Ciamar a cho-fhigearadh agus a 'cleachdadh SSH port? Ceum air cheum iùl

Fhaighinn Shell, no giorrachadh mar SSH, tha e aon de na teicneòlasan adhartach dìon dàta ann an tar-chur. Tha cleachdadh a 'leithid de rèim air an aon mòdaim a' leigeil a-mhàin Chan eil an dìomhaireachd a sgaoileadh fiosrachaidh, ach cuideachd gus cabhag a chur an iomlaid pacaidean. Ach, chan eil fhios aig a h-uile duine fada ri fhosgladh an SSH port, agus carson a tha na h-uile a tha seo riatanach. Sa chùis seo, tha e riatanach a thoirt feumail a mhìneachadh.

Port SSH: dè a th 'ann agus carson a dh'fheumas sinn?

Bhon a tha sinn a 'bruidhinn mu dheidhinn tèarainteachd, sa chùis seo, fo SSH port gu bhith a' tuigsinn sianal shònraichte ann an cruth tunail, a tha a 'toirt seachad dàta a dhubh-cheileadh.

Tha a 'chuid as motha prìomhadail de sgeama seo tunail a tha fosgailte SSH-port air a chleachdadh le prògram bunaiteach airson dhubh dàta aig an tobar agus an dì-cheileadh air an endpoint. Faodaidh seo a bhith air a mhìneachadh mar a leanas: a bheil thu 'ga iarraidh no nach eil, a chraoladh trafaig, eu-coltach ris an IPSec, dubh-cheileadh fo cho-èigneachadh agus an toradh a-uidhe an lìonraidh, agus air a' ghabhadain taobh na slighe a-steach. Airson cheileadh am fiosrachadh seo a chraoladh air an t-sianal, a 'faighinn an-uidhe sònraichte a' cleachdadh key. Ann am briathran eile, gus eadraiginn ann an gluasad no cron air iomlanachd na tar-chur an dàta an-dràsta aon chan urrainn gun phrìomh.

Dìreach fosglaidh SSH-port air mòdaim sam bith no le bhith a 'cleachdadh an suidheachaidhean iomchaidh a bharrachd neach-dèiligidh eadar-obrachadh dìreach leis a' SSH-fhrithealaiche, a 'leigeil leat gu h-iomlan a' cleachdadh a h-uile fheartan nuadh lìonra siostaman tèarainteachd. Tha sinn an seo air mar a chleachdas e port a tha air a shònrachadh le dearmad no custom shuidheachaidhean. Tha iad sin a crìochan anns an t-iarrtas a dh'fhaodadh a 'coimhead doirbh, ach gun tuigse na buidhne leithid de ceangal nach eil gu leòr.

Coitcheann SSH port

Ma tha, gu dearbh, stèidhichte air na crìochan sam bith de na mòdaim toiseach, bu chòir co-dhùnadh an t-òrdugh, dè an seòrsa bathar-bog a thèid a chleachdadh airson cur thuige a 'cheangal seo. Gu dearbh, a 'default SSH port dh'fhaodas a bhith aig diofar shuidheachaidhean. H-uile càil an crochadh air dè an dòigh a thathar a 'cleachdadh aig an àm (ceangal dìreach ris an frithealaiche, stàladh a bharrachd port-dèiligidh agus mar sin air adhart. D.).

Mar eisimpleir, ma tha an neach-dèiligidh a chleachdadh Jabber, airson ceanglaichean ceart, crioptachadh, agus dàta gluasad port 443 gu bhith air a chleachdadh, ged a tha an embodiment suidhichte ann an inbhe port 22.

Airson ath-shuidheachadh an mòdaim a 'riarachadh airson prògram sònraichte no a làimhseachadh riatanach h tha a' cluich port air adhart SSH. Dè tha seo? 'S e an adhbhar sònraichte cothrom air aon phrògram a' cleachdadh an eadar-lìon, a dh'aindeoin dè an suidheachadh a tha an-dràsta pròtacal iomlaid dàta (IPv4 no IPv6).

teicnigeach fìreanachadh

Coitcheann SSH port 22 chan eil e daonnan air an cleachdadh mar a bha e soilleir mar-thà. Ach, seo e riatanach a riarachadh gu cuid de na feartan agus na roghainnean a chleachdadh aig àm an stàladh.

Carson dàta air a chrioptachadh dìomhaireachd pròtacal a 'cleachdadh SSH mar dìreach taobh a-muigh (aoigh) Cleachdaiche port? Ach a-mhàin a chionn 'tunaileadh thathar a' cur e a 'leigeil a' cleachdadh cho-ainm iomallach shell (SSH), gus faighinn a-steach an-uidhe stiùireadh tro iomallach logadh a-steach (slogin), agus cur a-steach iomallach lethbhreac modh (scp).

