Carane ngatur lan nggunakake port SSH? Langkah dening langkah

Ngamanake Shell, utawa dicekak dadi SSH, iku salah siji saka teknologi pangayoman data paling majeng ing transmisi. Panggunaan regime kuwi ing dalan padha ngidini ora mung rahasia informasi ditularaké, nanging uga kanggo nyepetake exchange Paket. Nanging, ora saben mangerténi adoh minangka kanggo mbukak port SSH, lan apa kabeh iki perlu. Ing kasus iki iku perlu kanggo menehi panjelasan mbangun.

Port SSH: apa lan apa kang kita perlu?

Awit kita ngomong bab keamanan, ing kasus iki, ing port SSH kanggo mangertos saluran darmabakti ing wangun trowongan, kang menehi enkripsi data.

Ing rencana paling primitif saka trowongan iki sing sing SSH-port mbukak digunakake minangka standar kanggo encrypt data ing sumber lan decryption ing bagean pungkasan ing. Iki bisa diterangno minangka nderek: apa sing kaya utawa ora, lalu lintas ditularaké, kados IPSec, ndhelik kapeksa lan terminal output saka jaringan, lan ing sisih panampa saka ing pasarean. Decrypt informasi ditularaké ing saluran iki, ing terminal nampa nggunakake tombol khusus. Ing tembung liyane, kanggo ngalangi ing transfer utawa rembugan integritas data ditularaké ing wayahe siji bisa ora tanpa tombol.

Mung mbukak SSH-port ing dalan utawa kanthi nggunakake setelan sing bener saka klien tambahan interaksi langsung karo SSH-server, ngidini sampeyan kanthi nggunakake kabeh fitur saka sistem keamanan jaringan modern. Kita kene carane nggunakake port sing diutus dening setelan gawan utawa adat. paramèter-paramèter iki ing aplikasi bisa katon angel, nanging tanpa pangerten saka organisasi sambungan kuwi ora cukup.

port SSH Standard

Yen, memang, adhedhasar paramèter saka samubarang dalan kudu nemtokake urutan, apa jenis lunak bakal digunakake kanggo ngaktifake link iki. Ing kasunyatan, gawan port SSH bisa duwe setelan beda. Gandrung cara apa digunakake ing wayahe (sambungan langsung menyang server, nginstall tambahan port klien Terusake lan ing. D.).

Contone, yen klien sing digunakake jabber, kanggo sambungan bener, enkripsi, lan data transfer port 443 kanggo digunakake, sanajan pawujudan disetel ing port standar 22.

Kanggo ngreset dalan kanggo persediaan kanggo program tartamtu utawa proses kahanan sing perlu kudu nindakake port Terusake SSH. Apa iku? Iku tujuan akses tartamtu kanggo program siji sing migunakake sambungan Internet, preduli saka kang setelan saiki exchange protokol data (IPv4 utawa IPv6).

sabdhoning technical

Standard SSH port 22 ora tansah digunakake minangka iku wis cetha. Nanging, kene iku perlu nyedhiakke sawetara saka ciri lan setelan digunakake sak persiyapan.

Apa ndhelik protokol data rahasia melu nggunakake SSH minangka (guest) port pengguna sejatine sifate external? Nanging mung amarga tunneling wis Applied ngidini panggunaan supaya disebut-Nihan remot (SSH), kanggo gain akses kanggo Manajemen terminal liwat mlebu remot (slogin), lan aplikasi prosedur salinan remot (SCP).

Kajaba iku, SSH-port bisa urip ing cilik endi user perlu nglakokaké Tulisan remot X Windows, kang ing cilik gampang iku transfer informasi saka siji mesin kanggo liyane, minangka wis ngandika, karo enkripsi dipeksa saka data. Ing kahanan kuwi, paling perlu bakal nggunakake adhedhasar algoritma AES. Iki algoritma enkripsi simetris, sing sadurungé kasedhiya ing teknologi SSH. Lan nggunakake ora mung bisa nanging perlu.

