Jak konfigurovat a používat port SSH? Pokyny krok za krokem
Obsah
SSH port: Co je to a proč?
Pokud jde o zabezpečení, v tomto případě by měl být port SSH chápán jako specializovaný komunikační kanál ve formě tunelu, který poskytuje šifrování dat.
Nejprimitivnější schéma provozu takového tunelu je to otevřete port ssh Ve výchozím nastavení se používá k šifrování informací ve zdroji a jejich dešifrování v koncovém bodě. To lze vysvětlit takto: ať se vám to líbí nebo ne, přenáší provoz, na rozdíl od IPSec, šifrovaný pod nátlakem a výstupní terminál sítě, a na přijímací straně od vchodu. Pro dešifrování informací přenášených tímto kanálem přijímací terminál používá speciální klíč. Jinými slovy, nikdo nemůže zasahovat do přenosu nebo narušit integritu přenášených dat v aktuálním okamžiku bez klíče.
Stačí, když otevřete port SSH na libovolném směrovači nebo použijete příslušná nastavení dalšího klienta, který komunikuje se serverem SSH, a umožní vám plně využít všech bezpečnostních prvků moderních sítí. Jedná se o použití výchozího portu nebo vlastních nastavení. Tyto parametry v aplikaci mohou vypadat docela obtížně, ale bez porozumění je organizace tohoto spojení nepostradatelná.
Standardní port SSH
Pokud opravdu začínáte parametry kteréhokoli směrovače, musíte nejdříve určit, který software bude použit pro aktivaci tohoto komunikačního kanálu. Ve výchozím nastavení může mít výchozí port SSH různá nastavení. Vše závisí na tom, jakou techniku právě používáte (přímé připojení k serveru, instalace dalšího klienta, přesměrování portů atd.).
Například pokud je Jabber používán jako klient, port 443 by měl být použit pro správné připojení, šifrování a přenos dat, i když port 22 je nainstalován ve standardní verzi.
Chcete-li konfigurovat router zvýrazněním nezbytných podmínek pro konkrétní program nebo proces, budete muset provést přesměrování portů SSH. Co to je? To je existuje přidělení určitého přístupu pro jednotlivý program, který používá připojení k Internetu, bez ohledu na to, jaké nastavení má aktuální komunikační protokol (IPv4 nebo IPv6).
Technické odůvodnění
Jak vidíte, standardní port SSH 22 není vždy používán. Zde však musíte zvýraznit některé parametry a parametry použité v konfiguraci.
Proč důvěrnost šifrovaného přenosu dat zahrnuje použití protokolu SSH jako výhradně externího (hostovaného) portu uživatele? Ale jen proto, že je aplikován tunelování umožňuje použití takzvaného dálkového shell (SSH), abyste získali přístup k terminálu řízení prostřednictvím vzdáleného přihlášení (spřihlásit), a uplatní postup vzdáleného kopírování (SCP).
Kromě toho, SSH-port může být aktivován v případě, kdy je nutné aby uživatel provádět vzdálené skripty X Windows, který v nejjednodušším případě je přenos informací z jednoho počítače do druhého, jak již bylo řečeno, s nuceným šifrování dat. V takových situacích bude nejdůležitější použít algoritmy založené na AES. Jedná se o symetrický šifrovací algoritmus, který byl původně poskytován v technologii SSH. A můžete ji nejen použít, ale potřebujete ji také.
Historie implementace
Samotná technologie se objevila už dávno. Ponechme stranou otázku, jak předat port SSH, ale zastavíme se, jak to funguje.
Obvykle to všechno přichází až k použití serveru proxy založeného na ponožkách nebo pomocí VPN tunelování. V případě, že nějaká softwarová aplikace může pracovat s VPN, je lepší preferovat tuto možnost. Faktem je, že téměř všechny známé programy, které využívají internetovou komunikaci s VPN, mohou fungovat a konfigurace směrování nevynakládá mnoho úsilí. Toto, stejně jako v případě serverů proxy, umožňuje nechat rozpoznávat externí adresu terminálu, který je aktuálně přístupný k síti. To znamená, že v případě zástupce se adresa neustále mění a ve verzi VPN zůstává nezměněna při fixaci určitého regionu, odlišného od místa, kde je přístup zakázán.
Samotná technologie při otevření portu SSH byla založena v roce 1995 na Technologické univerzitě ve Finsku (SSH-1). V roce 1996 došlo ke zlepšení přidány ve formě SSH-2 protokol, který byl poměrně rozšířený v post-sovětském prostoru, i když pro to, stejně jako v některých zemích západní Evropy, je někdy nutné získat oprávnění používat tento tunel, a od vládních agentur.
Hlavní výhodou otevření SSH-port, na rozdíl od telnet nebo rlogin, je použití digitálních podpisů RSA nebo DSA (použití páru otevřené a pohřben klíč). Kromě toho, v této situaci, můžete použít takzvaný klíč relace založenou na Diffie-Hellman algoritmus, který zahrnuje použití symetrického šifrování výstupu, i když nevylučuje použití asymetrických šifrovacích algoritmů v průběhu přenosu dat a příjem jiným strojem.