A thuilleadh air sin, SSH-port faodar a chur an gnìomh ann an cùis far a bheil an neach-cleachdaidh a tha a dhìth gus gnìomh iomallach sgriobtaichean X Windows, a tha ann an sìmplidhe bheil a 'chùis a ghluasad fiosrachaidh bho aon inneal eile, mar a chaidh a ràdh, le' fheudar dàta a dhubh-cheileadh. Ann an suidheachaidhean mar sin, a 'chuid as motha a dh'fheumar a' cleachdadh stèidhichte air an AES algairim. 'S e seo symmetric algairim crioptachadh, a chaidh a thoirt seachad an toiseach ann an SSH teicneòlas. Agus ga cleachdadh chan ann a mhàin comasach ach riatanach.

Eachdraidh an tuigse

Tha teicneòlas air nochdadh airson ùine fhada. Leig dhuinn fhàgail leth-taobh a 'cheist ciamar a dhèanadh icing SSH port, agus a' cuimseachadh air mar a tha a h-uile oibre.

Mar as trice tha e a 'tighinn sìos gu, a' cleachdadh neach-ionaid air bunait Socks no a 'cleachdadh VPN tunaileadh. Ann an cùis cuid bathar-bog iarrtas urrainn ag obair le VPN, b 'fheàrr a thaghadh an roghainn seo. Tha an fhìrinn gu bheil cha mhòr a h-uile prògraman ainmeil an-diugh a 'cleachdadh an eadar-lìon trafaig, an VPN urrainn obair, ach gu furasta càbaladh rèiteachaidh eil. Tha seo, mar ann an cùis na frithealaichean progsaidh, a 'leigeil a' fàgail taobh a-muigh seòladh an ceann-uidhe bhon a tha an-dràsta a dhèanamh ann an toradh lìonraidh, gun aithneachadh. 'S e sin a' chùis leis an neach-ionaid an t-seòladh a tha daonnan ag atharrachadh, agus VPN dreach fhathast atharrachadh leis an fixation àraidh sgìre, eile seach an tè far a bheil casg air ruigsinneachd.

Tha an dearbh teicneòlas a 'tabhann SSH phort, chaidh a leasachadh ann an 1995 ann an Oilthigh Teicneòlais ann am Fionnlainn (SSH-1). Ann an 1996, gun deach leasachaidhean a chur ris ann an riochd SSH-2 ghnàths, a bha gu math bitheanta ann an dreuchd an-Sòbhieteach àite, ged airson seo, a thuilleadh air ann an cuid de Siar na dùthchannan Eòrpach, uaireannan tha e riatanach cead fhaighinn gus seo a chleachdadh tunail, agus bho buidhnean riaghaltais.

Tha prìomh bhuannachd a bhith a 'fosgladh SSH-phort, seach telnet no rlogin, a tha a' cleachdadh ainmean-sgrìobhte digiteach no RSA DSA (a 'cleachdadh paidhir fosgailte agus a thiodhlacadh key). A bharrachd, ann an suidheachadh seo faodaidh tu a 'cleachdadh cho-ainm an seisean stèidhichte air prìomh Diffie-Hellman algairim, a tha a' gabhail a-steach a 'cleachdadh crioptachadh symmetric toradh, ged nach eil bacadh air an cleachdadh crioptachadh asymmetric-aontaran rè sgaoileadh fiosrachadh agus fàilteachaidh le inneal eile.

Frithealaichean agus sligean

Air Windows no Linux SSH-port fosgailte chan eil e cho doirbh. Tha an aon cheist, dè an seòrsa Innealan airson an adhbhair seo thèid a chleachdadh.

Anns an t-seagh seo tha e riatanach gus aire a thoirt don a 'chùis fiosrachaidh sgaoilidh agus dearbhaidh. An toiseach, am pròtacal fhèin gu leòr air an dìon tro cho-ainm 'faighinn lorg, a tha a' chuid as àbhaist "wiretapping" trafaig. SSH-1 a bhith so-leònte ri ionnsaighean. -Tharraingeach ann am pròiseas a 'gluasad dàta ann an riochd sgeama "duine ann am meadhan" Bha toraidhean. Dh'fhaodadh fiosrachadh a bhith dìreach a stad agus gu math dhut bhunaiteach. Ach an dàrna dreach (SSH-2) air a bhith a dìon an seòrsa seo de theachd, ris an canar seisean hijacking, taing do dè tha as mòr-chòrdte.

tèarainteachd casg

Mar airson tèarainteachd a thaobh an tar-chur agus a fhuair dàta, a 'bhuidheann air ceanglaichean a stèidheachadh le cleachdadh teicneòlas leithid a' toirt cothrom a sheachnadh a leanas fhuasgladh:

• comharrachadh prìomh gus an òstair aig an tar-chur cheum, 'nuair a "boillsgeadh» meòir;
• Taic airson Windows agus Unix coltach siostaman;
• ionadachadh de seòlaidhean IP agus DNS (spoofing);
• intercepting fosgailte facal-faire le cothrom corporra air dàta seanail.

