her tiştî dibe ku bikarhêner bi riya bernameyeke taybet an jî lê zêde bike-di bangên ji bo server, ku berhem ji nûvekirina berê.

tunneling

Ev bê gotin ku di pêkanîna girêdana bi vî rengî di driver taybetî divê di pergala sazbûyî de bê diçe.

Bi gelemperî, di pergalên li Windows-e nav de ajovanê bernameya shell Microsoft Teredo, ku cure rêyên Emulation virtual ji IPv6 li torên tenê piştgiriya IPv4 avakirin. adapter default Tunnel çalak e. Di bûyerê de ji têkçûna têkildar e, hûn çawa dikarin ji nû ve pergala make an pêkanîna a shutdown û emrên ji konsolê de fermana destpêkirin. Ji bo neçalak van xetên tê bikaranîn:

• netsh;
• virtual dewletê set teredo qedexekirin;
• isatap virtual dewletê set qedexekirin.

Piştî ketina fermana divê destpêkirin. To dîsa çalak ji adapter û kontrolkirina rewşa astengdaran li şûna qeydên destûra be, piştî ku, careke din, divê hemû sîstema destpêkirin.

SSH-server

Niha jî em dibînin ka çawa port SSH ya ku weke navenda bikaranîn, Guherandinên ji ser projeya "bi muwekîlê-server". The standard caran serî li 22 minutes port, di heman demê de, wek ku li jor behsa wan kir, dikarin bên bikaranîn û di 443'an. Pirsa bi tenê di tercîh ya server xwe.

Herî normal ya SSH-pêşkêşkarên tê hesibandin to be li jêr e:

• ji bo Windows: Tectia SSH Server, OpenSSH bi cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• ji bo FreeBSD: OpenSSH;
• ji bo Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Hemû yên ji bo server'î azad in. Lê, hun dikarin xizmetên ku ne di asta hê mezintir yên ewlehiyê, ji bo vê rêxistinê yên şebekeya û ewlekariyê agahî li sazîyên gelek girîng e ku bibînin û pere. Mesrefa zêde ya van rêxistinan ew e nîqaş ne. Lê di giştî em dikarin bêjin ku ev e nisbeten erzan, heta li gorî bi sazkirina nivîsbariyê taybet an "reqalav" firewall.

SSH-muwekîlê

port Change SSH dikare li ser bingeha bernameya muwekîlê an mîhengên li gorî dema şandinê de port li router xwe kir.

Lê belê, eger tu shell muwekîlê ji dest nede, berhemên nivîsbariyê jêr dikarin bên ji bo sîstemên cuda tê bikaranîn:

• Windows - SecureCRT, hevîr \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD hwd.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux û BSD: lsh-muwekîlê, kdessh, openssh-muwekîlê, Vinagre, hevîr.

Piştrastkirina li ser mifteya gelemperî bingeha, û guhertina port

Niha çend peyvan jî li ser ku çawa piştras kirin û danîna server. Di sadetirîn doza, divê tu pela veavakirina (sshd_config) bi kar tînin. Lê belê, tu dikarî bê ev çi bikin, ji bo nimûne, di doza bernameyên mîna hevîr. port Change SSH ji nirxa standard (22) ji bo tu kesî din bi temamî bingehîn e.

Ya herî sereke - ku ji bo hejmara portê nade nirxê 65535 (lîmanên mezintir bi hêsanî dikarim di xwezayê de hene, ne) di mideyeka ne. Li gel vê, divê bal hinek benderan vekirî by default, ku dikare ji aliyê mişterîyên wek danegirên MySQL an FTPD bikaranîn bidin. Heke tu ji wan re ji bo veavakirina SSH diyar bike, bê guman, ew ne tenê dev ji xebatê berdin.

Ev Hêjayî gotinê ye ku di heman muwekîlê Jabber, divê bi bez were li heman cihî bi kar SSH-server, ji bo nimûne, li ser makîneyeke virtual. Û herî server localhost divê dê ji bo peywirdarkirin a nirxa ku 4430 (li şûna 443, wek ku li jor behsa wan). Ev mîhengên dikare dema ku xwe bigihînin jabber.example.com file sereke astengkirin ji aliyê firewall bikaranîn.

Li aliyê din, di benderên transfer dikare li ser router bikaranîna veavakirina virtual xwe bi afirandinê de ji bilî îstisnayan li gor rêgezên be. Di piraniya modelên input bi navnîşanên input destpêkê de bi 192,168 temam bi 0.1 an jî 1.1, di heman demê de Herêmî yekbûneke şiyanên ADSL-modems wek Mikrotik, navnîşan dawiya dimeşin bikaranîna 88,1.

