Როგორ კონფიგურაცია და გამოიყენოთ SSH პორტი? ეტაპობრივად სახელმძღვანელო

უსაფრთხო Shell, ან შემოკლებით როგორც SSH, ეს არის ერთ-ერთი ყველაზე წინასწარი მონაცემების დაცვის ტექნოლოგიების გადაცემა. ამგვარი რეჟიმის იგივე როუტერი გაძლევთ არა მხოლოდ კონფიდენციალურობის გადაცემული ინფორმაციის, არამედ დააჩქაროს გაცვლის პაკეტი. თუმცა, ყველამ იცის, რამდენადაც გახსნა SSH პორტი, და ამიტომ ყველა ეს აუცილებელია. ამ შემთხვევაში აუცილებელია, რათა კონსტრუქციული ახსნა.

Port SSH: რა არის ეს და რატომ გვჭირდება?

მას შემდეგ, რაც ჩვენ ვსაუბრობთ უსაფრთხოების, ამ შემთხვევაში, ქვეშ SSH პორტი უნდა იყოს გაგებული, ერთგულ არხი სახით გვირაბი, რომელიც უზრუნველყოფს მონაცემთა დაშიფვრის.

ყველაზე პრიმიტიული სქემა ეს გვირაბი, რომელიც ღია SSH-port გამოიყენება ძირითადად დაშიფვრა მონაცემები წყარო და დეშიფრაციის on საბოლოო წერტილის. ეს აიხსნება ასეთია: თუ არა გსურთ თუ არა, გადამდები მოძრაობის, განსხვავებით IPSec, დაშიფრული ნაძალადევად და გამომავალი ტერმინალი ქსელი და მიმღებ მხარეს შესასვლელთან. გაშიფვრა ინფორმაცია გადაიცემა ამ არხზე, მიმღები ტერმინალი იყენებს სპეციალური გასაღები. სხვა სიტყვებით, ჩაერიოს გადაცემის ან კომპრომისზე მთლიანობის გადაცემული მონაცემების მომენტში არ შეიძლება გარეშე გასაღები.

უბრალოდ გახსნის SSH-პორტი ნებისმიერი როუტერი ან გამოყენებით შესაბამისი პარამეტრების დამატებითი კლიენტის ურთიერთობა უშუალოდ SSH სერვერი, საშუალებას გაძლევთ სრულად გამოიყენონ ყველა თვისებები თანამედროვე ქსელის უსაფრთხოების სისტემის. ჩვენ აქ ვართ, თუ როგორ გამოიყენოთ პორტი, რომელიც ენიჭება by default ან საბაჟო პარამეტრები. ამ პარამეტრებს განაცხადის შეიძლება გამოიყურებოდეს რთული, მაგრამ გარეშე გაგება ორგანიზაციის ასეთი კავშირი არ არის საკმარისი.

სტანდარტული SSH პორტი

მართლაც, თუ ეფუძნება პარამეტრების ნებისმიერი როუტერი უნდა განსაზღვროს, იმისათვის, თუ რა სახის პროგრამული გამოყენებული იქნება გააქტიურების ამ ბმულზე. ფაქტობრივად, ძირითადად SSH პორტის შეიძლება სხვადასხვა პარამეტრები. ყველაფერი დამოკიდებულია იმაზე, თუ რა მეთოდი გამოიყენება იმ მომენტში (პირდაპირი კავშირი სერვერზე, დაყენების დამატებითი კლიენტს პორტის გადამისამართება და ასე შემდეგ. D.).

მაგალითად, იმ შემთხვევაში, თუ კლიენტს გამოყენებული Jabber, სწორი კავშირები, კოდირების და მონაცემთა გადაცემის port 443 უნდა იყოს გამოყენებული, თუმცა განსახიერება არის სტანდარტული პორტი 22.

აღადგინოთ როუტერი გამოყოფის კონკრეტული პროგრამა ან პროცესის აუცილებელი პირობები უნდა შეასრულოს პორტის გადამისამართება SSH. რა არის ეს? ეს არის მიზანი კონკრეტული ხელმისაწვდომობის ერთი პროგრამა, რომელიც იყენებს ინტერნეტი, მიუხედავად იმისა, რომელიც გარემოში მიმდინარე ოქმი გაცვლა მონაცემები (IPv4 და IPv6).

ტექნიკური დასაბუთების

სტანდარტული SSH პორტი 22 ყოველთვის არ არის გამოყენებული, როგორც ეს იყო უკვე ნათელია. თუმცა, აქ აუცილებელია გამოიყოს ზოგიერთი მახასიათებლები და პარამეტრების დროს გამოყენებული setup.

