Ssh функционалност протокол защитен мрежа

Сега SSH протокол. е стандартен и широко се използва, например, за отдалечено администриране на сървърни системи, а именно, изпълняват различни команди и манипулации черупка на сървъра през защитена връзка, копиране на файлове по мрежата, като например архивиране на данни.

SSH протокол. Той съществува в две версии, на търговската версия, разработена от SSH включени и безплатен, с отворен код, OpenSSH. което основно се използва за повечето сървърни платформи. Изпълнението на OpenSSH. има във всяка операционна система на Unix семейство, и повечето от тях, SSH сървър и SSH клиент, са стандартни услуги. Всичко написано по-долу ще се прилага за OpenSSH и операционната система FreeBSD.

Сега често се използва е втората версия на SSH протокола. защото от една страна, SSH версия 1 протокол, пострада сериозно уязвимост, и второ, в редакцията 2 използва по-мощен криптиращи алгоритми, в допълнение подкрепя възможността за откриване на умишлено изопачаване.

  • SSH протокол версия 1, DES, 3DES, Blowfish
  • SSH протокол версия 2 AES-128, AES-192, AES-256, Blowfish, CAST-128, ArcFour
  • SSH протокол версия 1 не
  • SSH протокола, версия 2, HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD

Както можете да видите, че разликата е много голяма, така че, SSH протокол версия 1 в момента е като цяло, тя стриктно не се препоръчва за употреба навсякъде.

Методи на удостоверяване чрез SSH, състав софтуер OpenSSH пакет

Сигурност SSH протокол предвижда следните софтуерни решения:

  • Шифроване на целия трафик, преминаващ през SSH връзка, извършена от един от възможните алгоритми, избрани в страни преговори сесия. Encryption връзка трафик, го предпазва от подслушване и използване за злонамерени цели. Чрез избора на различни алгоритми за криптиране, системата става много гъвкава, позволявайки, например, да не се използва алгоритми, в които са открити уязвимости или потенциални заплахи за сигурността, или да използвате само тези алгоритми, които се поддържат от всяка от страните;
  • удостоверяване SSH сървъра се прави винаги, за някаква връзка, която не позволява да се замени трафика или на самия сървър;
  • SSH клиент удостоверяване може да се случи по различни начини, от една страна, прави процеса на удостоверяване по себе си е по-безопасно, от друга страна, това прави системата по-гъвкава, което го прави по-лесно да се работи с него;
  • цялост на мрежови пакети за наблюдение, дава възможност да се проследят промените в незаконни пътни връзки в случай на откриване на този факт, връзката се прекъсне незабавно;
  • параметри за удостоверяване временно ограничава използването на заловени време и след декодирано връзка за данни.
  • GSSAPI-базирано идентифициране
  • Host-базирано идентифициране;
  • Идентифициране на потребителите с помощта на публичен ключ;
  • Автентичността "предизвикателство-отговор" (предизвикателство-отговор);
  • И накрая една обща идентификация на потребителя с парола;

се използват методи за удостоверяване, в този ред, но версията протокол 2, има опция, PreferredAuthentications. което позволява да променяте реда, установен по подразбиране.

В допълнение SSH поддържа допълнителни методи за идентификация на потребителите, в зависимост от конкретния операционната система (например bsd_auth или PAM)

Като цяло, за удостоверяване на потребителя се извършва въз основа на публични ключове. Клиент опитва да установи дистанционно SSH връзка криптира данните са му известни от отворен тип, гаечен ключ, което е получил, когато за първи път се свържете със сървъра, и ги предава към сървъра на SSH. Сървърът, на свой ред, декриптира данните, само той знае тайния ключ, и го изпраща на клиента. В такава схема, клиентът може да бъде сигурен, че сървърът е точно това, което той твърди, че е. По този начин, ние не можем да разчитаме на DNS и маршрутизация, дори и ако нападателят е бил в състояние да изкове рекорд DNS или пренасочване на пакети за удостоверяване домакин не се предава, тъй като чуждестранни домакини не разполагат с необходимите ключове.

Тъй като SSH е пълен мрежов протокол, разбира се, че е определен набор от програми, необходими за неговата работа, като основната функционалност и разнообразие от допълнителни функции. Тъй като ние имаме един въпрос на операционната система FreeBSD (с други версии на Unix, комплектът може да варира), основните компоненти на SSH. Те са следните:

  • SSHD - това всъщност SSH сървъра демон;
  • SSH --client програма, която се превърна в заместител на Rlogin и телнет;
  • SCP - дистанционно програма за архивиране чрез протокола SSH. заместител на RCP;
  • SFTP - защитен FTP-клиент;
  • SFTP сървър - подсистема осигурява пренос на файлове през SSH протокол;
  • SSH-търсени - ключов генератор
  • SSH-KeyScan - "колекционер", за публично-домакин;
  • SSH-агент - удостоверяване агент за поддържане на частни ключове;
  • SSH-добавим - малка програма за добавяне на ключове в SSH-агент;

Както бе споменато по-горе, SSHD. Тази програма е отговорен за функционалността на SSH сървъра. той работи при стартиране на операционната система. Какво да използвате SSH протокол веднага след инсталиране на FreeBSD, трябва да се допусне, SSHD програма демон Sysinstall инсталация. Въпреки че може да бъде направено по-късно, при условие, че имате достъп до терминален сървър. Позволете на SSHD демон. възможно чрез първоначален сценарий /etc/rc.conf, предписване на следния ред:

Естествено, това не може да се направи, и просто стартиране на обслужващата от конзола / ЮЕсАр / sbin / SSHD. но на следващото рестартиране, то самото не започне, съответно достъп до сървъра посредством SSH няма, но ако сървърът се намира в център за данни хостинг доставчика на, след което го управлява дистанционно, не можете. Поради тази причина, ако имате намерение да отдалечено администриране на сървъра, на Sshd е включена във фазата на монтажа.