Gu dearbh, a 'bhuidheann gu lèir air siostam leithid seo a thogail air prionnsapal "neach-dèiligidh-server", is e sin, an toiseach a h-uile neach-cleachdaidh a' choimpiutair tro prògram sònraichte no tuilleadan ann an gairmean air an fhrithealaiche, a bhios a 'co-fhreagarrach air a stiùireadh gu seòladh.

tunaileadh

Tha e a 'Goes Without Saying a' cur an gnìomh an co-cheangal de seòrsa seo ann an sònraichte feumaidh an dràibhear a bhith air a chur air an t-siostam.

Mar as trice, ann an Windows siostaman stèidhichte air a thogail a-steach do phrògram slige dràibhear Microsoft Teredo, a tha na sheòrsa de virtual emulation dhòigh IPv6 ann an lìonraidhean a 'toirt taic IPv4 a-mhàin. Tunnel default adapter gnìomhach. Anns an tachartas co-cheangailte ri fàilligeadh e, faodaidh tu dìreach a dhèanamh air an t-siostam ath-thòiseachaidh no a 'coileanadh a shutdown agus ath-thòiseachadh bho àitheantan an àithne a' chlàir. Airson à gnìomh leithid loidhnichean air an cleachdadh:

• netsh;
• teredo seata eadar-aghaidh na stàite a chur à comas;
• isatap staid eadar-aghaidh a chur à comas.

An dèidh tighinn a-steach an àithne a bu chòir ath-thòiseachadh. Airson ath-cothrom do na adapter agus sùil ri inbhe na ciorramach an àite an cothrom a thoirt do Chlàran cead, an dèidh a, a-rithist, bu chòir ath-thòiseachadh an siostam gu lèir.

SSH-fhrithealaiche

A-nis a 'leigeil fhaicinn mar a tha an SSH port air a chleachdadh mar a' phrìomh, a 'tòiseachadh bhon sgeama "neach-dèiligidh-fhrithealaiche." The default mar as trice air a chur an gnìomh 22 mionaid port, ach, mar a dh'ainmichear gu h-àrd, faodar a chleachdadh agus an 443rd. Tha an aon cheist ann an roghainn air an fhrithealaiche fhèin.

As cumanta SSH-frithealaichean air a mheas a bhith na leanas:

• airson Windows: Tectia SSH Server, OpenSSH le Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• airson FreeBSD: OpenSSH;
• airson Linux: Tectia SSH Server, ssh, openssh-fhrithealaiche, lsh-fhrithealaiche, dropbear.

Uile de na frithealaichean a tha saor an-asgaidh. Ach, faodaidh tu lorg agus phàigh seirbheisean a thoirt seachad fiù 's barrachd ìrean tèarainteachd, a tha riatanach airson a' bhuidheann de lìonra cothrom agus fiosrachadh tèarainteachd ann an iomairtean. Tha a 'chosgais a leithid de sheirbheisean nach eil a dheasbad. Ach anns an fharsaingeachd faodaidh sinn a ràdh gu bheil e caran daor, fiù 's ann an coimeas ri an stàladh sònraichte bathar-bog no "cruaidh" cachaileith-theine.

SSH-dèiligidh

Atharrachadh SSH port a dhèanamh air bun-stèidh an neach-dèiligidh prògram no an suidheachaidhean iomchaidh nuair port sìneadh air do mòdaim.

Ach, ma tha thu beantuinn an neach-dèiligidh shligean, a leanas bathar-bog a chleachdadh airson diofar siostaman:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD msaa.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux agus BSD: lsh-dèiligidh, kdessh, openssh-dèiligidh, Vinagre, putty.

Dearbhachaidh tha stèidhichte air an iuchair phoblach, agus atharrachadh a 'phort

A-nis beagan fhaclan mu mar a tha an dearbhadh agus a 'cur suas fhrithealaiche. Anns a 'chùis sìmplidhe, feumaidh tu a' cleachdadh faidhle rèiteachaidh (sshd_config). Ach, faodaidh tu a dhèanamh às aonais, mar eisimpleir, ann an cùis de phrògraman leithid PuTTY. Atharrachadh SSH port bho default luach (22) sam bith eile a tha gu tur bhunaiteach.

