Mga computerKagamitan

Paano upang i-configure at gamitin ang SSH port? Sunud-sunod na gabay

Secure Shell, o dinaglat na bilang SSH, ito ay isa sa mga pinaka-advanced na teknolohiya sa proteksyon ng data sa transmission. Ang paggamit ng naturang rehimen sa parehong router ay nagbibigay-daan hindi lamang ang pagiging kumpidensyal ng transmitted impormasyon, ngunit din upang mapabilis ang palitan ng packet. Gayunman, hindi lahat ay alam ngayon bilang upang buksan ang SSH port, at kung bakit ang lahat ng ito ay kinakailangan. Sa kasong ito ito ay kinakailangan upang magbigay-liwanag ng paliwanag.

Port SSH: ano ito at kung bakit kailangan namin?

Dahil kami ay pakikipag-usap tungkol sa seguridad, sa kasong ito, sa ilalim ng SSH port upang maintindihan dedikadong channel sa anyo ng isang lagusan, na nagbibigay ng data encryption.

Ang pinaka-primitive scheme ng tunnel na ito ay na ng isang bukas na SSH-port ay ginagamit sa pamamagitan ng default upang i-encrypt ang data sa pinagmulan at decryption sa endpoint. Ito ay maaaring ipinaliwanag bilang mga sumusunod: kung gusto mo ito o hindi, nakukuha ng trapiko, hindi tulad ng IPSec, naka-encrypt na sa ilalim ng pamimilit at ang output terminal ng network, at sa tumatanggap na bahagi ng pasukan. Upang i-decrypt ang impormasyon na ipinadala sa channel na ito, ang pagtanggap ng terminal ay gumagamit ng isang espesyal na key. Sa ibang salita, upang mamagitan sa transfer o kompromiso ang integridad ng mga transmitted data sa sandaling ito Maaari isa hindi na walang isang key.

Just pagbubukas SSH-port sa anumang router o sa paggamit ng naaangkop na mga setting ng mga karagdagang client nakikipag-ugnayan nang direkta sa mga SSH server, nagpapahintulot sa ganap mong gamitin ang lahat ng mga tampok ng modernong sistema ng seguridad sa network. Narito tayo sa kung paano gamitin ang isang port na itinalaga sa pamamagitan ng default o pasadyang mga setting. Ang mga parameter sa application ay maaaring magmukhang mahirap, ngunit walang pang-unawa sa ang mga samahan ng nasabing koneksyon ay hindi sapat.

Standard SSH port

Kung, sa katunayan, batay sa mga parameter ng alinman sa mga router ay dapat unang matukoy ang pagkakasunod-sunod, kung anong uri ng software ay gagamitin para sa pag-activate sa link na ito. Sa katunayan, ang default na SSH port ay maaaring magkaroon ng iba't ibang mga setting. Lahat ng bagay ay depende sa kung ano ang paraan ay ginagamit sa sandaling ito (direktang koneksyon sa server, i-install ng karagdagang mga client port pagpasa at iba pa. D.).

Halimbawa, kung ang client ay ginagamit Jabber, para sa tamang koneksyon, encryption, at ang data transfer port 443 ay ginagamit, kahit na ang sagisag ay naka-set sa standard na port 22.

Upang i-reset ang router sa paglalaan para sa isang partikular na programa o iproseso ang mga kinakailangang mga kondisyon ay may upang magsagawa ng port nagpapasa SSH. Ano ito? Ito ang layunin ng isang partikular na pag-access sa isang solong programa na gumagamit ng isang koneksyon sa Internet, hindi alintana kung aling setting ay kasalukuyang protocol exchange data (IPv4 o IPv6).

teknikal na pagbibigay-katarungan

Standard SSH port 22 ay hindi palaging ginagamit bilang ito ay mayroon malinaw. Gayunpaman, eto ay kinakailangan upang magtalaga ilan sa mga katangian at mga setting na ginamit sa panahon ng setup.

Bakit naka-encrypt na data pagiging kompidensiyal protocol ay nagsasangkot ng paggamit ng SSH bilang isang panay panlabas na (guest) user port? Ngunit dahil lamang tunneling ay inilapat pinapayagan nito ang paggamit ng isang tinatawag na remote shell (SSH), upang makakuha ng access sa terminal ng pamamahala sa pamamagitan ng remote login (slogin), at ilapat ang remote kopya procedure (scp).

Sa karagdagan, SSH-port ay maaaring maging aktibo sa kaso kung saan ang user ay kinakailangan upang magsagawa ng remote script X Windows, na sa pinakasimpleng kaso ay isang paglilipat ng impormasyon mula sa isang machine sa isa pa, bilang ay sinabi, na may isang sapilitang pag-encrypt data. Sa ganitong sitwasyon, ang pinaka-kailangan ay gamitin batay sa AES algorithm. Ito ay isang proporsyonado encryption algorithm, na kung saan ay orihinal na ibinigay sa SSH teknolohiya. At gamitin ito hindi lamang na posible ngunit kinakailangan.