რატომ დაშიფრული მონაცემების კონფიდენციალურობის ოქმი მოიცავს გამოყენება SSH, როგორც წმინდა გარე (სტუმარი) შესახებ პორტი? მაგრამ მხოლოდ იმიტომ, რომ გვირაბის გამოიყენება იგი საშუალებას იძლევა გამოყენების ე.წ. დისტანციური ჭურვი (SSH), შეღწევა ტერმინალის მართვის დისტანციური შესვლისას (slogin), და ვრცელდება დისტანციური ასლი პროცედურა (SCP).

გარდა ამისა, SSH-port შეიძლება გააქტიურებული იმ შემთხვევაში, თუ მომხმარებელს აუცილებელია შეასრულოს დისტანციური სკრიპტები X Windows, რომელიც მარტივი საქმე ინფორმაციის გადაცემას ერთი მანქანა მეორეზე, როგორც უკვე ითქვა, ნაძალადევი მონაცემთა დაშიფვრის. ასეთ სიტუაციაში, ყველაზე საჭირო გამოიყენებს საფუძველზე AES ალგორითმის. ეს არის სიმეტრიული შიფრაციის ალგორითმი, რომელიც თავდაპირველად გათვალისწინებული SSH ტექნოლოგია. და მას იყენებენ არა მარტო შესაძლებელი, არამედ აუცილებელიც.

ისტორია რეალიზაციის

ტექნოლოგია გაჩნდა დიდი ხნის განმავლობაში. მოდით, დავივიწყოთ კითხვაზე, თუ როგორ, რათა icing SSH პორტი, და ფოკუსირება, თუ როგორ ეს ყველაფერი მუშაობს.

როგორც წესი, ეს მოდის ქვემოთ, გამოიყენოთ proxy საფუძველზე Socks ან გამოიყენოთ VPN გვირაბით. იმ შემთხვევაში, პროგრამული უზრუნველყოფის პროგრამა, შეუძლია მუშაობა VPN, უმჯობესია აირჩიოს ეს ვარიანტი. ის ფაქტი, რომ თითქმის ყველა ცნობილი პროგრამების დღეს გამოიყენოთ ინტერნეტის ტრაფიკი, VPN შეუძლია მუშაობა, მაგრამ ადვილად მარშრუტიზაციის კონფიგურაცია არ არის. ეს, როგორც იმ შემთხვევაში, proxy სერვერების, საშუალებას დატოვება გარე მისამართი ტერმინალი, რომელიც გაკეთებული წარმოებული გამომავალი ქსელი, არაღიარებული. ეს არის საქმე პროქსის მისამართი ყოველთვის იცვლება, და VPN ვერსია რჩება უცვლელი ჩაწერა გარკვეული რეგიონში, გარდა ერთი, სადაც არ არის აკრძალვა ხელმისაწვდომობა.

იმავე ტექნოლოგია, რომელიც უზრუნველყოფს SSH პორტი, შეიქმნა 1995 წელს ტექნოლოგიური უნივერსიტეტის ფინეთის (SSH-1). In 1996, გაუმჯობესების დაემატა სახით SSH-2 ოქმი, რომელიც საკმაოდ გავრცელებულია პოსტ-საბჭოთა სივრცეში, თუმცა ეს, ისევე როგორც ზოგიერთ დასავლეთ ევროპის ქვეყნებში, ზოგჯერ აუცილებელია ნებართვა, რათა გამოიყენონ ეს გვირაბი, და სამთავრობო სტრუქტურების მხრიდან.

მთავარი უპირატესობა გახსნის SSH-პორტი, როგორც ეწინააღმდეგებოდა telnet და rlogin, არის გამოყენების ციფრული ხელმოწერები RSA და DSA (გამოყენების წყვილი ღია და დაკრძალეს გასაღები). გარდა ამისა, ამ სიტუაციაში თქვენ შეგიძლიათ გამოიყენოთ ე.წ. სესიის გასაღები საფუძველზე Diffie- ჰელმანი ალგორითმი, რომელიც მოიცავს გამოყენება სიმეტრიული შიფრაციის გამომავალი, თუმცა არ გამორიცხავს, რომ გამოყენების ასიმეტრიული შიფრირების ალგორითმები დროს მონაცემთა გადაცემა და მიღება სხვა მანქანა.

სერვერები და shell

On Windows და Linux SSH-port ღია ასე არ არის რთული. ერთადერთი საკითხი არის, თუ რა სახის იარაღები ამ მიზნით იქნება გამოყენებული.