History of pranyatan

teknologi wis muncul kanggo dangu. Ayo kita ninggalake aside pitakonan saka carane nggawe port kebentuk SSH, lan fokus ing carane iku kabeh karya.

Biasane iku tumurun, nggunakake proxy ing basis saka Socks utawa nggunakake tunneling VPN. Ing sawetara kasus aplikasi software bisa karo VPN, luwih apik kanggo milih pilihan iki. Kasunyatan sing program meh kabeh dikenal saiki nggunakake kiriman Internet, VPN bisa, nanging gampang nuntun konfigurasi ora. Iki, ing cilik saka server proxy, ngidini kanggo ninggalake alamat external saka terminal saka kang lagi diprodhuksi ing jaringan output, dikenali. Sing cilik karo alamat proxy tansah ganti, lan versi VPN tetep panggah karo fiksasi saka wilayah tartamtu, liyane saka siji kono iku ban ing akses.

Teknologi banget padha nawakake port SSH, iki dikembangaké taun 1995 ing Universitas Teknologi Finlandia (SSH-1). Ing taun 1996, dandan wis ditambahaké ing wangun SSH-2 protokol, kang cukup nyebar ing papan kirim-Soviet, senajan iki, uga ing sawetara negara Eropah Kulon, iku kadhangkala perlu diwenehi ijin kanggo nggunakake trowongan iki, lan saka pemerintah terjemahan.

Ing kauntungan utama mbukak SSH-port, minangka gantos kanggo Telnet utawa rlogin, iku nggunakake tetandan digital RSA utawa DSA (nggunakake pasangan mbukak lan tombol disarèkaké). Salajengipun, ing kahanan iki sampeyan bisa nggunakake supaya disebut-tombol sesi adhedhasar Diffie-Hellman algoritma, kang melu nggunakake asil enkripsi simetris, sanajan ora preclude nggunakake enkripsi kalkulus asimetris sak transmisi data lan reception dening mesin liyane.

Server lan Nihan

On Windows utawa Linux SSH-port mbukak ora dadi angel. Pitakonan mung iku, apa jenis pribadi kanggo maksud iki bakal digunakake.

Ing pangertèn iki iku perlu kanggo mbayar manungsa waé menyang Jeksa Agung bisa ngetokake saka transmisi informasi lan bukti asli. Sepisanan, protokol dhewe wis cekap dilindhungi dening supaya disebut-Rambut, kang paling umum "wiretapping" lalu lintas. SSH-1 mbuktekaken dadi ngrugekke kanggo serangan. Campur tangan ing proses transfer data ing wangun saka rencana saka "wong ing tengah" wis asil sawijining. Informasi mung bisa nyegat lan decipher cukup SD. Nanging versi sing kaping loro (SSH-2) wis imun kanggo jenis iki melu-melu, dikenal minangka sesi pambajakan, thanks kanggo apa sing paling populer.

bans keamanan

Minangka kanggo keamanan ing bab data ing ditularaké lan ditampa, organisasi sambungan ditetepake kanthi nggunakake teknologi kuwi ngidini supaya masalah ing ngisor iki:

• tombol identifikasi kanggo inang ing langkah transmisi, nalika "asli seko» driji;
• Dhukungan kanggo Windows lan sistem UNIX-kaya;
• substitusi IP lan alamat DNS (spoofing);
• intercepting sandi mbukak akses fisik kanggo saluran data.

Bener, kabèh organisasi saka sistem kuwi wis dibangun ing prinsip "klien-server", sing, pisanan kabeh komputer pangguna liwat program khusus utawa nambah-ing telpon menyang server, kang mrodhuksi Pengalihan cocog.

tunneling

Iku dadi tanpa ngucap sing implementasine saka sambungan saka jenis iki ing driver khusus kudu diinstal ing sistem.