Kasaysayan ng pagsasakatuparan

Ang teknolohiya ay lumitaw para sa isang mahabang panahon. Ipaalam sa amin iwanan muna ang tanong ng kung paano gumawa ng icing SSH port, at tumuon sa kung paano ito gumagana ang lahat.

Karaniwan ito ay dumating down sa, ang paggamit ng isang proxy sa batayan ng Socks o gamitin VPN tunneling. Sa kasong ilang software application ay maaaring gumana sa VPN, mas mahusay na upang pumili ng pagpipiliang ito. Ang katotohanan na ang halos lahat ng mga kilalang mga programa sa araw na ito gamitin ang trapiko ng Internet, ang VPN ay maaaring gumana, ngunit madaling pagruruta configuration ay hindi. Ito, tulad ng sa kaso ng proxy server, ay nagbibigay-daan upang mag-iwan ang mga panlabas na address ng terminal mula sa kung saan ang kasalukuyang ginawa sa output ng network, hindi nakikilalang. Iyon ay ang kaso sa proxy address ay palaging nagbabago, at VPN bersyon ay nananatiling hindi nabago sa pagkapirmi ng isang tiyak na rehiyon, iba pang kaysa sa isa na kung saan doon ay isang ban sa pag-access.

Ang napaka-parehong teknolohiya na nag-aalok ng SSH port, ay binuo noong 1995 sa University of Technology sa Finland (SSH-1). Noong 1996, mga pagpapabuti ay naidagdag sa anyo ng SSH-2 protocol, na kung saan ay lubos na laganap sa post-Sobiyet space, kahit na para sa mga ito, pati na rin sa ilang mga Western European bansa, ito ay minsan kailangan upang makakuha ng pahintulot upang gamitin ang tunnel, at mula sa mga ahensya ng pamahalaan.

Ang pangunahing bentahe ng pagbubukas SSH-port, na taliwas sa telnet o rlogin, ay ang paggamit ng mga digital na lagda RSA o DSA (ang paggamit ng isang pares ng mga bukas na at isang buried key). Higit pa rito, sa sitwasyong ito maaari mong gamitin ang tinaguriang key session batay sa Diffie-Hellman algorithm, na kung saan ay nagsasangkot ng paggamit ng isang proporsyonado encryption output, bagaman hindi maghadlang sa paggamit ng walang simetrya encryption algorithm sa panahon ng pagpapadala ng data at reception pamamagitan ng isa pang machine.

Server at shell

Sa Windows o Linux SSH-port na bukas ay hindi kaya mahirap. Ang tanging tanong ay, kung anong uri ng mga kasangkapan para sa layuning ito ay gagamitin.

Sa puntong ito ito ay kinakailangan upang bigyang-pansin ang isyu ng impormasyon na transmisyon at pagpapatotoo. Una, ang protocol mismo ay sapat na protektado ng mga tinaguriang sniffing, na kung saan ay ang pinaka-karaniwang "wiretapping" ng trapiko. SSH-1 pinatunayan na maging mahina laban sa pag-atake. Panghihimasok sa proseso ng paglilipat ng data sa form ng isang scheme ng "man in the middle" ay nagkaroon ng kanyang mga resulta. Impormasyon ay maaaring lamang harangin at maintindihan masyadong elementary. Ngunit ang pangalawang bersyon (SSH-2) ay naging immune sa ganitong uri ng interbensyon, na kilala bilang session hijacking, salamat sa kung ano ang pinakasikat.

bans seguridad

Tulad ng para sa seguridad sa paggalang ng mga ipinadala at natanggap na data, ang mga samahan ng mga koneksyon na itinatag sa paggamit ng naturang teknolohiya ay nagbibigay-daan maiwasan ang mga sumusunod na problema:

  • identification key sa host sa step transmission, kapag ang isang "snapshot» fingerprint;
  • Suporta para sa Windows at UNIX-tulad ng sistema;
  • pagpapalit ng IP at DNS address (spoofing);
  • intercepting open password na may pisikal na access sa data channel.

Sa totoo lang, sa buong samahan ng mga naturang isang sistema ay binuo sa prinsipyo ng "client-server", iyon ay, una sa lahat computer ng user sa pamamagitan ng isang espesyal na programa o add-in na tawag sa server, na kung saan ay gumagawa ng isang nararapat na pag-redirect.

tunneling

Ito goes walang sinasabi na ang pagpapatupad ng ang koneksyon ng ganitong uri sa isang espesyal na driver ay dapat na naka-install sa system.

