Miten määrittää ja käyttää SSH-portti? Askel askeleelta opas

Secure Shell, tai lyhennettynä SSH, se on yksi maailman kehittyneimmistä tietosuojan lähetysteknologiat. Tällaisen järjestelyn samaan reitittimeen mahdollistaa paitsi toimitettujen tietojen luottamuksellisuus, mutta myös nopeuttaa vaihtoa paketteja. Kuitenkin kaikki eivät tiedä asti avata SSH-portti, ja miksi kaikki tämä on välttämätöntä. Tässä tapauksessa on välttämätöntä ratkaista rakentavassa selitystä.

Port SSH: mitä se on ja miksi me tarvitsemme?

Koska puhumme turvallisuudesta, tässä tapauksessa alle SSH-portti ymmärrettävä oma kanava muodossa tunnelin, joka tarjoaa tiedon salaus.

Alkeellisin järjestelmä tunnelin on, että avoin SSH-portti käytetään oletusarvoisesti salata tietoja lähteen ja salauksen päätepistettä. Tämä voidaan selittää seuraavasti: onko sitä tai ei, siirtää liikennettä, toisin kuin IPSec, salattu pakosta ja lähtöpäätteen verkon, ja vastaanottavalla puolella sisäänkäynnin. Purkaa tiedot lähetetään tällä kanavalla, vastaanottava päätelaite käyttää erityistä näppäintä. Toisin sanoen, puuttua siirtoon tai vaaranna eheyttä lähetetyn datan tällä hetkellä ei voi ilman avainta.

Vain avaamalla SSH-porttiin tahansa reitittimeen tai käyttämällä sopivaa asetuksia ylimääräisten asiakkaan vuorovaikutuksessa suoraan SSH-palvelin, voit täysin käyttää kaikkia toimintoja nykyaikaisen verkon turvajärjestelmiä. Olemme täällä siitä, miten käyttää portti, joka on määritetty oletuksena tai mukautettuja asetuksia. Nämä parametrit sovelluksen saattaa näyttää vaikeaa, mutta ilman ymmärrystä organisaation tällaisen yhteyden ei riitä.

Vakio SSH-portti

Jos todellakin perustuu parametreihin jonkin reititin tulee kuitenkin ensin selvittää järjestyksessä, millaisia ohjelmistoja käytetään aktivoimalla tätä linkkiä. Itse asiassa oletus SSH-portti voi olla erilaiset asetukset. Kaikki riippuu siitä, mitä menetelmää käytetään tällä hetkellä (suora yhteys palvelimelle, asentaa lisää asiakas porttien jne. D.).

Esimerkiksi, jos asiakas käyttää Jabber, oikea yhteydet, salaus, ja tiedonsiirto-portti 443 on tarkoitus käyttää, vaikka suoritusmuodossa on asetettu standardin portti 22.

Nollata reititin varattuun tietyn ohjelman tai käsittele tarvittavat edellytykset on tehtävä porttien SSH. Mikä se on? Se on tarkoitus erityisesti pääsy yksittäiseen ohjelma, joka käyttää Internet-yhteys, riippumatta siitä, mikä asetus on nykyinen protokolla vaihtaa tietoja (IPv4 tai IPv6).

teknisen perustelun

Standard SSH-portin 22 ei aina käytetä, koska se oli jo selvä. Kuitenkin tässä on tarpeen myöntää joitakin ominaisuuksia ja asetuksia käytetään asennuksen aikana.

Miksi salatun datan luottamuksellisuuden protokollan yhteydessä käytetään SSH puhtaasti ulkoinen (vieras) käyttöportin? Mutta vain siksi, tunnelointi levitetään se mahdollistaa käytön ns remote shell (SSH), päästä terminaaliin hallinnan kautta etäkäyttö (skirjautua sisään), ja soveltaa etäkopio menettely (scp).

Lisäksi SSH-portti voidaan aktivoida silloin, kun käyttäjä on tarpeen suorittaa kauko-skriptejä X Windows, joka yksinkertaisimmassa tapauksessa on informaation siirto yhdestä koneesta toiseen, kuten on sanottu, joissa on pakotettu salaus. Tällaisissa tilanteissa, eniten tarpeen käyttää perustuu AES-algoritmia. Tämä on symmetrinen salausalgoritmi, joka on alun perin järjestetty SSH-tekniikkaa. Ja käyttää sitä paitsi mahdollista, mutta välttämätön.

