چگونه برای پیکربندی و استفاده از پورت SSH؟ راهنمای گام به گام

پوسته امن، یا به صورت مختصر به عنوان SSH، آن را یکی از پیشرفته ترین فن آوری حفاظت از داده ها در انتقال است. استفاده از چنین رژیمی بر روی روتر همان اجازه می دهد تا نه تنها از محرمانه بودن اطلاعات منتقل می شود ولی برای سرعت بخشیدن به تبادل بسته. با این حال، هر کس می داند آنجا که برای باز کردن پورت SSH، و این همه چرا لازم است. در این مورد لازم است که به یک توضیح سازنده.

پورت SSH: آنچه در آن است و به همین دلیل نیاز داریم؟

از آنجا که ما در حال صحبت کردن در مورد امنیت، در این مورد، تحت پورت SSH را به کانال اختصاص داده شده به شکل یک تونل، فراهم می کند که رمزگذاری داده ها درک شود.

طرح ابتدایی ترین این تونل است که یک ارتباط ssh-پورت باز به طور پیش فرض مورد استفاده برای رمزگذاری داده ها در منبع و رمزگشایی بر روی نقطه پایانی. این را می توان توضیح داد شرح زیر است: آیا شما آن را دوست دارم یا نه، انتقال ترافیک، بر خلاف از IPSec، تحت اجبار و ترمینال خروجی شبکه رمزگذاری شده، و در سمت دریافت در ورودی. به رمزگشایی اطلاعات منتقل شده در این کانال، ترمینال دریافت با استفاده از یک کلید خاص است. به عبارت دیگر، به دخالت در انتقال و یا سازش یکپارچگی داده های منتقل شده در حال حاضر یکی نمی توانند بدون یک کلید.

فقط باز کردن SSH-پورت بر روی هر روتر و یا با استفاده از تنظیمات مناسب از مشتری های اضافی تعامل به طور مستقیم با SSH سرور، اجازه می دهد تا شما را به طور کامل استفاده از تمام ویژگی های سیستم های امنیتی شبکه های مدرن. ما در اینجا در مورد چگونگی استفاده از یک پورت است که به طور پیش فرض و یا سفارشی تنظیمات اختصاص داده شده. این پارامترها در نرم افزار ممکن است نگاه دشوار است، اما بدون درک سازمان از چنین ارتباط کافی نیست.

پورت استاندارد SSH

اگر، در واقع، بر اساس پارامترهای از هر یک از روتر ابتدا باید سفارش تعیین، چه نوع از نرم افزار خواهد شد برای فعال شدن این لینک استفاده می شود. در واقع، پورت SSH به طور پیش فرض می توانید تنظیمات مختلف داشته باشد. همه چیز بستگی به روش است که در حال حاضر استفاده می شود (اتصال مستقیم به سرور، نصب پورت حمل و نقل اضافی مشتری و غیره. D.).

برای مثال، اگر سرویس گیرنده استفاده می پرحرفی، برای اتصال به شبکه درست، رمزگذاری، و پورت انتقال داده 443 است مورد استفاده قرار گیرد، اگر چه تجسم در پورت استاندارد 22 تنظیم شده است.

برای تنظیم مجدد روتر به تخصیص برای یک برنامه خاص و یا پردازش شرایط لازم برای انجام حمل و نقل پورت SSH. آن چیست؟ هدف از دسترسی خاص به یک برنامه واحد که با استفاده از اتصال به اینترنت است، صرف نظر از تنظیمات فعلی است ارز پروتکل داده ها (IPv4 یا IPv6).

توجیه فنی

استاندارد پورت SSH 22 است که همیشه استفاده کنید زیرا از قبل روشن بود. با این حال، در اینجا لازم به اختصاص برخی از ویژگی ها و تنظیمات استفاده می شود در طول راه اندازی است.

چرا پروتکل محرمانه داده های رمزگذاری شده شامل استفاده از SSH به عنوان یک (مهمان) پورت کاربران صرفا خارجی؟ اما فقط به این دلیل تونل اعمال می شود آن را اجازه می دهد تا با استفاده از یک به اصطلاح پوسته از راه دور (SSH)، برای به دست آوردن دسترسی به مدیریت ترمینال از طریق ورود از راه دور (slogin)، و اعمال رویه کپی از راه دور (SCP).

علاوه بر این، SSH پورت را می توان در مورد که در آن کاربران لازم است برای اجرای اسکریپت از راه دور X ویندوز، که در ساده ترین مورد انتقال اطلاعات از یک ماشین به ماشین دیگر است، به عنوان گفته شده است، با یک رمزگذاری داده ها مجبور فعال می شود. در چنین شرایطی، لازم ترین خواهد استفاده در الگوریتم AES است. این یک الگوریتم رمزنگاری متقارن، که در اصل در تکنولوژی SSH ارائه شده است. و استفاده از آن نه تنها ممکن بلکه لازم است.