Kadalasan, sa Windows-based na mga sistema ay binuo sa programa shell driver Microsoft Teredo, na kung saan ay isang uri ng virtual pagtulad paraan ng IPv6 sa network na sumusuporta sa IPv4 lamang. Tunnel default adaptor ay aktibo. Sa kaganapan ng kabiguan na kaugnay nito, maaari mo lamang gumawa ng isang sistema ng pag-restart o gumanap sa isang pag-shutdown at i-restart utos mula sa command console. Upang i-deactivate ang naturang mga linya ay ginamit:

  • netsh;
  • interface teredo hanay estado pinagana;
  • interface ISATAP itakda estado pinagana.

Matapos na ipasok ang command ay dapat i-restart. Upang muling paganahin ang adapter at suriin ang katayuan ng mga hindi pinaganang sa halip na ang pinagana registers permit, kung saan pagkatapos, muli, ay dapat muling simulan ang buong system.

SSH-server

Ngayon sabihin makita kung paano ang SSH port ay ginagamit bilang ang core, na nagsisimula mula sa mga scheme "client-server". Ang default ay karaniwang inilalapat 22 minuto port, ngunit, tulad ng nabanggit sa itaas, ay maaaring gamitin at ang 443. Ang tanging tanong sa kagustuhan ng server mismo.

Ang pinaka-karaniwang SSH-server ay itinuturing na ang mga sumusunod:

  • para sa Windows: Tectia SSH Server, OpenSSH sa Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
  • para sa FreeBSD: OpenSSH;
  • para sa Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Ang lahat ng mga server ay libre. Gayunpaman, maaari mong makita at bayad na serbisyo na nagbibigay ng kahit na mas higit na antas ng seguridad, na kung saan ay napakahalaga para sa ang mga samahan ng access sa network at seguridad ng impormasyon sa negosyo. Ang gastos ng mga naturang serbisyo ay hindi tinalakay. Ngunit sa pangkalahatan maaari naming sabihin na ito ay relatibong murang, kahit na sa paghahambing sa ang pag-install ng mga espesyal na software o "hardware" firewall.

SSH client

Baguhin ang SSH port ay maaaring gawin sa batayan ng programa client o ang naaangkop na mga setting kapag port sa iyong router.

Gayunpaman, kung hinawakan mo ang client shell, ang mga sumusunod na mga produkto ng software ay maaaring gamitin para sa iba't ibang mga sistema ng:

  • Windows - SecureCRT, masilya \ Kitty, Axessh, ShellGuard, SSHWindows, Zoc, XShell, ProSSHD etc;..
  • Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
  • Linux at BSD: lsh-client, kdessh, openssh-client, Vinagre, masilya.

Authentication ay batay sa mga public key, at baguhin ang port

Ngayon ng ilang mga salita tungkol sa kung paano ang pag-verify at pag-set up ng isang server. Sa pinakasimpleng kaso, dapat mong gamitin ang isang configuration file (sshd_config). Gayunpaman, maaari mong gawin nang walang ito, halimbawa, sa kaso ng mga programa tulad ng masilya. Baguhin ang SSH port mula sa default na halaga (22) sa anumang iba pang ay ganap na elementary.

Ang pangunahing bagay - upang buksan ang isang port number ay hindi lalampas sa halaga ng 65535 (mas mataas na port lamang ay hindi umiiral sa likas na katangian). Bilang karagdagan, dapat bigyang-pansin ang ilang mga open ports sa pamamagitan ng default, na kung saan ay maaaring gamitin ng mga kliyente tulad ng MySQL o ftpd database. Kung tinukoy mo ang mga ito para sa SSH configuration, siyempre, sila lang huminto sa paggana.

Ito ay nagkakahalaga ng pagpuna na ang parehong Jabber client ay dapat na tumatakbo sa parehong kapaligiran gamit SSH-server, halimbawa, sa isang virtual machine. At pinaka-server localhost ay kailangang magtalaga ng isang halaga sa 4430 (sa halip na 443, gaya ng nabanggit sa itaas). configuration na ito ay maaaring gamitin kapag ang access sa mga pangunahing file jabber.example.com-block ng firewall.

Sa kabilang banda, ang transfer port ay maaaring maging sa router gamit ang configuration ng interface nito sa paglikha ng mga pagbubukod sa mga panuntunan. Sa karamihan ng mga modelo ng pag-input sa pamamagitan ng pag-input ng mga address na nagsisimula sa 192.168 pupunan na may 0.1 o 1.1, ngunit routers pagsasama-sama ng mga kakayahan ADSL-modem tulad Mikrotik, katapusan address ay nagsasangkot ng paggamit ng 88.1.