Historia toteutumista

Tekniikka on esiintynyt jo pitkään. Jättäkäämme kysymys siitä, miten tehdä kuorrutus SSH-portti, ja keskittyä siihen, miten kaikki toimii.

Yleensä se tulee alas, käyttää välityspalvelinta perusteella Sukat tai VPN tunnelointi. Siinä tapauksessa joitakin ohjelmia sovellus voi toimia, VPN-, parempi valita tämän vaihtoehdon. Se, että lähes kaikki tunnetut ohjelmat käyttävät nykyään internet-liikenteestä, VPN voi toimia, mutta helposti reititystä ei ole. Tässä, kuten tapauksessa proxy-palvelimet, mahdollistaa säilyttää ulkoisen päätelaitteen osoite, josta tuotetaan nykyisin lähtöverkkoon, tunnistamaton. Näin on asianlaita välityspalvelimen osoite muuttuu jatkuvasti, ja VPN-versio säilyy ennallaan kiinnitykseen tietyllä alueella, muussa kuin siinä, jossa on porttikielto.

Aivan sama tekniikka, joka tarjoaa SSH-portti, kehitettiin vuonna 1995 Teknillinen korkeakoulu Suomessa (SSH-1). Vuonna 1996 parannuksia on lisätty muodossa SSH-2 protokolla, joka oli varsin yleistä, että entisen Neuvostoliiton, vaikka tätä sekä eräissä Länsi-Euroopan maissa, on joskus tarpeen saada lupaa käyttää tätä tunnelia ja viranomaisilta.

Tärkein etu avaamalla SSH-portti, toisin kuin telnet tai rlogin-, käyttö on digitaalisia allekirjoituksia RSA tai DSA (käyttö pari avoimen ja haudattu avain). Lisäksi tässä tilanteessa voi käyttää niin kutsuttuja istuntoavaimen perustuu Diffie-Hellman-algoritmin, jossa käytetään symmetrisen salauksen ulostulo, vaikka ei estä käyttämästä epäsymmetrisiä salausalgoritmeja aikana datan lähetyksen ja vastaanoton toisen kone.

Palvelimet ja kuori

Windows tai Linux SSH-portti auki ei ole niin vaikeaa. Ainoa kysymys on, millaisia välineitä tähän tarkoitukseen käytetään.

Tässä mielessä on syytä kiinnittää huomiota kysymykseen tiedonsiirron ja autentikointi. Ensinnäkin protokolla itse on riittävästi suojattu ns nuuskiminen, joka on yleisin "Salakuuntelu" liikennettä. SSH-1 osoittautui alttiina hyökkäyksille. Häiriöitä parhaillaan siirtää tietoja muodossa kaaviota "man keskellä" oli sen tuloksia. Tieto voisi yksinkertaisesti kuunnella ja tulkita aivan alkeis. Mutta toinen versio (SSH-2) on immuuni tällainen tuki, joka tunnetaan istunnon kaappaamisen, kiitos mikä on suosituin.

kiellot turvallisuus

Kuten turvallisuuden suhteen lähetetyn ja vastaanotetun datan järjestämistä muodostettuja yhteyksiä tällaisten tekniikan avulla vältetään seuraavat ongelmat:

• tunnistaminen avain isännän lähetyksen vaiheessa, kun "tilannekuva» sormenjälki;
• Tuki Windows ja Unixin kaltaiset järjestelmät;
• vaihdosta IP ja DNS-osoitteet (huijaus);
• kuuntelua avoin salasana fyysinen pääsy tietoihin kanavalle.

Itse asiassa, koko organisaatio tällaisen järjestelmä on rakennettu periaatteelle "asiakas-palvelin", joka on ensinnäkin käyttäjän tietokoneen kautta erityinen ohjelma tai apuohjelma puhelut palvelimeen, joka tuottaa vastaavan uudelleenohjaus.

tunnelointi

On sanomattakin selvää, että täytäntöönpano yhteyden tällainen erityinen kuljettaja on asennettuna järjestelmään.