تاریخچه ای از تحقق

این فناوری برای مدت زمان طولانی به نظر می رسد. اجازه دهید ما در مقابل این سوال که چگونه پورت SSH شکر و تخم مرغ، و تمرکز بر چگونگی آن همه کار.

معمولا آن را به پایین می آید، برای استفاده از پراکسی بر اساس جوراب و یا استفاده از تونل VPN. در مورد برخی از نرم افزار کاربردی می توانید با VPN کار می کنند، بهتر است برای انتخاب این گزینه. واقعیت این است که برنامه تقریبا همه شناخته شده امروز با استفاده از ترافیک اینترنت، VPN می تواند کار کند، اما به راحتی مسیریابی پیکربندی است. این، همانطور که در مورد سرور های پروکسی، اجازه می دهد تا آدرس های خارجی از ترمینال که از آن در حال حاضر در شبکه خروجی، به رسمیت شناخته نشده تولید را ترک کنند. این مورد با آدرس پروکسی همیشه در حال تغییر، و نسخه VPN بدون تغییر با تثبیت از یک منطقه خاص، به غیر از یکی است که در آن ممنوعیت دسترسی وجود دارد باقی مانده است.

همان تکنولوژی است که ارائه می دهد پورت SSH، در سال 1995 در دانشگاه علم و صنعت در فنلاند (SSH-1) توسعه داده شد. در سال 1996، بهبود در قالب SSH-2 پروتکل، که در فضای پس از شوروی کاملا گسترده بود اضافه شده است، اگر چه برای این کار، و همچنین در برخی از کشورهای اروپای غربی، که گاهی اوقات لازم است برای به دست آوردن اجازه استفاده از این تونل، و از سازمان های دولتی.

مزیت اصلی باز کردن SSH پورت، به شبکه راه دور یا آرلاگین مخالف، استفاده از امضاهای دیجیتال RSA یا DSA (با استفاده از یک جفت از باز و یک کلید به خاک سپرده) است. علاوه بر این، در این وضعیت شما می توانید کلید نشست به اصطلاح بر اساس الگوریتم Diffie-Hellman که، که شامل استفاده از یک خروجی رمزنگاری متقارن استفاده کنید، اگر چه استفاده از الگوریتم های رمزنگاری نامتقارن در طول انتقال و دریافت اطلاعات توسط دستگاه دیگری مانع است.

سرور و پوسته

در ویندوز و یا لینوکس از SSH-پورت باز است چندان دشوار نیست. تنها سؤال این است، چه نوع از ابزار برای این منظور استفاده خواهد شد.

در این مفهوم آن به توجه به این موضوع از انتقال اطلاعات و احراز هویت لازم است. در مرحله اول، پروتکل به خودی خود به اندازه کافی توسط به اصطلاح تشخیص می دهد، که معمول ترین "شنود" از ترافیک محافظت می شود. SSH-1 نشان داد که این حملات آسیب پذیر. تداخل در روند انتقال داده ها در فرم از یک طرح از "مرد در وسط" نتایج آن بود. اطلاعات به سادگی می تواند رهگیری و کشف کاملا ابتدایی. اما نسخه دوم (SSH-2) به این نوع از مداخله، شناخته شده به عنوان جلسه ربودن ایمنی بدن، به لطف آنچه محبوب ترین است.

توقیف امنیتی

همانطور که برای امنیت در رابطه با داده های منتقل شده و دریافت شده، این سازمان از ارتباطات تاسیس با استفاده از تکنولوژی مانند اجازه می دهد تا برای جلوگیری از مشکلات زیر است:

• کلید شناسایی به میزبان در گام انتقال، هنگامی که یک "عکس فوری» اثر انگشت؛
• پشتیبانی از ویندوز و سیستم های یونیکس مانند؛
• جایگزینی آدرس IP و DNS (حقه بازی)؛
• متوقف کردن رمز عبور باز با دسترسی فیزیکی به کانال داده.

در واقع، کل سازمان از چنین سیستم است که در اصل از "کلاینت سرور" ساخته شده است، این است که، اول از همه کامپیوتر کاربر از طریق یک برنامه خاص و یا اضافه کردن در تماس به سرور، که به تولید تغییر مسیر مربوطه.

تونل زنی

بدیهی است که اجرای اتصال از این نوع در یک راننده خاص باید بر روی سیستم نصب می شود می رود.