Di vê rewşê de, biafirînin desthilata nû, dûre jî li Parametreyên pêwîst be, ji bo nimûne, ji bo sazkirina girêdana bi derve dst-nat, herweha di benderên bi destan vê nevê ne di bin mîhengên giştî û li beşa vebijêrkên Activism (Action) ne. Tiştek jî li vir aloztir kiriye. Ya herî sereke - bi xwe diyar bike nirxên pêwîst mîhengên û set bendera correct. Wekî standard, tu port 22 bi kar tînin, lê eger mişterî tîne taybet (hin ji yên ku li jor ji bo sîstemên cuda), nirxa nikare bi awayekî kêfî ne guhert, lê tenê da ku ev parametre nade nirxê îlankirin, li jor ku hejmara port ne bi tênê ne amade ne di mideyeka ne.

Gava ku tu set up connections jî, divê balê bikişînin ser Parametreyên yên bernameyê bi muwekîlê bidin. Ev dibe ku baş be ku li mîhengên wê ji bo diyar herî kêm length yên sereke (512), û tevî ku standard bi piranî set 768. Ev gotineke set a demajoyê têkevim li ser asta 600 seconds û destûra ketina ji dûr ve bi mafên root e jî. Piştî daxwaznameya van mîhengan, pêwîst e tu ji bo bikaranîna hemû mafên authentication, din, ji bilî yên ku li ser bingeha .rhost bi kar jî, destûr (lê bi tenê ji bo rêveberên sîstema pêwîst e).

Hin tiştên din, eger bi navê bikarhênerek qeydkirî di nav sîstemê de, ne weke niha li nasand, lê divê eşkere bi bikaranîna fermana master ssh user bi pêşgotineke ji Parametreyên din (ji bo kesên ku fêm bikin ka çi di metirsiyê de ne) diyar dibe.

Team ~ / .ssh / id_dsa dikare ji bo veguherîna key û rêbaza şîfrekirinê (an RSA) tê bikaranîn. Ji bo afirandina a mifteya giştî ya tê bikaranîn ji aliyê converter bikaranîna xeta ~ / .ssh / identity.pub (lê ne pêwîst e). Lê, wek pratîkê de nîşan dide, rêya herî hêsan bi kar emrên wek ssh-keygen. Here naveroka pirsgirêk bi tenê ji bo vê rastiyê kêm, ji bo lê zêde bike kilîda ji amûrên authentication License de (~ / .ssh / authorized_keys).

Lê belê em gelekî dûr çûne. Eger hûn herin ji bo pirsa settings port SSH, zelal, çawa ku hatiye port guhertina SSH e wusa ne zehmete. Lê belê, di hin rewşan de, ew dibêjin ku, wê ji bo xwêdan, ji ber ku pêwîstiya bigire ber çavan tevahiya nirxên Parametreyên key. Yên din jî pirsa avakirina îcraya li ber derê tu server an muwekîlê bernameya (eger ev di destpêkê de pêk tê), an jî ji bo bikaranîna şandinê de port li rêbere. Lê belê di dema guhertinê ya port 22, ya standard, ji 443'an heman, divê vekirî bê fêmkirin ku bi vî rengî xaxê nade tim, di heman demê de bi tenê di doza bernameya di heman add-Di Jabber kar ne (analogs din û di benderên karûbarên xwe de aktîf bike, Ev ji standard cuda ye). Li gel, bi taybetî jî divê bê parametre diçine SSH-muwekîlê, ku rasterast bi SSH-server Pêtviye wê, eger ku bi rastî diviyabû bi kar girêdana niha dayîn.

Wekî ku ji bo yê mayîn, eger şandinê de port is di destpêkê de ne, ne (tevî ku ev daxwza ji bo pêkanîna çalakiyên wiha ye), settings û options bo gihîştina bi rêya SSH, tu nayê guhertin. ti pirsgirêk di dema afirandina girêdana, û bikaranîna bêtir xwe, bi giştî li wê derê ye, ne li bendê (eger, bê guman, wê bê bi destan tê bikaranîn ne mîheng mîhengên pêşkêşkara-based û bi muwekîlê). Awarte herî afirandinên rêzikên ser router destûrê dide te ku lê agadar ti pirsgirêk an wan dûr bin.