Кантип тууралоолорду SSH портун пайдалануу? кадам жол менен кадам

Коопсуз кыртыш, же SSH сыяктуу кыскартылган, ал өткөрүп берүү абдан өнүккөн берилиштерди коргоо технологияларды бири болуп саналат. Ошол эле роутер, мындай режим гана пайдаланууга берилүүчү маалыматтардын купуялыгын мүмкүнчүлүк берет, ошондой эле пакеттерди алмашууну тездетүү. Ошентсе да, ар бир адам эмес, алыс SSH порт ачуу деп билет жана бул эмне үчүн зарыл. Бул учурда ал иштиктүү түшүндүрүп берүү зарыл.

Порт SSH: бул эмне жана эмне үчүн керек?

Биз коопсуздук тууралуу сөз болуп жатат, себеби, бул учурда, SSH портуна астында эсе камсыз туннелдин түрүндө арналган канал түшүнүүгө болот.

бул туннелдин жөнөкөй схемасы деп ачык SSH-порт акыркы чекит боюнча булагы жана чечмелөө боюнча маалыматтарды код үчүн демейки боюнча колдонулат. Сиз аргасыздан жана тармактын көлөмү терминалынын астында ИП, IPSec айырмаланып, же жок, жол менен жугуучу жагабы, ошондой эле кире алуу жагында: Бул мындайча түшүндүрүүгө болот. Бул канал боюнча берилүүчү маалыматты чечмелөө үчүн кабыл терминал атайын ачкычты колдонот. Башка сөз менен айтканда, өткөрүп берүү кийлигишүүгө же бир ачкычы жок эле мүмкүн эмес учурда берилүүчү маалыматтардын актыгынан тайдыруу максатында.

Жөн эле бир роутер, SSH-портун ачып же кошумча кардардын тиешелүү колдонуу менен SSH-жүрүш менен түздөн-түз өз ара, силер толугу менен заманбап тармак коопсуздук системасынын бардык мүмкүнчүлүктөрдү пайдаланууга мүмкүндүк берет. Биз бул жерде демейки же колдонуучунун орнотуулар тарабынан дайындалган бир порт кантип колдонуу керектиги жөнүндө болуп саналат. өтүнмөдө Бул көрсөткүчтөр кыйын карап мүмкүн, бирок мындай байланыштуу уюштуруу жөнүндө түшүнүгү жок эле жетиштүү эмес.

Standard SSH порту

Эгер, чынында эле, роутер, ар кандай алынган параметрлеринин негизинде биринчи тартибин аныктоо керек, программалык кандай бул шилтемени жандандыруу үчүн колдонулат. Чынында эле, демейки SSH порт ар орнотууларга ээ болот. Баары көз ирмем кандай ыкма колдонулат (ошондой эле кошумча кардар порт багыттоону жана орнотуу, жүрүш-түз байланыштуу. Д.) көз каранды.

өзү стандарттык портуна белгиленет 22-да, мисалы, кардар Jabber колдонулган болсо, анда туура байланыштарды, үч эсе жана маалыматтарды берүү портуна 443 үчүн пайдаланылат.

бир программа боюнча бөлүү үчүн, роутерди кайра жандырып же зарыл болгон шарттарды аткаруу керек иштеп чыгуу үчүн порт экспедитордун СШ. Бул эмне? Бул интернет-байланыш колдонгон бир программа тигил же кирүү максаты, көз карандысыз жөндөө бул азыркы болуп протокол алмашуу маалыматтар (IPv4 жана IPv6).

техникалык негиздеме

Стандарттык SSH порт 22 ар дайым ал буга чейин ачык эле колдонулган эмес. Бирок, бул жерде орнотуу учурунда колдонулган мүнөздөмөлөрү жана орнотуулар айрым бөлүп алуу керек.

Эмне үчүн түшүүдө маалыматтардын купуялуулук протокол бир гана тышкы (конок) колдонуучу порт катары SSH пайдаланууну билдирет? Бирок коюу колдонулат гана ал деп аталган алыскы контурун колдонуу (SSH), алыскы кирүү аркылуу терминалдык башкарууга жетүү үчүн (slogin), жана алыскы көчүрмөсү тартибин (ИМБДУ) колдонууга мүмкүндүк берет.