به طور معمول، در سیستم های مبتنی بر ویندوز است به راننده پوسته برنامه مایکروسافت Teredo است، که یک نوع از ابزار شبیه سازی مجازی از IPv6 در شبکه های تنها حمایت از IPv4 ساخته شده است. آداپتور به طور پیش فرض تونل فعال است. در صورت شکست در ارتباط با آن، شما فقط می توانید یک راه اندازی مجدد سیستم و یا انجام یک خاموش کردن و دستورات را از کنسول فرمان راه اندازی مجدد. برای غیرفعال کردن این خطوط استفاده می شود:

• NETSH؛
• رابط دولت مجموعه ای teredo غیرفعال شده است؛
• ISATAP رابط دولت تنظیم غیر فعال است.

پس از وارد کردن دستور باید راه اندازی مجدد. برای فعال کردن مجدد آداپتور و بررسی وضعیت غیر فعال به جای ثبت مجوز را فعال کنید، و پس از آن، دوباره، باید کل سیستم را ریستارت کنید.

SSH سرور

حالا بیایید ببینید که چگونه پورت SSH را به عنوان هسته استفاده می شود، با شروع از طرح "کلاینت سرور". به طور پیش فرض است که معمولا اعمال 22 دقیقه پورت، اما، به عنوان بالا ذکر شد، می توان استفاده کرد و 443. تنها سوال در اولویت های سرور خود را.

شایع ترین SSH سرویس دهنده های نظر گرفته می شود موارد زیر است:

• برای ویندوز: Tectia سرور SSH، از OpenSSH با از Cygwin، MobaSSH، KpyM شبکه راه دور / SSH سرور، WinSSHD، copssh، freeSSHd؛
• برای FreeBSD: از OpenSSH؛
• برای لینوکس: Tectia سرور SSH، SSH، از OpenSSH سرور، LSH سرور، dropbear.

تمامی سرورهای رایگان هستند. با این حال، شما می توانید خدماتی که ارائه سطح و حتی بیشتر از امنیت، برای سازمان دسترسی به شبکه و امنیت اطلاعات در کار ضروری است که پیدا کردن و پرداخت می شود. هزینه خدمات از جمله مورد بحث است. اما به طور کلی می توان گفت که آن را نسبتا ارزان، حتی در مقایسه با نصب و راه اندازی نرم افزار خاص و یا "سخت افزار" فایروال.

SSH مشتری

پورت تغییر SSH می تواند بر اساس برنامه سرویس گیرنده و یا تنظیمات مناسب که حمل و نقل پورت در روتر خود را ساخته شده است.

با این حال، اگر شما پوسته مشتری را لمس کنید، محصولات نرم افزار های زیر را می توان برای سیستم های مختلف استفاده می شود:

• ویندوز - در SecureCRT، بتونه \ زن سبک و جلف، Axessh، ShellGuard، SSHWindows، ZOC، XShell، ProSSHD و غیره؛.
• سیستم عامل Mac OS X: iTerm2، vSSH، NiftyTelnet SSH؛
• لینوکس و BSD: LSH مشتری، kdessh، از OpenSSH مشتری، Vinagre به، بتونه.

تایید بر کلید عمومی بر اساس، و تغییر پورت

در حال حاضر چند کلمه در مورد چگونه تأیید و راه اندازی یک سرور. در ساده ترین حالت، شما باید یک فایل پیکربندی (sshd_config) استفاده کنید. با این حال، شما می توانید بدون آن، به عنوان مثال، در مورد برنامه هایی مانند بتونه. پورت SSH تغییر از مقدار پیش فرض (22) به هر گونه دیگر کاملا ابتدایی است.

چیز اصلی - برای باز کردن یک شماره پورت از ارزش 65535 (پورت بالاتر به سادگی انجام در طبیعت وجود ندارد) تجاوز نمی کند. علاوه بر این، باید با توجه به برخی پورت های باز به طور پیش فرض، که می تواند توسط مشتریان مانند پایگاه داده های MySQL یا FTPD استفاده پرداخت. اگر شما آنها را برای پیکربندی SSH مشخص، البته، آنها فقط متوقف کردن کار.

شایان ذکر است که همان مشتری ها Jabber باید در حال اجرا در همان محیط با استفاده از SSH سرور، برای مثال، در یک ماشین مجازی. و از همه سرور localhost را نیاز به یک مقدار را به 4430 (به جای 443، همانطور که در بالا ذکر شد). این تنظیمات می توان در هنگام دسترسی به jabber.example.com فایل اصلی مسدود شده توسط فایروال استفاده می شود.

