Ssh funcționalitate protocol securizat de rețea

Acum, protocolul SSH. este un standard utilizat pe scară largă și, de exemplu, pentru administrarea la distanță a sistemelor de server, care este, efectuați o varietate de comenzi și manipulări în coajă de server printr-o conexiune securizată, copierea fișierelor pe o rețea, cum ar fi de backup de date.

SSH protocol. Ea există în două versiuni, versiunea comercială, dezvoltat de SSH Inc, și un program gratuit, open source, OpenSSH. care, practic, este utilizat pe majoritatea platformelor de server. Punerea în aplicare a OpenSSH. există în orice sistem de operare din familia Unix, și cele mai multe dintre ele, serverul SSH si client SSH, sunt utilități standard. Toate scris de mai jos se va aplica OpenSSH și sistemul de operare FreeBSD.

Acum, utilizate în mod obișnuit este a doua versiune a protocolului SSH. pentru că în primul rând, versiunea SSH 1 de protocol, a suferit vulnerabilitate gravă, și în al doilea rând, în versiunea 2 utilizează algoritmi de criptare mai puternice, în plus, să sprijine capacitatea de a detecta o denaturare intenționată.

  • SSH protocol versiunea 1, DES, 3DES, Blowfish
  • SSH versiune de protocol 2 AES-128, AES-192, AES-256, Blowfish, CAST-128, ArcFour
  • SSH versiunea protocolului 1 nu
  • SSH protocol, versiunea 2, HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD

După cum puteți vedea, diferența este foarte mare, astfel încât, protocolul SSH versiunea 1 este acum, în general, nu este strict recomandat pentru utilizare oriunde.

Metode de autentificare prin SSH, software-ul compoziție pachet OpenSSH

SSH Protocol Security oferă următoarele soluții software:

  • Criptarea tot traficul care trece prin conexiunea SSH realizată de către unul dintre posibilele algoritmii selectați în partidele sesiune de negocieri. trafic conexiune de criptare, acesta împiedică interceptarea și utilizarea în scopuri rău intenționate. Prin alegerea diferitelor algoritmi de criptare, sistemul devine foarte flexibil, care permite, de exemplu, nu utilizează algoritmi în care au fost detectate vulnerabilități sau amenințări potențiale de securitate, sau de a folosi numai acei algoritmi care sunt susținute de fiecare dintre părți;
  • server de autentificare SSH se face întotdeauna, pentru orice conexiune care nu permite să înlocuiască traficul sau serverul în sine;
  • SSH de autentificare client poate avea loc în diferite moduri, pe de o parte, face ca procesul de autentificare în sine este mai sigur, pe de altă parte, face sistemul mai flexibil, ceea ce face mai ușor să lucreze cu ea;
  • integritatea pachetelor de rețea de monitorizare, face posibilă urmărirea modificărilor conexiunilor traficului ilegale, în cazul detectării acestui fapt, conexiunea este întreruptă imediat;
  • Parametrii de autentificare împiedică temporar utilizarea timpului capturat și după o conexiune de date decriptate.
  • autentificare GSSAPI-based
  • Host-based autentificare;
  • Autentificarea utilizatorului cu ajutorul unei chei publice;
  • Autentifice „provocare-răspuns“ (provocare-răspuns);
  • În cele din urmă o autentificare utilizator comun cu o parolă;

sunt utilizate metode de autentificare, în această ordine, dar protocolul versiunea 2, există o opțiune, PreferredAuthentications. permițând să se schimbe ordinea, stabilită în mod implicit.

În plus SSH acceptă metode suplimentare de autentificare a utilizatorului, în funcție de sistemul de operare particular (de exemplu, bsd_auth sau PAM)

În general, autentificarea utilizatorului se face pe baza cheilor publice. Clientul încearcă să stabilească o conexiune SSH la distanță criptează datele cunoscute pentru el o cheie fixă, pe care a primit atunci când vă conectați mai întâi la server, și le transmite la serverul SSH. Serverul, la rândul său, decriptează datele, numai el știe cheia secretă, și trimite-l la client. Într-un astfel de sistem, clientul poate fi sigur că serverul este exact cine pretinde a fi. Astfel, nu ne putem baza pe DNS și de rutare, chiar dacă un atacator a fost capabil de a crea o înregistrare DNS sau de a redirecționa pachete la o autentificare gazdă nu este trecut, din moment ce gazdele străine nu au cheile necesare.

Deoarece SSH este un protocol de rețea completă, desigur, este un anumit set de programe necesare pentru funcționarea sa, ca funcționalitatea de bază și o varietate de caracteristici suplimentare. Din moment ce avem o problemă a sistemului de operare FreeBSD (în alte versiuni ale Unix, kit-ul poate varia), principalele componente ale SSH. Acestea sunt:

  • sshd - l daemon server de fapt SSH;
  • ssh program de --client, care a devenit înlocuitorul pentru rlogin și telnet;
  • scp - program de backup de la distanță, prin protocolul SSH. înlocuire pentru rcp;
  • SFTP - sigure ftp-client;
  • SFTP-server - subsistem oferă transfer de fișiere prin protocolul SSH;
  • ssh-keygen - cheie generator
  • ssh-keyscan - "colector" de cheie publică;
  • ssh-agent - agent de autentificare pentru păstrarea cheilor private;
  • ssh-add - mic program pentru adăugarea de chei în ssh-agent;

După cum sa menționat mai sus, sshd. Acest program este responsabil pentru funcționalitatea serverului SSH. se execută la pornirea sistemului de operare. Ce se poate utiliza protocolul SSH imediat după instalarea FreeBSD, ar trebui să li se permită să ruleze programul daemon sshd instalare sysinstall. Deși se poate face mai târziu, cu condiția să aibă acces la serverul terminal. Se lasă un demon sshd. posibil prin script-ul de inițializare /etc/rc.conf, prescrierea următoarea linie:

În mod firesc acest lucru nu se poate face, și pur și simplu a porni demonul dintr-o consolă / usr / sbin / sshd. dar, pe de repornire, ea însăși nu pornește, respectiv acces la server prin SSH nu va fi, dar dacă serverul este situat în furnizorul de găzduire de date, atunci administrarea de la distanță, nu poți. Din acest motiv, dacă intenționați să administrare server de la distanță, The sshd este inclusă în faza de instalare.