Мындан тышкары, SSH-порт колдонуучу мажбурлап эсе менен, айтылып өткөндөй жөнөкөй учурда, дагы бир машинадан маалымат берүү болуп саналат, алыскы Жазууда X Windows, ишке ашыруу үчүн зарыл болгон учурларда туташтырууга мүмкүн. Мындай учурларда, өтө зарыл болгон AES алгоритм боюнча колдонот. Бул башында SSH технологиялар менен камсыз болгон симметриялуу эмес алгоритми болуп саналат. Ошондо гана мүмкүн, ал эми зарыл болгон эмес, аны колдонушат.

ишке ашыруу тарыхы

технология узак убакыт бою пайда болду. Келгиле, упасы SSH порт үчүн кантип маселени четке таштап, анын кандай бардык иштерди карап көрөлү.

Адатта, Байпак негизинде прокси пайдаланууга же VPN Өткөөл колдонуу үчүн, барып такалат. учурда кээ бир программалык арыз VPN менен иштей алат, бул параметрди тандоого жакшы. Бүгүнкү күндө дээрлик бардык белгилүү программалар Интернет жол кыймылын тийиши чындык, VPN иштей алат, бирок жонокой багытоо тарам эмес. Бул, прокси тейлөөчүлөрү менен болгон окуядан көрүнүп тургандай, чыгаруу тармагында азыркы учурда кайсы терминалын тышкы дареги өндүрүлгөн таанылбаган чыгууга жардам берет. Бул прокси дареги менен иши дайыма өзгөрүп турат, VPN версия жетүү боюнча тыюу бар адамга караганда башка бир аймактын жазуу менен өзгөрүүсүз бойдон калууда.

SSH порт сунуш өтө эле технология, Иордания менен 1995-жылы технологиялык институтун иштелип чыккан (SSH-1). 1996-жылы, жакшыртуу үчүн, ошондой эле кээ бир Батыш өлкөлөрүндө, бул туннелди пайдаланууга уруксат алуу үчүн, кээде керек болсо да, пост-мейкиндикте кыйла кеңири таралган болчу SSH-2 протокол түрүндө кошулду, жана өкмөттүк мекемелердин.

Telnet же rlogin каршы болуп, SSH-порт ачуунун негизги артыкчылыгы болуп, санариптик кол РМА же РМА (ачык бир жуп жана коюшту ачкычын колдонуу) колдонуу болуп саналат. Мындан тышкары, мындай кырдаалда сиз дагы бир машина менен маалыматтарды берүү жана кабыл алуунун жүрүшүндө симметриялуу алгоритмдердин пайдалануу мүмкүнчүлүгүн жокко чыгарган жок да, симметриялуу жазма өндүрүшүнүн пайдаланууну билдирет Diffie-Hellman Алгоритмдин негизинде деп аталган сессия ачкычын пайдаланууга болот.

Servers жана кабыгы

Windows же Linux SSH-порт ачык ушунчалык кыйын эмес. гана суроо колдонулат, бул үчүн каражаттардын кайсы бир түрү болуп саналат.

Бул жагынан алганда, ал маалыматтык жана аныктыгын маселесине маани берүү керек. Биринчиден, протокол өзү жетиштүү кыймылдын көбү кадимки "УКМКту" деп аталган Өх тарабынан корголот. SSH-1 кол алдында алсыз болуп чыкты. "Орто адам" схемасына түрүндө маалыматтарды өткөрүп берүү учурунда кийлигишүүгө, анын жыйынтыгы болгон. Маалымат жөн гана кесип жана өтө жөнөкөй чечмелеши мүмкүн. Ал эми экинчи версия (SSH-2) гудулаууна деп аталган кийлигишүү бул түрү, иммунитет пайда болуп калды, эмне абдан популярдуу болуп, рахмат.

Жарыяланган учуру: коопсуздук

өткөрүлүп, жана алынган маалыматтарга карата коопсуздук жөнүндө айта турган болсок, мындай технологияларды колдонуу менен байланыш уюму төмөнкү көйгөйлөрдөн качууга мүмкүндүк берет:

• аныктоо баскычы электр өткөргүч кадамда аскер, бир "жаратуу" манжа;
• Windows жана UNIX-сыяктуу системалардын колдоо;
• Интеллектуалдык менчик жана DNS даректери (бурмалоо) менен алмаштыруу;
• маалымат каналга физикалык мүмкүнчүлүгү менен ачык сөздү кийлигишип жатат.

Чынында, мындай системанын бүт уюм тийиштүү даректи өндүргөн "керектөөчү жүрүш" мыйзамы, башкача айтканда, биринчи кезекте колдонуучунун отуруп атайын программанын же кошуу чалуулар жүрүш аркылуу курулган.