از سوی دیگر، پورت انتقال می تواند بر روی روتر با استفاده از پیکربندی رابط کاربری آن با ایجاد استثنا به قوانین باشد. در بسیاری از مدل های ورودی از طریق آدرس های ورودی با شروع با 192.168 همراه با 0.1 یا 1.1، اما روتر ترکیب قابلیت های ADSL-مودم مانند میکروتیک، آدرس پایان شامل استفاده از 88.1.

در این مورد، ایجاد یک حکومت جدید، و سپس مجموعه ای از پارامترهای لازم، برای مثال، برای نصب اتصال خارجی DST-NAT، و همچنین پورت های دستی تجویز می شوند تحت تنظیمات کلی و در بخش تنظیمات فعالیت (اکشن) است. چیزی بیش از حد در اینجا پیچیده است. چیز اصلی - برای مشخص کردن مقادیر لازم تنظیمات و راه اندازی پورت صحیح. به طور پیش فرض، شما می توانید پورت 22 استفاده کنید، اما اگر مشتری با استفاده از یک ویژه (برخی از موارد فوق برای سیستم های مختلف)، ارزش می توان به دلخواه تغییر داد، اما تنها به طوری که این پارامتر از ارزش اعلام، بالا که شماره پورت به سادگی در دسترس نیست تجاوز نمی کند.

هنگامی که شما راه اندازی اتصالات نیز باید با توجه به پارامترهای برنامه سرویس گیرنده پرداخت. این نیز ممکن است که در تنظیمات آن باید برای مشخص کردن حداقل طول کلید (512)، اگر چه به طور پیش فرض است که معمولا مجموعه 768. مطلوب به مجموعه ایست برای ورود به سطح 600 ثانیه و اجازه دسترسی از راه دور با حقوق ریشه است. پس از اعمال این تنظیمات، شما نیاز به استفاده از تمام حقوق و خروج، دیگر از کسانی که بر اساس .rhost استفاده نیز اجازه (اما آن را تنها به مدیران سیستم لازم است).

در میان چیزهای دیگر، اگر نام کاربر ثبت نام شده در سیستم، نه همان در حال حاضر معرفی، باید آن را به صراحت با استفاده از دستور استاد SSH کاربران با معرفی پارامترهای اضافی (برای کسانی که درک آنچه در خطر است) مشخص شود.

تیم ~ / .ssh / id_dsa می توان برای تبدیل کلید و روش رمزگذاری (یا RSA) استفاده می شود. برای ایجاد یک کلید عمومی استفاده شده توسط تبدیل با استفاده از خط ~ / .ssh / identity.pub (اما نه لزوما). اما، به عنوان تمرین نشان می دهد، ساده ترین راه برای استفاده از دستورات مانند SSH- کرک. در اینجا ماهیت این مسئله تنها به این واقعیت کاهش می یابد، به اضافه کردن کلید به ابزار احراز هویت در دسترس (~ / .ssh / authorized_keys).

اما ما خیلی دور رفته اند. اگر شما برگردید به موضوع تنظیمات پورت SSH، روشن شده است به عنوان پورت تغییر SSH است چندان دشوار نیست. با این حال، در برخی شرایط، آنها می گویند، باید به عرق، به دلیل نیاز را به حساب تمام مقادیر پارامترهای کلیدی است. بقیه موضوع پیکربندی جوش پایین به ورودی از هر سرور و یا کلاینت برنامه (اگر آن را در ابتدا ارائه شده است)، یا به استفاده از حمل و نقل پورت در روتر. اما حتی در صورت تغییر پورت 22، به طور پیش فرض، به 443 همان، باید به وضوح درک که چنین طرح می کند همیشه، اما تنها در مورد نصب همان افزودنی در پرحرفی کار نمی کند (آنالوگ دیگر را می توانید و بنادر مربوطه خود فعال شدن آن را از استاندارد متفاوت). علاوه بر این، توجه ویژه ای باید پارامتر تنظیم SSH مشتری، که به طور مستقیم با SSH سرور ارتباط برقرار خواهد کرد، اگر آن را واقعا قرار به استفاده از اتصال فعلی داده شده است.

همانطور که برای بقیه، اگر پورت حمل و نقل است در ابتدا ارائه نشده است (اگر چه آن مطلوب به انجام چنین اقداماتی است)، تنظیمات و گزینه های برای دسترسی از طریق SSH، شما می توانید تغییر دهید. هر گونه مشکلی در هنگام ایجاد یک اتصال و استفاده بیشتر آن، به طور کلی وجود دارد، انتظار می رود (مگر، البته، به صورت دستی مورد استفاده قرار نمی پیکربندی پیکربندی سرور مبتنی بر و مشتری). استثنا رایج ترین به ایجاد قوانین بر روی روتر اجازه می دهد تا به شما برای اصلاح هر گونه مشکل یا اجتناب از آنها را.