Biasane, ing sistem Windows basis wis dibangun menyang program Nihan driver Microsoft Teredo, kang jenis liya emulation virtual saka IPv6 ing jaringan ndhukung IPv4 mung. adaptor Tunnel standar aktif. Ing acara saka Gagal gadhah, sampeyan mung bisa nggawe sistem Wiwiti maneh utawa nindakake mati lan miwiti maneh printah saka console printah. Mateni garis kuwi digunakake:

• netsh;
• antarmuka negara teredo pesawat dipatèni;
• antarmuka isatap nyetel negara dipatèni.

Sawise ngetik printah ngirim miwiti maneh. Kanggo ngaktifake maneh adaptor lan mriksa status dipatèni tinimbang ndhaftar ijin ing aktif, sawise kang, maneh, kudu miwiti maneh kabeh sistem.

SSH-server

Saiki ayo kang ndeleng carane port SSH digunakake minangka inti, miwiti saka rencana "klien-server". Gawan biasane Applied 22 menit port, nanging, kaya kasebut ing ndhuwur, bisa digunakake lan 443rd ing. Pitakonan mung ing pilihan saka server dhewe.

Paling umum SSH-server dianggep dadi ing ngisor iki:

• kanggo Windows: Tectia SSH Server, OpenSSH karo Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• kanggo Freebsd: OpenSSH;
• kanggo Linux: Tectia SSH Server, SSH, OpenSSH-server, lsh-server, dropbear.

Kabeh saka server sing free. Nanging, sampeyan bisa nemokake lan mbayar layanan sing nyedhiyani tingkat malah luwih saka keamanan, kang penting kanggo organisasi saka akses jaringan lan keamanan informasi ing Enterprises. Ing biaya layanan kuwi wis ora rembugan. Nanging ing umum kita bisa wong iku relatif inexpensive, malah ing comparison karo instalasi lunak khusus utawa "hardware" firewall.

SSH-klien

port Change SSH bisa digawe ing basis saka program klien utawa setelan sing bener nalika port Terusake dalan.

Nanging, yen sampeyan nutul Nihan klien, produk lunak ngisor iki bisa digunakake kanggo macem-macem sistem:

• Windows - SecureCRT, putty \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux lan BSD: lsh-klien, kdessh, OpenSSH-klien, Vinagre, putty.

Bukti asli adhedhasar tombol umum, lan ngganti port

Saiki sawetara tembung bab carane verifikasi lan nyetel server. Ing cilik gampang, sampeyan kudu nggunakake file konfigurasi (sshd_config). Nanging, sampeyan bisa nindakake tanpa iku, contone, ing cilik saka program kayata putty. Ganti SSH port saka nilai standar (22) kanggo liyane temen SD.

Wangsulan: Bab ingkang utama - kanggo mbukak sawetara port ora ngluwihi Nilai saka 65535 (bandar luwih mung ora ana ing alam). Kajaba iku, kudu mbayar manungsa waé kanggo sawetara bandar mbukak standar, kang bisa digunakake dening klien kaya MySQL utawa FTPD database. Yen sampeyan nemtokake wong kanggo konfigurasi SSH, mesthi, padha mung mungkasi digunakake.

Iku worth kang lagi nyimak sing jabber klien padha kudu mlaku ing lingkungan padha nggunakake SSH-server, contone, ing mesin virtual. Lan paling server localhost kudu nemtokake nilai kanggo 4430 (tinimbang 443, kaya kasebut ing ndhuwur). konfigurasi iki bisa digunakake nalika akses menyang jabber.example.com file utama diblokir dening firewall.

Ing tangan liyane, bandar transfer bisa ing dalan nggunakake konfigurasi antarmuka karo nitahaken saka seng kanggo aturan. Ing paling model input liwat alamat input diwiwiti karo 192,168 ditambah karo 0,1 utawa 1.1, nanging router nggabungke Kapabilitas ADSL-modem kaya Mikrotik, alamat pungkasan melu nggunakake 88.1.