коюу

Бул атайын айдоочу бул кандай байланыштуу ишке ашыруу системасында орнотулган болушу керек деп айткан эле барат.

Эреже катары, Windows негизиндеги системаларды гана IPv4 колдоо тармактарында IPv6 дээрлик Emulation аркылуу бир түрү болуп саналат программасы номиналдык айдоочу Microsoft Teredo, ичине курулган. Туннели демейки адаптер активдүү болот. аны менен байланышкан аткарылбаган учурда, сиз жөн гана системасы кайра чыгарууга же өчүрүүнү аткарбайт жана буйрук чыгуучунун буйруктарын өчүрүп болот. Мындай сызыктар колдонулат өчүрүү үчүн:

• netsh;
• Interface teredo белгиленген мамлекеттик өчүрүлгөн;
• Interface isatap белгиленген мамлекеттик өчүрүлгөн.

буйругун өчүрүп керек киргизгенден кийин. Андан кийин, адаптер кайра иштетүү, анын ордуна иштетилген тизмелерине уруксат майыптардын абалын текшерүү үчүн, дагы бир жолу, бүт системаны өчүрүп керек.

SSH-Server

Эми SSH порту схемасы "кардар-Server" тартып, өзөгү катары колдонулат карап көрөлү. демейки, адатта, 22 мүнөт порт колдонулат, бирок, жогоруда айтылгандай, пайдалануу жана 443rd болот. жүрүш өзүнүн артыкчылык гана суроо.

көбүнчө SSH-Servers төмөнкүлөр болуп эсептелет:

• Windows үчүн: Tectia SSH Server, OpenSSH менен Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• үчүн FreeBSD: OpenSSH;
• үчүн Linux: Tectia SSH Server, SSH, OpenSSH-жүрүш, LSH-жүрүш, dropbear.

тейлөөчүлөрү баары акысыз. Бирок, ишканалардын тармак мүмкүнчүлүгү жана маалымат коопсуздугун уюштуруу максатында түзүү үчүн зарыл болгон коопсуздук, да көбүрөөк өлчөмдө таба камсыз кызматтарды жана төлөп берет. Мындай кызмат көрсөтүүлөрдүн баасы талкууланган эмес. Бирок, жалпысынан алганда, биз аны да атайын программалык же "аппараттык" тармактык орнотуу менен салыштырганда, салыштырмалуу арзан да турат деп эмне үчүн айта алабыз.

SSH-кардар

Change SSH порт кардар программанын негизинде же сиздин порт багыттоо туура келген пайда болушу мүмкүн.

Бирок, сиз кардар кыртышын тийсе, анда анын төмөнкү программалык продукты ар түрдүү системалар үчүн пайдаланылышы мүмкүн:

• Windows - SecureCRT, шыбактар \ Китти, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD ж.б;..
• Mac OS X: iTerm2, VSSH, NiftyTelnet SSH;
• Linux жана BSD: LSH-кардар, kdessh, OpenSSH-кардар, Vinagre, шыбактар.

Authentication коомдук баскычта негизделген, жана портун өзгөртүү

Азыр текшерүү кантип жана Server түзүү тууралуу бир канча сөз. жөнөкөй учурда, бир тарам билэни (sshd_config) колдонуу керек. Бирок, мисалы, сагыз сыяктуу программаларды учурда, мисалы, аны жок кыла алат. башка демейки наркы (22) өзгөртүү SSH порт башталгыч болуп саналат.

башкы нерсе - бир порт номерин ачуу 65535тен баасын (жогору порту жөн табиятта эч жок) ашпайт. Мындан тышкары, MySQL же FTPD базасы сыяктуу кардарлар тарабынан колдонулушу мүмкүн демейки боюнча бир нече ачык портторун, кулак керек. Сиз SSH түзүмүн, аларды көрсөтүү болсо, анда, албетте, алар жөн гана иштеп калат.

Ал ошол эле Статусунда кардар жасалма аспапка боюнча, мисалы, SSH-Server аркылуу бир эле чөйрөдө иштеп керек экенин белгилей кетүү зарыл. (Жогоруда айтылгандай, ордуна 443) жана Server көрүү .xrf 4430 көрсөткүч дайындоо үчүн керек болот. Бул тарам негизги билэ jabber.example.com мүмкүнчүлүгү тармактык тарабынан бөгөттөлгөн учурда колдонсо болот.