ამ თვალსაზრისით, აუცილებელია, რომ ყურადღება მიაქციონ საკითხი ინფორმაციის გადაცემის და ავტორიზაციის. პირველ რიგში, ოქმი თავად საკმარისად დაცული ე.წ. sniffing, რომელიც არის ყველაზე ჩვეულებრივი "მოსმენებთან" მოძრაობა. SSH-1 გამოდგა დაუცველია თავდასხმები. ჩარევა პროცესში მონაცემების სახით სქემა "კაცი შუა" ჰქონდა მისი შედეგები. ინფორმაცია უბრალოდ ჩაჭრა და გაშიფვრა საკმაოდ ელემენტარული. მეორე ვერსიით (SSH-2) უკვე იმუნური ამ სახის ჩარევა, რომელიც ცნობილია როგორც სხდომის ავტოსატრანსპორტო საშუალებების გატაცების წყალობით, რა არის ყველაზე პოპულარულია.

კრძალავს უსაფრთხოების

რაც შეეხება უსაფრთხოების მიმართ გადაცემული და მიღებული მონაცემების, ორგანიზაცია კავშირები ჩამოყალიბდა გამოყენების ასეთი ტექნოლოგია საშუალებას იძლევა თავიდან ავიცილოთ შემდეგი პრობლემები:

• საიდენტიფიკაციო გასაღები მასპინძელი გადაცემა ნაბიჯი, როდესაც "მოახერხა» ანაბეჭდი;
• მხარდაჭერა Windows და Unix-like სისტემებთან;
• ჩანაცვლებითი IP და DNS მისამართები (spoofing);
• მოსმენებისა ღია პაროლი ფიზიკური ხელმისაწვდომობის მონაცემები არხი.

სინამდვილეში, მთელი ორგანიზაცია ასეთი სისტემა აგებულია პრინციპით "კლიენტის სერვერის", რომელიც, პირველ რიგში მომხმარებლის კომპიუტერში მეშვეობით სპეციალური პროგრამა ან Add-in ზარები სერვერზე, რომელიც აწარმოებს შესაბამის გადამისამართება.

გვირაბის

რაღა თქმა უნდა, რომ განხორციელების კავშირი ამ ტიპის სპეციალური დრაივერი უნდა იყოს დამონტაჟებული სისტემა.

როგორც წესი, Windows დაფუძნებული სისტემების ჩაშენებული პროგრამა shell მძღოლი Microsoft Teredo, რომელიც არის ერთგვარი ვირტუალური ემულაციის საშუალებით IPv6 ქსელების მხარდამჭერი IPv4 მხოლოდ. გვირაბი ძირითადად adapter არის აქტიური. იმ შემთხვევაში, მარცხი მასთან, თქვენ შეგიძლიათ მხოლოდ მიიღოს სისტემის გადატვირთვა ან შეასრულოს გამორთვა და თავიდან ბრძანებები ბრძანება კონსოლი. დეაქტივაცია ასეთი ხაზები გამოიყენება:

• netsh;
• ინტერფეისი Teredo კომპლექტი სახელმწიფო ინვალიდი;
• ინტერფეისი ISATAP მითითებული სახელმწიფო გამორთულია.

შესვლის შემდეგ ბრძანება უნდა განახლდეს. ხელახლა საშუალებას ადაპტერი და შემოწმება სტატუსი შეზღუდული შესაძლებლობების მქონე ნაცვლად საშუალება რეგისტრაციაში ნებართვა, მას შემდეგ, რაც, კიდევ ერთხელ, უნდა გადატვირთეთ მთელი სისტემა.

SSH სერვერზე

ახლა ვნახოთ, თუ როგორ SSH პორტი გამოიყენება როგორც ძირითადი, დაწყებული სქემა "კლიენტ სერვერ". რა არის ჩვეულებრივ გამოიყენება 22-ე პორტი, მაგრამ, როგორც ზემოთ აღინიშნა, შეიძლება გამოყენებულ იქნას და 443rd. ერთადერთი საკითხი, რომ უპირატესობა სერვერზე თავად.

ყველაზე გავრცელებული SSH-სერვერები ითვლება შემდეგი:

• for Windows: Tectia SSH სერვერი, OpenSSH ერთად Cygwin, MobaSSH, KpyM Telnet / SSH სერვერი, WinSSHD, copssh, freeSSHd;
• for FreeBSD: OpenSSH;
• ენაზე: Tectia SSH სერვერი, ssh, OpenSSH სერვერზე, lsh სერვერზე, dropbear.

