Хэрхэн тохиргоо болон SSH портыг ашиглах вэ? алхам гарын авлага Алхам

Shell аюулгүй, эсвэл SSH гэж товчилсон, энэ нь халдвар дамжих хамгийн дэвшилтэт өгөгдөл хамгаалах технологийн нэг юм. Нэг чиглүүлэгч дээр ийм дэглэм ашиглах нь зөвхөн дамжих мэдээллийн нууцлалыг зөвшөөрдөг, бас пакет солилцох хурдасгахын тулд. Гэсэн хэдий ч, хүн бүр хол SSH портыг нээж гэж мэддэг, энэ нь яагаад бүхий л шаардлагатай байдаг. Энэ тохиолдолд энэ нь оновчтой тайлбар өгөх шаардлагатай байдаг.

Порт SSH: Энэ юу вэ, бид яагаад хэрэгтэй вэ?

Бид энэ тохиолдолд аюулгүй байдлын тухай ярьж байгаа болохоор, SSH боомт дор мэдээлэл шифрлэлт хангадаг хонгилоор хэлбэрээр-д зориулсан суваг ойлгож болно.

Энэ хонгилын ихэнх командын схем юм нь нээлттэй SSH-порт төгсгөл дээр эх болон шифрлэлтийг буцаах үйлдэл дээр өгөгдлийг шифрлэхэд анхдагчаар ашигладаг. Та үүнийг дуртай, үгүй, IPsec ялгаатай, дамжуулсан, урсгалыг албадлага болон сүлжээний гаралт терминал дор шифрлэсэн болон орох хүлээн авагч талд эсэх: Энэ дараах байдлаар тайлбарлаж болно. Энэ суваг дээр дамжуулсан мэдээллийг буцаах, хүлээн авах терминал тусгай түлхүүрийг ашигладаг. Өөрөөр хэлбэл, шилжүүлэх оролцох, эсвэл дамжих өгөгдлийн бүрэн бүтэн байдлыг нэг нь түлхүүрээр ч чадахгүй байгаа үед буулт хийх.

Зүгээр л SSH порт ямар ч чиглүүлэгч дээр буюу нэмэлт үйлчлүүлэгчийн зохих тохиргоог ашиглан харилцаж SSH-сервер бүхий шууд нээх, та орчин үеийн сүлжээний аюулгүй байдлын системийн бүх боломжуудыг бүрэн дүүрэн ашиглах боломжийг олгодог. Бид энд анхдагч эсвэл өөрчлөн тохируулсан тохиргоог томилсон байдаг бөгөөд энэ нь портыг хэрхэн ашиглах талаар байдаг. өргөдөлд Эдгээр үзүүлэлтүүд нь хэцүү харагдаж болох юм, гэхдээ ийм холбогдуулан зохион байгуулах талаар ойлголт ч хангалттай биш юм.

Стандарт SSH порт

Хэрэв үнэхээр чиглүүлэгч аль нэг параметрийг анхны дарааллыг тогтоох ёстой үндэслэн, програм хангамж ямар энэ холбоосыг идэвхжүүлэх ашиглаж болно. Үнэн хэрэгтээ, анхдагч SSH порт өөр өөр тохиргоог байж болно. Бүх зүйл ямар арга (нэмэлт үйлчлүүлэгч порт зуучийн гэх мэт. D. суулгах, сервер рүү шууд холболт) мөч үед хэрэглэдэг хамаарна.

Жишээ нь, үйлчлүүлэгч Jabber ашиглаж байгаа бол зөв холболт, кодлох, өгөгдөл дамжуулах порт 443 ашиглаж болно, илэрхийлэгч стандарт порт 22-д заасан боловч юм.

Тухайн хөтөлбөрийн хуваарилах нь чиглүүлэгчээр анхны байдалд нь оруулж, эсвэл боловсруулах шаардлагатай нөхцөл гүйцэтгэх байхын тулд порт зуучийн SSH-г. Энэ юу вэ? Энэ тохиргоо нь одоогийн байгаа үл хамааран аль нь интернэт холболт ашигладаг нэг хөтөлбөрт тухайн нэвтрэх зорилго юм протокол валютын мэдээлэл (IPv4 болон IPv6).