Servery a Shells
V systému Windows nebo Linux není port SSH tak obtížný. Jediná otázka spočívá v tom, který nástroj bude pro tento účel použit.
V tomto smyslu je třeba věnovat pozornost otázce přenosu informací a autentizace. Za prvé, protokol sám o sobě je dostatečně chráněn před takzvaným čicháním, což je nejběžnější "odposlouchávání" provozu. SSH-1 byl před útoky bezbranný. Interference v procesu přenosu dat ve formě schématu "osoba uprostřed" měla své výsledky. Informace by mohly být jednoduše zachyceny a dešifrovány. Ale druhá verze (SSH-2) byla pojištěna proti tomuto druhu zásahu, nazývanému únosem zasedání, který z něj činil nejběžnější.
Bezpečnostní zákazy
Co se týče zabezpečení s ohledem na přenášená a přijatá data, organizace spojení vytvořené pomocí takových technologií zabraňuje vzniku následujících problémů:
- definice klíče hostitele ve fázi přenosu, pokud se používá otisk otisků prstů;
- podpora systémů Windows a UNIX;
- nahrazení adres IP a DNS (spoofing);
- zachycování otevřených hesel s fyzickým přístupem k kanálu přenosu dat.
Ve skutečnosti je celá organizace takového systému založena na principu "client-server", tedy především uživatelskému stroji prostřednictvím zvláštního programu nebo doplňkových adres na server, který provádí odpovídající přesměrování.
Tunelování
Je samozřejmé, že v systému musí být nainstalován speciální ovladač pro implementaci tohoto typu připojení.
V systémech se systémem Windows se obvykle jedná o ovladač Microsoft Teredo zabudovaný do softwarového shellu, což je druh virtuálního nástroje pro emulaci IPv6 v sítích pouze pro protokol IPv4. Tunelový adaptér ve výchozím nastavení je v aktivním stavu. V případě selhání s ním můžete jednoduše restartovat systém nebo spustit příkazy pro vypnutí a restartování v konzole příkazů. Pro deaktivaci jsou použity následující řádky:
- netsh;
- rozhraní sady teredo zakázáno;
- rozhraní isatap je zakázáno.
Po zadání příkazů musíte restartovat počítač. Chcete-li znovu povolit adaptér a zkontrolovat jeho stav namísto vypnutí, povolí se povolení, po kterém bude znovu celý systém restartován.
SSH server
Nyní se podíváme, který port SSH se používá jako primární port, a to od schématu "klient-server". Typicky je standardně používán 22. port, ale jak již bylo uvedeno výše, lze použít 443. port. Jedinou otázkou je přednost samotného serveru.
Nejběžnější servery SSH se považují za následující:
- pro Windows: Tectia SSH Server, OpenSSH s Cygwinem, MobaSSH, KpyM Telnet / SSH serverem, WinSSHD, copssh, freeSSHd;
- pro FreeBSD: OpenSSH;
- pro Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.
Všechny uvedené servery jsou zdarma. Najdeme však placené služby, které se vyznačují zvýšenou úrovní bezpečnosti, což je mimořádně nezbytné pro organizaci přístupu k síti a ochranu informací v podnicích. Náklady na tyto služby nejsou nyní diskutovány. Ale obecně lze říci, že je poměrně levná, a to i ve srovnání s instalací specializovaného softwaru nebo "železné" firewallu.
SSH Client
Port SSH lze měnit na základě klientského programu nebo odpovídajících nastavení při směrování portů na směrovači.
Pokud se však dotknete klientských skořepin, mohou být pro různé systémy použity následující softwarové produkty:
- Windows - SecureCRT, PuTTY KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD atd .;
- Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
- Linux a BSD: lsh-klient, kdessh, openssh-client, Vinagre, tmel.
Autentizace založená na veřejných klíčích a změna portu
Nyní několik slov o tom, jak probíhá ověřování a konfigurace serveru. V nejjednodušším případě musíte použít konfigurační soubor (sshd_config). Můžete to udělat bez něj, například u programů jako PuTTY. Změnit port SSH ze standardní hodnoty (22) na jiný může být docela elementární.
Hlavní věc je, že počet otevřených přístavů nepřekročí hodnotu 65535 (v přírodě nad takovými přístavy neexistuje žádná taková věc). Kromě toho byste měli ve výchozím nastavení věnovat pozornost některým otevřeným portům, které mohou být používány klienty, jako jsou databáze MySQL nebo FTPD. Pokud určíte jejich konfiguraci pro SSH, samozřejmě prostě přestanou pracovat.
Je třeba poznamenat, že stejný klient Jabber by měl být spuštěn ve stejném prostředí pomocí serveru SSH, například ve virtuálním počítači. A server localhost sám bude muset přiřadit hodnotu 4430 (a ne 443, jak bylo uvedeno výše). Tuto konfiguraci lze použít, pokud brána firewall blokuje přístup k hlavnímu souboru jabber.example.com.