Tyypillisesti Windows-pohjaisissa järjestelmissä on rakennettu osaksi ohjelmaa kuoren kuljettaja Microsoft Teredoa, joka on eräänlainen virtuaalinen emuloinnin avulla IPv6 tukevien verkkojen vain IPv4. Tunneli oletus sovitin on aktiivinen. Mikäli vika liittyy se, voit vain tehdä järjestelmän uudelleenkäynnistyksen tai suorittaa sammutus ja uudelleenkäynnistys komentoja komentokonsoli. Deaktivoimiseksi kuten linjat ovat käytössä:

• netsh;
• käyttöliittymä Teredo asetettu tilaan pois käytöstä;
• käyttöliittymä ISATAP asetettu tilaan käytöstä.

Kirjoittamisen jälkeen komennon pitäisi käynnistää. Uudelleen Ota sovitin ja tarkistaa vammaisten sijasta käytössä rekisterien lupa, jonka jälkeen taas tulee käynnistää koko järjestelmän.

SSH-palvelin

Katsotaanpa kuinka SSH-porttia käytetään ydin alkaen järjestelmästä "client-server". Oletuksena käytetään yleensä 22 minuuttia portti, mutta, kuten edellä mainittiin, voidaan käyttää ja 443rd. Ainoa kysymys mieluummin palvelimen itse.

Yleisin SSH-palvelimet pidetään seuraavasti:

• Windows: Tectia SSH-palvelin, OpenSSH kanssa Cygwin, MobaSSH, KpyM Telnet / SSH-palvelin, WinSSHD, copssh, freeSSHd;
• FreeBSD: OpenSSH;
• Linux: Tectia SSH-palvelin, ssh, OpenSSH-palvelin, LSH-palvelin, dropbear.

Kaikki palvelimet ovat ilmaisia. Voit kuitenkin löytää ja maksullisia palveluita, jotka tarjoavat entistä turvatasoa, joka on välttämätön järjestämistä verkkoyhteyksiä ja tietoturva yrityksissä. Kustannukset tällaisia palveluja ei käsitellä. Mutta yleensä voimme sanoa, että se on suhteellisen halpa, vaikka verrattuna asennuksen erityisiä ohjelmistoja tai "hardware" palomuuri.

SSH-client

Muutos SSH-portti voidaan tehdä perusteella asiakasohjelma tai sopivat asetukset porttien reitittimessä.

Kuitenkin, jos kosket asiakas kuori, seuraavia ohjelmistoja voidaan käyttää monissa eri järjestelmissä:

• Windows - SecureCRT, PuTTY \ KiTTY Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD jne.,.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux ja BSD: LSH-asiakas, kdessh, OpenSSH-asiakas, Vinagre, kitti.

Autentikointi perustuu julkisen avaimen, ja muuttaa portin

Nyt muutaman sanan miten todentaminen ja asentamiseen. Yksinkertaisimmillaan, sinun täytyy käyttää konfiguraatiotiedosto (sshd_config). Voit kuitenkin tehdä ilman sitä, esimerkiksi kun kyseessä ovat ohjelmien, kuten kitti. Muutos SSH portti oletusarvo (22) jonkin muun on täysin ala-.

Tärkeintä - avaa portin numero ei ylitä 65535 (korkeampi portteja ei yksinkertaisesti ole olemassa luonnossa). Lisäksi tulisi kiinnittää huomiota joihinkin avoimet portit oletuksena, jota voidaan käyttää asiakkaiden, kuten MySQL tai ftpd tietokantoja. Jos määrittelet ne SSH-määritykset, tietenkin, ne vain lakata toimimasta.

On syytä huomata, että sama Jabber on käynnissä samassa ympäristössä SSH-palvelin, esimerkiksi virtuaalikoneen. Ja useimmat palvelimen localhost täytyy arvon määrittäminen 4430 (eikä 443, kuten edellä mainittiin). Tämä kokoonpano voidaan käyttää, kun pääsy tärkeimpiin tiedosto jabber.example.com toimi palomuurin.