Sa kasong ito, lumikha ng isang bagong patakaran, pagkatapos ay itakda ang mga kinakailangang parameter, halimbawa, i-install ang mga panlabas na koneksyon sa dst-nat, pati na rin nang manu-mano inireseta port ay hindi sa ilalim ng pangkalahatang mga setting at sa seksyon ng Aktibismo kagustuhan (Action). Wala masyadong kumplikado dito. Ang pangunahing bagay - upang tukuyin ang mga kinakailangang halaga ng mga setting at itakda ang tamang port. Sa pamamagitan ng default, maaari mong gamitin port 22, pero kung ang customer ay gumagamit ng isang espesyal na (ang ilan sa mga nasa itaas para sa iba't ibang mga sistema), ang halaga ay maaaring mabago nagkataon, ngunit lamang upang ang parameter na ito ay hindi lalampas sa ipinahayag na halaga, sa itaas na port numero ay hindi lang magagamit.

Kapag nag-set up na koneksyon rin ay dapat bigyang-pansin ang mga parameter ng programa client. Maaari rin itong maging na sa setting nito kailangang tukuyin ang minimum na haba ng key (512), bagaman ang default ay karaniwang itakda 768. Ito rin ay kanais-nais upang itakda ang timeout upang mag-log on sa antas ng 600 segundo at ang malayuang pag-access ng pahintulot na may mga karapatang root. Pagkatapos ng paglalapat ng mga setting, kailangan mo na ring pahintulutan ang paggamit ng lahat ng mga karapatan authentication, maliban sa mga batay sa ang paggamit .rhost (ngunit ito ay kinakailangan lamang sa mga administrator ng system).

Kabilang sa iba pang mga bagay, kung ang user name na nakarehistro sa sistema, hindi katulad ng ipinakilala sa sandaling ito, ito ay dapat na malinaw na tinukoy gamit ang user ssh master na utos sa pagpapakilala ng karagdagang mga parameter (para sa mga taong maunawaan kung ano ay sa taya).

Team ~ / ssh / id_dsa maaaring gamitin para sa pagbabago ng key at ang paraan ng pag-encrypt (o rsa). Upang lumikha ng isang public key na ginamit ng mga conversion gamit ang line ~ / ssh / identity.pub (ngunit hindi kinakailangan). Subalit, bilang kasanayan palabas, ang pinakamadaling paraan upang gamitin ang mga utos tulad ng ssh-keygen. Narito ang kakanyahan ng ang isyu ay nabawasan lamang sa ang katunayan, upang idagdag ang susi sa ang mga magagamit na mga tool authentication (~ / .ssh / authorized_keys).

Ngunit kami ay wala na masyadong malayo. Kung pupunta ka pabalik sa ang isyu setting port SSH, bilang ay malinaw na pagbabago SSH port ay hindi kaya mahirap. Gayunpaman, sa ilang mga sitwasyon, sinasabi nila, ay magkakaroon upang magpapawis, dahil ang pangangailangan upang isaalang-alang ang lahat ng mga halaga ng mga pangunahing mga parameter. Ang natitira sa ang isyu configuration kahulihan babagsak ito sa pasukan ng anumang server o client programa (kung ito ay ibinigay sa una), o gamitin ang port nagpapasa sa router. Ngunit kahit na sa kaso ng mga pagbabago ng port 22, ang default, sa parehong 443, ay dapat na malinaw na nauunawaan na tulad ng isang pamamaraan ay hindi laging gagana, ngunit lamang sa kaso ng pag-install sa parehong add-in Jabber (iba pang mga analogs maaaring i-activate at ang kanilang mga port, ito ay naiiba mula sa standard). Sa karagdagan, espesyal na pansin ay dapat na ibinigay na parameter setting na SSH client, na kung saan ay direktang makipag-ugnayan sa SSH-server, kung ito ay talagang dapat na gamitin ang kasalukuyang koneksyon.

Bilang para sa natitirang bahagi, kung ang port pagpapasa ay hindi ibinigay sa una (bagaman ito ay kanais-nais upang magsagawa ng mga pagkilos), mga setting at mga opsyon para sa pag-access sa pamamagitan ng SSH, hindi mo maaaring baguhin. Mayroon bang anumang mga problema kapag gumagawa ng koneksyon, at ang mga karagdagang paggamit, sa pangkalahatan, ay hindi inaasahan (maliban kung, siyempre, ay hindi mano-manong ginagamit isaayos ang configuration ng server-based at client). Ang pinaka-karaniwang mga pagbubukod sa paglikha ng mga panuntunan sa router ay nagbibigay-daan sa iyo upang iwasto ang anumang mga problema o maiwasan ang mga ito.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 tl.delachieve.com. Theme powered by WordPress.