Na druhé straně můžete přenášet porty na samotný směrovač pomocí nastavení rozhraní pro vytvoření pravidel vyloučení pro toto. Ve většině modelů vstup přes vstupní adresy začínající 192.168 doplněným 0,1 nebo 1,1, ale routery kombinují schopnosti ze ADSL modemy jako Mikrotik, koncová adresa zahrnuje použití 88.1.
V tomto případě vytvořte nové pravidlo a pak nastavte potřebné parametry, například pro instalaci externí připojení dst-nat, stejně jako ručně předepsané přístavy nejsou v souladu s obecnými nastaveními av sekci preferencí aktivismu (akce). Není zde nic zvlášť komplikovaného. Hlavním úkolem je určit potřebná nastavení a nastavit správný port. Ve výchozím nastavení můžete použít port 22, ale v případě, že zákazník používá speciální (některé z výše uvedených pro různé systémy), lze hodnotu libovolně měnit, ale jen proto, že tento parametr nepřekročí deklarovanou hodnotu, při jejímž překročení čísla portů jsou prostě nejsou k dispozici.
Při konfiguraci připojení byste měli také věnovat pozornost parametrům klientského programu. Je velmi pravděpodobné, že ve svých nastaveních je nutné určit minimální délku klíče (512), ačkoli je ve výchozím nastavení obvykle nastavena na 768. Je také žádoucí nastavit časový limit pro přihlášení na 600 sekund a oprávnění pro vzdálený přístup pomocí rootových práv. Po uplatnění těchto nastavení musíte také dát oprávnění používat všechna oprávnění k ověřování, s výjimkou těch, která jsou založena na použití .rhost (ale je to nutné pouze pro správce systému).
Mimo jiné v případě, že uživatelské jméno zaregistrován v systému, není to samé, jak byly zavedeny v okamžiku, musí být zadán explicitně pomocí hlavního příkazu uživatel ssh se zavedením dalších parametrů (pro ty, kteří pochopili, co je v sázce).
Příkaz ~ / .ssh / id_dsa (nebo rsa) lze použít ke konverzi samotného klíče a šifrování. Pro vytvoření veřejného klíče se konverze provádí pomocí řetězce ~ / .ssh / identity.pub (ale to není nutné). Ale jak ukazuje praxe, je nejjednodušší použít příkazy jako ssh-keygen. Zde je podstata záležitosti omezena pouze na přidání klíče k dostupným nástrojům pro autorizaci (~ / .ssh / authorized_keys).
Ale šli jsme příliš daleko. Vydáte-li se zpět k otázce nastavení portu SSH, jako tomu bylo zřejmé změně SSH port není tak těžké. Nicméně, v některých situacích, říkají, budou muset potit, protože je třeba vzít v úvahu všechny hodnoty klíčových parametrů. Zbytek problému konfigurace scvrkává na vstupu jakéhokoliv serveru nebo klientský program (pokud je k dispozici na začátku), nebo použít port forwarding na routeru. Ale i v případě změny portu 22, výchozí, ke stejnému 443. by měly být jasné, že takový systém nefunguje vždy, ale pouze v případě instalace stejný doplněk Jabber (jiné analogy mohou aktivovat a jejich příslušných portů které se liší od standardních). Navíc, zvláštní pozornost by měla být věnována parametr nastavení SSH-klient, který bude přímo komunikovat s SSH serverem, pokud je to opravdu měl použít stávající připojení.
Pokud jde o zbytek, pokud je port forwarding neposkytla zpočátku (i když to je žádoucí provést takové akce), nastavení a možnosti přístupu přes SSH, nelze změnit. Neexistují žádné speciální problémy při vytváření připojení a jeho dalším použití, obecně se neočekává (pokud samozřejmě není použita ruční konfigurace konfigurace na serveru a klienta). Nejběžnější vytvoření pravidla výjimky na směrovači umožňuje opravit všechny problémy nebo vyhnout se jejich vzhledu.
- Jak otevřít port 1688 pro aktivaci systému Windows
- WAN - co to je? Vlastnosti přizpůsobení
- Jak otevřít port v Linuxu a co zkontrolovat již otevřené?
- Jak zkontrolovat pomocí portu 2ip?
- Co je port HTTPS a jaké jsou způsoby jeho otevření
- Jak otevřít port pro "Skype"?
- Port FTPS - co to je?
- `Port Aventura`:` Shambhala` - přitažlivost pro statečné
- Co je port 80 a co jí?
- Jak konfigurovat porty FTP? Co jsou to porty FTP?
- Port WAN: funkce a nastavení
- Jak mohu otevřít port v systému Windows?
- Port RDP: změňte výchozí hodnotu a základní kroky instalace
- Jak otevřít porty přes torrent: nejjednodušší řešení problému
- Jak otevřít porty: instrukce krok za krokem
- Kryptografické metody ochrany informací: koncept, charakteristika, klíčové pozice
- SSH tunely: nastavení, použití
- Sériový port a jeho význam
- Jak otevřít port v Tunngle: několik základních metod
- Ochrana Internetu: Jak zjistit svůj port proxy
- Na co se používá IR port?