техникийн үндэслэл

Стандарт SSH порт нь 22 нь аль хэдийн тодорхой байсан гэж үргэлж ашиглаж байна. Гэсэн хэдий ч, энд тохиргоон үед хэрэглэх шинж чанар, тохиргоо зарим хуваарилах шаардлагатай юм.

Яагаад шифрлэгдсэн мэдээллийн нууцлалыг протокол нь цэвэр гадаад (зочин) хэрэглэгчийн порт хэлбэрээр SSH ашиглах явдал? Гэхдээ хонгилоор хэрэглэж байгаа цорын ганц учир нь энэ нь гэх алсын бүрхүүлд (SSH) ашиглах, алсын нэвтрэх (slogin) дамжуулан терминал удирдлагад хандах боломжийг олж авах, мөн алсын хуулбар журам (SCP) хэрэглэх боломжийг олгодог.

Үүнээс гадна, SSH-порт тохиолдолд хэрэглэгч алсын скриптүүдийг X Windows зэрэг нь албадан мэдээллийг шифрлэх нь байна гэж байсан энгийн тохиолдолд өөр нэг машинаас мэдээллийг дамжуулах юм ажиллуулах шаардлагатай юм идэвхжүүлсэн болно. Ийм нөхцөл байдалд хамгийн их шаардлагатай AES алгоритм дээр суурилсан ашиглах болно. Энэ нь тэгш хэмтэй шифрлэлт алгоритм, SSH технологийн анх өгсөн юм. Тэгээд аль болох боловч шаардлагатай биш зөвхөн энэ нь ашигладаг.

хэрэгжүүлэх түүх

технологи нь удаан хугацааны туршид гарч байна. АНУ-ын хөдлөх SSH портыг хэрхэн хийх асуудлыг хойш орхиж, түүний хэрхэн бүх ажил дээр анхаарч үзье.

Ихэвчлэн энэ нь оймс үндсэн дээр прокси хэрэглэх, эсвэл VPN хоолойнуудыг ашиглах, уруу ирдэг. тохиолдолд зарим нэг програм VPN нь энэ сонголтыг сонгох нь илүү дээр ажиллаж болно. Өнөөдөр бараг бүх мэдэгдэж байгаа програмууд нь интернэтийн урсгалыг ашиглах баримт, VPN ажиллаж болно, гэхдээ амархан чиглүүлэлтийн тохиргооны биш юм. Энэ прокси сервер тохиолдолд адил, үүнээс хойш одоогийн байдлаар хүлээн зөвшөөрөөгүй, гаралт нь сүлжээнд үйлдвэрлэсэн терминалын гадаад хаягаа үлдээх боломжийг олгодог. Энэ прокси хаягаар хэрэг нь үргэлж өөрчлөгдөж байдаг юм, VPN хувилбар нь нэг нэвтрэхэд хориг байдаг бусад нь тодорхой бүс нутгийн тогтоосны хамт өөрчлөгдөөгүй хэвээр байна.

SSH портыг санал маш их ижил технологи, Финландын Технологийн Их Сургуулийн (SSH-1) нь 1995 онд боловсруулсан. 1996 онд, сайжруулалт, SSH-2 протокол, дараах ЗХУ-ын орон зайд маш өргөн тархсан байсан хэлбэрээр нэмсэн байгаа хэдий ч энэ нь, мөн түүнчлэн баруун Европын зарим улс оронд энэ туннелийг ашиглах зөвшөөрөл авахын тулд заримдаа шаардлагатай байгаа бөгөөд засгийн газрын агентлагуудын байна.

Telnet, эсвэл энэ хоёр ялгаатай, SSH порт нээх гол давуу тал нь, тоон гарын үсэг RSA болон DSA (нээлттэй хос болон оршуулсан түлхүүр ашиглах) ашиглах юм. Цаашилбал, энэ нөхцөл байдалд та Diffie-Hellman алгоритм нь тэгш хэмтэй шифрлэлт гарцын ашиглах явдал дээр тулгуурласан гэж нэрлэгддэг сессийн түлхүүр, өөр машинаар өгөгдөл дамжуулах, хүлээн авах үед тэгш бус шифрлэлтийн алгоритм ашиглахыг хориглохгүй ч ашиглаж болно.

Сервер болон бүрхүүл

Windows эсвэл нд Linux SSH-портыг онгойлгохыг тийм ч хэцүү биш юм. Зөвхөн асуулт энэ зорилгоор ямар арга хэрэгслийг төрлийн ашиглаж болно гэсэн үг юм.