Башка жагынан алып караганда, өткөрүп берүү порттору эрежелерин өзгөчө түзүү менен иштей орнотмолорун колдонуп, роутер, болушу мүмкүн. көпчүлүк моделдерге киргизүү даректер аркылуу киргизүү 0,1 же 1,1 менен толукталсын 192.168 менен башталган, бирок Mikrotik сыяктуу кыраат ADSL-модем бириктирип, роутер, акыры дареги 88,1 пайдаланууну билдирет.

Бул учурда, жаңы бийлик түзүү, анда, мисалы, керектүү параметрлерди коюп, тышкы байланыш тема-ж орнотуу үчүн, ошондой эле кол менен белгиленген порту Activism артыкчылык (аракет) жалпы орнотуулар жана бөлүмдө астында эмес. Эч нерсе да бул татаал. башкы нерсе - орнотуулар талап баалуулуктарын көрсөтүү жана туура порт коюуга. Алыдын ала, сиз портуна 22 колдоно аласыз, ал эми буюртмачы атайын (ар түрдүү системалар жогоруда бир нече), анда, наркы өзү билип өзгөртүлүшү мүмкүн, бирок, бул үчүн параметр порт саны гана эмес, анын үстүндө жарыя, ашпайт.

туташууну орнотуу болгондо да кардар программасынын параметрлери кулак салышыбыз керек. демейки, адатта, 768. Ошондой эле 600 секунд деъгээлинде жана тамыры укуктары менен алыстан мүмкүндүк алуу уруксаты туташкысы күтүү үчүн жакшы коюлса да Ал, ошондой эле, анын орнотуулар ачкычы (512) минималдуу узактыгын көрсөтүү бар деп, мүмкүн. Бул орнотууларды колдонуу кийин, силер да пайдалануу .rhost негизинде башка бардык текшерүү укугун пайдаланууга уруксат берүү керек (бирок бир гана системдик администраторлору зарыл).

Башка нерселерден тышкары колдонуучунун аты системасында катталган болсо, учурда киргизилген эмес, ошол сыяктуу эле, ал ачык кошумча параметрлери киргизүү колдонуучунун SSH мастер буйрук менен көрсөтүлүшү керек (коркунучта экенин түшүнгөн адамдар үчүн).

Команда ~ / .ssh / id_dsa ачкычы жана жазма ыкмасы (же РМА) кайра иштетүү үчүн колдонулган болушу мүмкүн. сап ~ / .ssh / identity.pub (бирок сөзсүз) аркылуу кайрылуу колдонулган коомдук ачкычын түзүү. Бирок, тажрыйба көрсөткөндөй, жөнөкөй жолу SSH-Keygen сыяктуу буйруктарды пайдалануу. Бул жерде маселенин негизи эле көрүнүп турат, жеткиликтүү текшерүү куралдарын ачкычын кошуп (~ / .ssh / authorized_keys).

Бирок биз өтө эле чектен чыгып кеткен жок. Эгер порт орнотуулары SSH маселе кайра бара турган болсо, анда ачык-айкын өзгөртүү SSH порту болду эле кыйын эмес. Бирок, кээ бир учурларда, алар айтышат, негизги параметрлери бардык баалуулуктарын эске алуу зарыл, анткени, тердеп керек. тарам маселе калган ар кандай Server же кардар программасына кире беришине иеби (башында каралган болсо), же роутер порт даректи колдонуу. Бирок ал портуна өзгөргөн учурда 22, демейки эле 443rd, так ушундай схема ар дайым иштеп, бирок ошол эле кошуу Жашыруун орнотуу учурунда (башка аналогдору жаратууга жана алардын тиешелүү портторун мүмкүн эмес экенин түшүнүү керек, Бул стандарттын айырмаланат). Мындан тышкары, өзгөчө көңүл чынында эле азыркы байланышты колдонуу керек болсо, түздөн-түз, SSH-жүрүш менен өз ара SSH-кардарды аныктоо параметр берилиши керек.

калган, порт багыттоо башында каралган эмес (мындай иш-аракеттерди аткаруу үчүн баалуу болсо да), анда, SSH аркылуу жетүү үчүн орнотуулар жана параметрлери, өзгөртүүгө мүмкүн эмес. жалпы байланыш түзүүгө ар кандай кыйынчылыктар жана аны андан ары пайдаланууга, бар, (албетте, болбосо, кол менен тарам Server-негизделген жана кардарды күүлөй колдонулушу мүмкүн эмес) күтүлүүдө. роутер, эрежелерди түзүү үчүн орток өзгөчөлүктөр Эгер кандайдыр бир көйгөйгө туура же алардан качууга мүмкүндүк берет.