Toisaalta, siirto portit voivat olla reitittimen konfiguraatio sen käyttöliittymä luomalla poikkeuksia säännöistä. Useimmissa malleissa kautta syötetty panos osoitteille, jotka alkavat 192,168, jota oli täydennetty 0,1 tai 1,1, mutta reitittimet yhdistää ominaisuuksia ADSL-modeemit, kuten Mikrotik, pää osoite liittyy käytön 88.1.

Tässä tapauksessa luoda uuden säännön, määritä tarvittavat parametrit, esimerkiksi asentamaan ulkoista yhteyttä DST-nat, sekä manuaalisesti määrätty portit eivät ole yleisessä asetukset ja jaksossa aktivismin mieltymykset (Action). Ei mitään liian monimutkaista täällä. Tärkeintä - määrittää tarvittavat arvot asetuksia ja asettaa oikeaan porttiin. Oletuksena voit käyttää porttia 22, mutta jos asiakas käyttää erityistä (jotkut edellä eri järjestelmät), arvoa voidaan muuttaa mielivaltaisesti, mutta vain niin, että tämä parametri ei ylitä ilmoitettua arvoa, jonka yläpuolella porttinumerot eivät yksinkertaisesti ole saatavilla.

Kun muodostaa yhteyksiä myös syytä kiinnittää huomiota parametrit asiakasohjelmaa. Voi hyvin olla, että sen asetukset on määrittää pienin avaimen pituus (512), vaikka oletusarvona on yleensä asetettu 768. On myös toivottavaa asettaa aikakatkaisun kirjautua tasolle 600 sekuntia ja etäkäyttö lupaa root oikeudet. Levittämisen jälkeen nämä asetukset, sinun täytyy myös sallia kaikkien todennus oikeudet, muut kuin perustuu käyttöön .rhost (mutta on tarpeen ainoastaan järjestelmänvalvojille).

Muun muassa jos käyttäjänimi rekisteröity järjestelmään, ei ole sama kuin käyttöön tällä hetkellä, se on mainittava erikseen käyttämällä käyttäjä ssh päällikkö komennon käyttöön lisäparametreja (niille, jotka ymmärtävät, mistä on kyse).

Joukkue ~ / .ssh / id_dsa voidaan käyttää avaimen muuntamiseksi ja kryptausmenetelmän (tai RSA). Luoda julkisen avaimen, jota muuntaminen käyttämällä linja ~ / .ssh / identity.pub (mutta ei välttämättä). Mutta kuten käytäntö osoittaa, helpoin tapa käyttää komennot kuten ssh-keygen. Täällä ydin kysymys vähenee ainoastaan siihen, lisätä avain käytettävissä todennus työkalut (~ / .ssh / authorized_keys).

Mutta olemme menneet liian pitkälle. Jos menet takaisin portin asetukset SSH ongelma, sillä on selkeä muutos SSH-portti ei ole niin vaikeaa. Kuitenkin joissakin tilanteissa, he sanovat, on hiki, koska tarve ottaa huomioon kaikkien arvojen keskeisiä parametreja. Loput kokoonpano kysymys kiehuu sisäänkäynnin tahansa palvelimen tai asiakkaan ohjelma (jos se on alun perin), tai käyttää Portin reitittimen. Mutta vaikka kyseessä muutosta sataman 22, oletus, samaan 443rd olisi selvää, että tällainen järjestelmä ei toimi aina, mutta vain siinä tapauksessa asentaa saman apuohjelman Jabber (muiden analogien voi aktivoida ja niiden satamiin, se eroaa tavallisesta). Lisäksi erityistä huomiota olisi kiinnitettävä parametroivalle SSH-asiakas, joka suoraan vuorovaikutuksessa SSH-palvelin, jos se on todella tarkoitus käyttää nykyisen yhteyden.

Muilta, jos porttien ei anneta aluksi (vaikka se on toivottavaa suorittaa tällaisia toimia), asetuksia ja vaihtoehtoja SSH-yhteyden kautta, et voi muuttaa. Mitään ongelmia, kun luodaan yhteys, ja sen myöhempää käyttöä, yleisesti, ei ole odotettavissa, (paitsi tietenkin, ei voida käyttää manuaalisesti kokoonpanon palvelin-pohjainen ja asiakas). Yleisin poikkeukset sääntöjen luomista reitittimen avulla voit korjata ongelmia tai välttää niitä.