Энэ утгаараа энэ нь мэдээлэл дамжуулах, танилт асуудалд анхаарах шаардлагатай байна. Нэгдүгээрт, протокол нь өөрөө хангалттай гэж нэрлэгддэг шиншлэх, замын хөдөлгөөнд хамгийн ердийн "утасны яриаг замаас нь" юм хамгаалагдсан байдаг. SSH-1 халдлагад өртөмтгий болох нь батлагдсан. "Дунд хүн" нь схемийн хэлбэрээр өгөгдлийг дамжуулах явцад хөндлөнгийн түүний үр дүнг байсан. Мэдээллийн зүгээр л дундаас нь, маш бага тайлах болно. Харин хоёр дахь хувилбар (SSH-2) сесс мэдэлдээ гэгддэг оролцоогүйгээр энэ төрлийн, дархлаа хамгийн алдартай гэж юу вэ ачаар байна.

аюулгүй байдлыг хориглосон

дамжуулагдаж хүлээн авсан мэдээллийн хувьд аюулгүй байдлын хувьд, ийм технологи ашиглан байгуулсан холболтуудын байгууллага дараахь асуудлуудыг зайлсхийх боломж олгодог:

• дамжуулах шатанд хост нь "хормын хувилбарыг» хурууны хээ таних товч;
• Windows болон UNIX төст системүүд нь дэмжлэг үзүүлэх;
• IP болон DNS хаяг (хууран мэхлэхэд хүрч) нь орлуулах;
• өгөгдлийн сувагт физик хандалт нээлттэй нууц үгээ замаас нь.

Ер нь, ийм тогтолцоог бүхэлд нь байгууллага "үйлчлүүлэгч-сервер" зарчим дээр баригдсан, өөрөөр хэлбэл, тусгай хөтөлбөр, сервер, холбогдох дахин чиглүүлэлт үүсгэдэг нэмж-д дуудлага дамжуулан хэрэглэгчийн бүх компьютер анх удаа.

туннель

Энэ нь тусгай жолоочтой нь энэ төрлийн холбогдуулан хэрэгжилтийн систем дээр суулгасан байх ёстой нь ойлгомжтой.

Ерөнхийдөө Windows дээр суурилсан системүүдэд програм бүрхүүл жолооч зөвхөн IPv4 дэмжих сүлжээнд IPv6 виртуал эмуляц арга нь нэг төрлийн Microsoft Teredo болгон барьсан байна. Туннель анхдагч адаптер идэвхтэй байна. Хэрэв холбоотой гэмтэл гарсан тохиолдолд та зөвхөн системийн дахин ажиллуулаарай эсвэл зогсолтыг гүйцэтгэх, тушаал консолоос тушаалыг дахин эхлүүлэх болно. идэвхгүй болгохын тулд ийм шугам ашиглах болно:

• netsh;
• интерфэйс teredo багц улсын тахир дутуу,
• интерфэйс isatap тогтоосон төрийн идэвхгүй.

тушаалыг дахин эхлүүлэх хэрэгтэй оруулсны дараа. шалгана дахин идэвхжүүлж, харин оронд нь идэвхжсэн бүртгэл зөвшөөрлийн хөгжлийн бэрхшээлтэй статусыг шалгах бөгөөд үүний дараа дахин, бүхэл системийг дахин эхлүүлэх хэрэгтэй.

SSH сервер

Одоо хэрхэн SSH порт схемийн "үйлчлүүлэгч-сервер" -аас эхлэн, гол болгон ашиглаж байна шалгаарай. Анхдагч утга нь ихэвчлэн 22 минут портыг хэрэглэж байгаа ч дээр дурдсан шиг ашиглаж, 443rd болно. серверийн өөрийнх нь давуу зөвхөн асуулт байна.

хамгийн түгээмэл SSH-серверүүд дараах гэж үзэж байна:

• Windows нь: Tectia SSH сервер, Cygwin, MobaSSH, KpyM Telnet / SSH сервер, WinSSHD, copssh, freeSSHd нь OpenSSH;
• FreeBSD-ийн хувьд: OpenSSH;
• Tectia SSH сервер, SSH, OpenSSH-сервер, lsh-сервер, dropbear: Линукс байна.