ყველა სერვერები უფასოდ. თუმცა, ნახავთ და ფასიანი მომსახურება, რომელიც უზრუნველყოფს კიდევ უფრო მეტი დონის უსაფრთხოება, რომელიც აუცილებელია ორგანიზაციის ქსელის ხელმისაწვდომობა და საინფორმაციო უსაფრთხოების საწარმოებში. ღირებულება ასეთი მომსახურება არ არის განხილული. მაგრამ ზოგადად შეიძლება ითქვას, რომ ეს არის შედარებით იაფი, თუნდაც შედარებით მონტაჟი სპეციალური პროგრამული უზრუნველყოფის ან "ტექნიკის" firewall.

SSH-კლიენტს

შეცვლა SSH პორტი შეიძლება საფუძველზე კლიენტის პროგრამა ან შესაბამისი პარამეტრების როდესაც პორტის გადამისამართება თქვენი როუტერი.

თუმცა, თუ თქვენ შეეხოთ კლიენტს ჭურვი, შემდეგ პროგრამული პროდუქტების შეიძლება გამოყენებულ იქნას სხვადასხვა სისტემა:

• Windows - SecureCRT, საბაღე \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD და სხვ.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux და BSD: lsh კლიენტი, kdessh, OpenSSH კლიენტი, Vinagre, putty.

ავტორიზაციის ეფუძნება საჯარო გასაღები, და შეცვალოს პორტი

ახლა ორიოდე სიტყვა, თუ როგორ შემოწმების და შექმნის სერვერზე. იმ მარტივი შემთხვევაში, თქვენ უნდა გამოვიყენოთ კონფიგურაციის ფაილი (sshd_config). თუმცა, თქვენ არ შეუძლია მის გარეშე, მაგალითად, იმ შემთხვევაში, პროგრამები, როგორიცაა PuTTY. შეცვლა SSH პორტი რა მნიშვნელობა (22) ნებისმიერ სხვა სრულიად ელემენტარული.

რაც მთავარია - გახსნას პორტის ნომერი არ აღემატება ღირებულება 65535 (უმაღლესი პორტები უბრალოდ არ არსებობს ბუნებაში). გარდა ამისა, ყურადღება უნდა მიაქციოს ზოგიერთი ღია პორტების default, რომელიც შეიძლება იქნას გამოყენებული კლიენტებს, როგორიცაა MySQL ან FTPD ბაზაში. თუ, თქვენ შეიტანეთ მათ SSH კონფიგურაცია, რა თქმა უნდა, ისინი უბრალოდ შეწყვიტოს მუშაობა.

აღსანიშნავია, რომ იგივე Jabber კლიენტს უნდა გაშვებული იმავე გარემოს გამოყენებით SSH სერვერი, მაგალითად, ვირტუალური მანქანა. და ყველაზე სერვერზე localhost უნდა მივანიჭოთ მნიშვნელობა 4430 (ნაცვლად 443, როგორც ზემოთ აღინიშნა). ეს კონფიგურაცია შეიძლება გამოყენებულ იქნას, როდესაც დაშვება მთავარი ფაილი jabber.example.com დაბლოკა firewall.

მეორეს მხრივ, გადაცემის პორტების შეიძლება როუტერი გამოყენებით კონფიგურაციის მისი ინტერფეისი შექმნა გამონაკლისი წესები. საუკეთესო მოდელები შეტანის გზით შეყვანის მისამართები დაწყებული 192,168 ემატება 0.1 ან 1.1, მაგრამ მარშრუტიზატორები აერთიანებს შესაძლებლობების ADSL მოდემები, როგორიცაა Mikrotik და ა.შ., ბოლოს მისამართზე მოიცავს გამოყენება 88.1.

ამ შემთხვევაში, შექმნათ ახალი წესი, მაშინ მითითებული საჭირო პარამეტრებს, მაგალითად, დააყენოთ გარე დაკავშირებით DST-nat, ისევე, როგორც ხელით დადგენილი პორტები არ არის ზოგადი პარამეტრების და მონაკვეთზე აქტიური პარამეტრების (აქცია). არაფერი ძალიან რთული აქ. რაც მთავარია - დააკონკრეტა საჭირო ღირებულებებს პარამეტრების და მითითებული სწორი პორტი. ჩვეულებრივ, თქვენ შეგიძლიათ გამოიყენოთ პორტი 22, მაგრამ თუ მომხმარებელს იყენებს სპეციალური (ზოგიერთი ზემოთ სხვადასხვა სისტემები), ღირებულება შეიძლება შეიცვალოს თვითნებურად, მაგრამ მხოლოდ იმიტომ, რომ ეს პარამეტრი არ აღემატება დეკლარირებული ღირებულება, რომლის ზემოთაც პორტი ნომრები, უბრალოდ არ არის შესაძლებელი.