Ing kasus iki, nggawe aturan anyar, banjur nyetel paramèter perlu, contone, kanggo nginstal sambungan external DST-nat, uga bandar diwènèhaké kanthi manual ora ing setelan umum lan ing bagean saka pilihan Activism (Action). Boten banget rumit kene. Wangsulan: Bab ingkang utama - kanggo nemtokake nilai sing dibutuhake ing setelan lan nyetel port bener. Kanthi gawan, sampeyan bisa nggunakake port 22, nanging yen customer nggunakake khusus (sawetara saka ndhuwur kanggo sistem beda), nilai bisa diganti arbitrarily, nanging mung supaya parameter ora ngluwihi Nilai ngumumaké, ndhuwur kang nomer port mung ora kasedhiya.

Nalika nyiyapake sambungan uga kudu mbayar manungsa waé kanggo paramèter saka program klien. Perlu uga dadi sing ing setelan kudu nemtokake dawa minimal tombol (512), sanajan standar biasane nyetel 768. Iku uga seng di pengeni kanggo nyetel wektu entek ing mlebu menyang tingkat 600 detik lan ijin akses remot karo hak ROOT. Sawise nglamar setelan iki, sampeyan kudu uga ngidini panggunaan hak bukti asli, liyane saka sing adhedhasar nggunakake .rhost (nanging perlu mung kanggo pangurus sistem).

Antarane liyane iku, yen jeneng pangguna kedhaftar ing sistem, ora padha ngenalaken ing wayahe, iku kudu kasebut tegas nggunakake printah pengguna SSH master karo introduksi saka paramèter tambahan (kanggo wong-wong sing ngerti apa ing saham).

Team ~ / .ssh / id_dsa bisa digunakake kanggo transformasi saka tombol lan cara enkripsi (utawa RSA). Kanggo nggawe tombol umum digunakake dening konversi nggunakake baris ~ / .ssh / identity.pub (nanging ora kudu). Nanging, minangka laku nuduhake, cara paling gampang kanggo nggunakake printah kaya SSH-keygen. Kene pet Jeksa Agung bisa ngetokake wis suda mung kanggo kasunyatan, kanggo nambah tombol kanggo pribadi bukti asli kasedhiya (~ / .ssh / authorized_keys).

Nanging kita wis musna adoh banget. Yen bali menyang Jeksa Agung bisa ngetokake setelan port SSH, minangka wis cetha port pangowahan SSH ora dadi angel. Nanging, ing sawetara kahanan, padha ngomong, bakal ngetokake, amarga kudu njupuk menyang akun kabeh nilai saka paramèter tombol. Liyane saka Jeksa Agung bisa ngetokake konfigurasi boils mudhun menyang ngleboke samubarang server utawa klien program (yen kasedhiya pisanan), utawa nggunakake port Terusake dalan. Nanging malah ing cilik saka owah-owahan ing port 22, standar, kanggo 443rd padha, kudu cetha mangertos bakal sing rencana kuwi ora tansah bisa, nanging mung ing cilik saka nginstall padha tambahan ing jabber (analog bisa ngaktifake lan bandar pamilike, iku bedo saka standar). Kajaba iku, khusus manungsa waé kudu diwenehi setelan SSH-klien, kang bakal langsung sesambungan karo SSH-server, yen pancene mestine kanggo nggunakake sambungan saiki parameter.

Minangka kanggo liyane, yen port Terusake ora kasedhiya pisanan (sanajan iku seng di pengeni kanggo nindakake tumindak kuwi), setelan lan opsi kanggo akses liwat SSH, sampeyan bisa ngganti. Ana masalah nalika nggawe sambungan, lan nggunakake luwih, ing umum, ora samesthine (kajaba, mesthi, ora bakal digunakake kanthi manual ngatur konfigurasi server basis lan klien). The seng paling umum kanggo nggawe aturan ing dalan ngijini sampeyan kanggo mbenerake masalah utawa supaya wong-wong mau.