серверүүд бүх үнэ төлбөргүй байдаг. Гэсэн хэдий ч, та нар аюулгүй байдал, аж ахуйн нэгж, сүлжээний хүртээмж, мэдээллийн аюулгүй байдлыг зохион байгуулах нь чухал юм бүр ч их хэмжээгээр хангах үйлчилгээг олж, төлсөн болно. Ийм үйлчилгээний зардал хэлэлцсэн байна. Гэхдээ ер нь бид ч гэсэн тусгай программ буюу "тоног төхөөрөмжийн" галт хана суулгах харьцуулахад харьцангуй хямд байдаг гэж хэлж болно.

SSH-клиент

Өөрчлөлтийн SSH клиент нь порт хөтөлбөрийн үндсэн эсвэл таны чиглүүлэгч дээр зохих тохиргоо порт зуучийн дээр хийж болно.

Гэсэн хэдий ч, та нар үйлчлүүлэгч бүрхүүл барих бол, дараах програм хангамжийн бүтээгдэхүүн янз бүрийн системд ашиглаж болно:

• Windows - SecureCRT, шаваас \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD гэх мэт,..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux болон BSD: lsh-клиент, kdessh, OpenSSH-үйлчлүүлэгч, Vinagre, шаваас.

Authentication нийтийн түлхүүр дээр үндэслэсэн бөгөөд портыг өөрчилж байна

Одоо хэрхэн шалгах болон серверийг тохируулах талаар цөөн хэдэн үг. энгийн тохиолдолд та тохиргооны файлыг (sshd_config) ашиглах ёстой. Гэсэн хэдий ч, та ч, жишээ нь, ийм замаск зэрэг хөтөлбөрийн тохиолдолд хийж болно. бусад анхдагч утга (22) -аас өөрчлөлт SSH порт бүрэн бага байна.

Хамгийн гол нь - нь портын дугаарыг нээж 65535 үнэ цэнийг (дээд портын зүгээр л шинж чанартай нь байхгүй бол) хэтрэхгүй. Үүнээс гадна, MySQL, эсвэл FTPD мэдээллийн сан гэх мэт үйлчлүүлэгч ашиглаж болно анхдагчаар зарим нь нээлттэй боомт, анхаарал хандуулах ёстой. Та SSH тохиргоонд зориулж тэдэнд зааж байгаа бол, мэдээж, тэд зүгээр л ажиллаж зогсоох.

Энэ нь ижил Jabber харилцагч виртуал машин дээр, жишээ нь, SSH-серверийг ашиглан ижил орчинд ажиллаж байх ёстой гэдгийг энд тэмдэглэх нь зүйтэй юм. Хамгийн сервер тестлээрэй (дээр дурдсан шиг оронд 443) 4430 нь утгыг зааж өгөх хэрэгтэй болно. үндсэн файл jabber.example.com нэвтрэх галт хаагдсан үед энэ тохиргоог ашиглаж болно.

Нөгөө талаас, дамжуулах порт журмын үл хамаарах бүтээл нь түүний интерфэйс тохиргоог ашиглан чиглүүлэгч дээр байж болно. Хамгийн загвар оролтын хаягаар дамжуулан оруулах 192.168 0.1 буюу 1.1 нэмж эхэлсэн боловч Mikrotik гэх мэт боломжууд ADSL-модемуудыг хослуулах чиглүүлэгчүүд, эцсийн хаяг 88.1 ашиглах явдал юм.

Энэ тохиолдолд, шинэ дүрэм, гадаад холболт DST-NAT суулгах, түүнчлэн гараар заасан портын ерөнхий тохиргоо дор идэвхтэй давуу хэсэгт (үйл ажиллагааны) -д биш юм бий бол жишээ нь, шаардлагатай параметрүүдийг тохируулах. Юу ч мөн энд төвөгтэй. Хамгийн гол нь - тохиргоо шаардлагатай утгыг зааж, зөв порт тохируулах талаар. Анхдагч байдлаар, та портыг 22 ашиглаж болно, гэхдээ хэрэглэгчийн тусгай (өөр өөр систем дээр дурдсан зарим) ашигладаг бол, утга нь дур мэдэн өөрчилж болно, гэхдээ зөвхөн Ингэснээр энэ параметрийг зарласан үнэ цэнийг порт тоо нь ердөө л байхгүй байна ямар дээш хэтрэхгүй.