როდესაც თქვენ შეიქმნა კავშირები ასევე ყურადღება უნდა მიაქციოს პარამეტრების კლიენტის პროგრამა. ეს შეიძლება იყოს, რომ მისი პარამეტრების უნდა განსაზღვროს მინიმალური სიგრძეზე გასაღები (512), თუმცა რა, როგორც წესი, 768. ეს არის ასევე სასურველია მითითებული დროის შესვლისას შესახებ, რომ დონეზე 600 წამი და დისტანციური წვდომის ნებართვის root უფლებები. გამოყენების შემდეგ ეს პარამეტრები, თქვენ უნდა ასევე ნება დართოს გამოყენების ყველა ავტორიზაციის უფლება, გარდა იმ საფუძველზე გამოყენების .rhost (მაგრამ ეს აუცილებელია მხოლოდ სისტემურ ადმინისტრატორებს).

სხვა საკითხებთან ერთად, იმ შემთხვევაში, თუ მომხმარებლის სახელი რეგისტრირებული სისტემა, არ არის იგივე როგორც გააცნო მომენტში, ის უნდა იყოს მკაფიოდ გამოყენებით მომხმარებლის ssh master ბრძანება დანერგვა დამატებითი პარამეტრები (მათთვის, ვისაც გაგება, თუ რა დევს სასწორზე).

Team ~ / .Ssh / id_dsa შეიძლება გამოყენებულ იქნას ტრანსფორმაციის გასაღები და შიფრირების მეთოდი (ან RSA). უნდა შეიქმნას საჯარო გასაღები გამოიყენება კონვერტაციის გამოყენებით ხაზი ~ / .Ssh / identity.pub (მაგრამ არა აუცილებლად). მაგრამ, როგორც პრაქტიკა გვიჩვენებს, ყველაზე იოლი გზა გამოიყენოს ბრძანებები, როგორიცაა ssh-keygen. აქ საკითხის არსი მცირდება მხოლოდ იმ ფაქტს, რომ დაამატოთ გასაღები ხელმისაწვდომია ავტორიზაციის ინსტრუმენტები (~ / .Ssh / authorized_keys).

მაგრამ ჩვენ ძალიან შორს წავიდა. თუ თქვენ დაბრუნდეს პორტი პარამეტრების SSH საკითხი, როგორც უკვე ნათელია ცვლილება SSH პორტი ასე არ არის რთული. თუმცა, ზოგიერთ შემთხვევაში, ისინი ამბობენ, რომ მოუწევს ოფლი, იმიტომ, რომ საჭიროა გაითვალისწინოს ყველა ღირებულებების ძირითადი პარამეტრები. დანარჩენი კონფიგურაციის საკითხი boils ქვემოთ შესასვლელთან ნებისმიერი სერვერზე, ან კლიენტი პროგრამა (თუ ეს გათვალისწინებულია თავდაპირველად), ან გამოიყენოთ პორტის გადამისამართება როუტერი. მაგრამ მაშინაც კი, შეცვლის შემთხვევაში პორტში 22, რა, იგივე 443rd მკაფიოდ უნდა იყოს გაგებული, რომ ასეთი სქემა ყოველთვის არ მუშაობს, მაგრამ მხოლოდ იმ შემთხვევაში, თუ დაყენების იგივე add-in Jabber (სხვა ანალოგები გააქტიურება და მათი შესაბამისი პორტები, ის განსხვავდება სტანდარტული). გარდა ამისა, განსაკუთრებული ყურადღება უნდა მიექცეს პარამეტრი შექმნის SSH კლიენტი, რომელიც პირდაპირ ურთიერთქმედება SSH სერვერი, თუ ეს მართლაც უნდა გამოიყენოს არსებული კავშირი.

რაც შეეხება დანარჩენ, თუ პორტის გადამისამართება არ არის გათვალისწინებული თავდაპირველად (თუმცა სასურველია, რომ ასეთი ქმედებები), პარამეტრები და პარამეტრები მეშვეობით SSH, თქვენ ვერ შეცვლის. არსებობს არანაირი პრობლემა, როდესაც შექმნის დაკავშირებით, და მისი შემდგომი გამოყენება, ზოგადად, არ არის მოსალოდნელი (თუ, რა თქმა უნდა, არ იქნება გამოყენებული ხელით კონფიგურირება კონფიგურაციის სერვერზე დაფუძნებული და კლიენტი). ყველაზე გავრცელებული გამონაკლისების შექმნა წესების როუტერი გაძლევთ საშუალებას გამოსწორებას არანაირი პრობლემა და თავიდან მათ.