Та холболтуудыг тохируулж байхад нь мөн үйлчлүүлэгчийн хөтөлбөрийн үзүүлэлтүүдийг анхаарах ёстой. Энэ нь сайн Анхдагч утга нь ихэвчлэн 768. тогтоосон боловч бас 600 секундын түвшин, эх эрхийн алсын нэвтрэх зөвшөөрөл дээр нэвтрэн орох хугацаа хэтрэлт тогтоох нь зүйтэй өөрийн тохиргоо, түлхүүр (512) хамгийн бага уртыг зааж өгөх хэрэгтэй байж болох юм. Энэ тохиргоог хэрэглэх дараа, та ч бас ашиглах .rhost дээр суурилсан зааснаас бусад бүх нэвтрэлт танилт эрхийг ашиглах, зөвшөөрөх хэрэгтэй (гэхдээ энэ нь зөвхөн системийн администраторуудад шаардлагатай байдаг).

Бусад зүйлийн дотор, хэрэглэгчийн нэр системд бүртгэгдсэн бол одоогийн байдлаар танилцуулсан ижил биш, энэ нь тодорхой нэмэлт параметрүүдийн танилцуулга (гадасны хажуу гэж юу болохыг ойлгох хүмүүст зориулсан) нь хэрэглэгчийн SSH мастер тушаалыг ашиглан зааж өгөх ёстой.

Team ~ / .ssh / id_dsa түлхүүр хувирган шифрлэх аргаа (эсвэл RSA) ашиглаж болно. мөр нь ~ / .ssh / identity.pub (гэхдээ заавал) ашиглан хувиргах ашигладаг нийтийн түлхүүр үүсгэхийн тулд. Гэвч, практик шоу болох хамгийн хялбар арга бол SSH-Keygen зэрэг тушаалуудыг ашиглах хэрэгтэй. Энд асуудлын мөн чанар боломжтой таних арга хэрэгсэл (~ / .ssh / authorized_keys) түлхүүрийг нэмэх зөвхөн үнэн болж буурсан байна.

Гэхдээ бид хэтэрхий хол явсан байна. Хэрэв та портын тохируулгууд нь SSH асуудалд буцаж явах бол болж байна гэх мэт тодорхой өөрчлөлт SSH порт нь тийм ч хэцүү биш юм. Гэсэн хэдий ч, зарим тохиолдолд тэд хэлж байна, хэрэгцээ гол параметрүүдийг бүх утгыг харгалзан авч, учир нь хөлс хэрэгтэй болно. (Энэ нь анх заасан бол) тохиргооны асуудал үлдсэн хэсэг нь ямар нэгэн сервер болон үйлчлүүлэгчийн хөтөлбөрийн үүдэнд доош багасвал, эсвэл чиглүүлэгч дээр порт зуучийн ашиглах хэрэгтэй. Харин ч боомт 22 өөрчлөгдөх тохиолдолд анхдагч ижил 443rd тулд тодорхой ийм схем үргэлж (зөвхөн ижил нэмэгдлийг-д Jabber суулгах тохиолдолд ажил биш гэдгийг бусад analogs болон тэдгээрийн холбогдох портыг идэвхжүүлэх болно, ойлгох хэрэгтэй Энэ нь стандарт ялгаатай). Үүнээс гадна, тусгай анхаарал SSH-харилцагч, шууд үнэхээр одоогийн холболтыг ашиглах ёстой бол SSH-сервер харилцаж болно тогтоох параметрийг өгсөн байх ёстой.

бусад хувьд (ийм үйлдэл хийх нь зүйтэй боловч) порт зуучийн анх заасан байгаа бол SSH-ээр хандах тохиргоо, сонголт, та өөрчилж чадахгүй. (Мэдээж гар аргаар ашиглаж болохгүй, хэрэв болно тохиргооны сервер дээр суурилсан бөгөөд харилцагч тохируулах) ерөнхийд нь холболт, түүний цаашдын хэрэглээг бий болгох ямар нэгэн асуудал хүлээгдэж байна. чиглүүлэгч дээр дүрэм бий болгоход хамгийн түгээмэл онцгой Хэрэв та ямар нэг асуудал байвал засварлах эсвэл зайлсхийх боломж олгоно.