Tha a 'phrìomh rud - a' fosgladh phort àireamh chan eil nas motha na luach 65535 (nas àirde puirt dìreach nach eil ann an nàdar). A bharrachd, bu chòir aire a thoirt don cuid fosgailte puirt bho thùs, a ghabhas cleachdadh le luchd-dèiligidh mar MySQL no FTPD stòran-dàta. Ma tha thu a shònrachadh dhaibh airson SSH rèiteachaidh, gu dearbh, tha iad dìreach a 'stad a bhith ag obair.

'S fhiach e toirt fa-near gu bheil an aon Jabber neach-dèiligidh feumar a bhith a' ruith anns an aon àrainneachd cleachdadh SSH-fhrithealaiche, mar eisimpleir, air inneal-mas-fhìor. Agus as fhrithealaiche localhost Feumaidh luach a shònrachadh gu 4430 (an àite 443, mar a dh'ainmichear gu h-àrd). Tha seo a 'rèiteachadh Faodar a chleachdadh nuair cothrom air na prìomh faidhl jabber.example.com bacadh le cachaileith-theine.

Air an làimh eile, a 'gluasad puirt urrainn a bhith air an mòdaim a' cleachdadh an rèiteachaidh a-aghaidh leis a 'cruthachadh ach a-mhàin ri na riaghailtean. Anns a 'chuid as motha modailean a-steach tro na seòlaidhean a-steach a' tòiseachadh le 192,168 ris 0.1 no 1.1, ach routers còmhla comasan ADSL-modems mar Mikrotik, ceann-seòladh a 'cleachdadh 88,1.

Anns a 'chùis seo, a' cruthachadh riaghailt ùr, agus an uair sin a 'suidheachadh an riatanach crìochan, mar eisimpleir, a stàladh an taobh a-muigh co-cheangailte DST-nat, a thuilleadh air làimh òrdaichte puirt nach eil fo fharsaingeachd agus ann an earrann Iomairteachd Roghainnean (Gnìomh). Nothing ro iom-fhillte seo. Tha a 'phrìomh rud - gus sònrachadh a tha a dhìth luachan de shuidheachaidhean agus chuir ceart a' phort. Le bhith a 'default, faodaidh sibh a' cleachdadh port 22, ach ma tha an luchd-cleachdaidh a 'cleachdadh shònraichte (cuid de na h-àrd airson diofar siostaman), an luach a dh'fhaodas a bhith air atharrachadh arbitrarily, ach a-mhàin mar sin seo paramadair Chan eil nas àirde na an cèill luach, gu h-àrd a tha a' phort-àireamhan a tha dìreach nach eil ri fhaotainn.

Nuair a bhios tu a stèidheachadh cheanglaichean cuideachd a 'pàigheadh, bu chòir aire gu na crìochan an neach-dèiligidh phrògram. 'S dòcha gur ann a suidheachaidhean a bhith a' sònrachadh a 'char as lugha fad an key (512), ged a tha bunaiteach a tha mar as trice air a shuidheachadh 768. Tha e cuideachd feumail a chur an timeout logadh a-steach air an ìre de 600 diogan agus iomallach cothrom cead le freumh an còirichean. An dèidh a bhith a 'cleachdadh na suidheachaidhean seo, feumaidh tu cuideachd a' ceadachadh cleachdadh na h-uile dearbhadh còraichean, seach an fheadhainn a tha stèidhichte air cleachdadh .rhost (ach tha e riatanach a-mhàin ri siostam rianachd).

Am measg rudan eile, ma tha an neach-cleachdaidh ainm a chlàradh san t-siostam, nach 'eil an aon rud' sa thoirt a-steach aig an àm seo, feumaidh e bhith air a shònrachadh gu soilleir, a 'cleachdadh an neach-cleachdaidh ssh mhaighstir àithne le toirt a-steach a bharrachd crìochan (airson daoine a tha a' tuigsinn dè a tha ann an cunnart).

Sgioba ~ / .ssh / id_dsa faodar a chleachdadh airson cruth-atharrachadh de na prìomh agus a 'dubh-cheileadh dòigh (no RSA). Airson chruthachadh iuchair phoblach a chleachdadh leis an iompachadh, a 'cleachdadh an loidhne ~ / .ssh / identity.pub (ach chan eil an-còmhnaidh). Ach, mar a chleachdadh a 'sealltainn, an dòigh as fhasa a chleachdadh àitheantan mar ssh-keygen. Seo brìgh a 'chùis air a lùghdachadh a-mhàin ri an dearbh, a chur ris na prìomh ri fhaotainn innealan dearbhaidh (~ / .ssh / authorized_keys).

Ach tha sinn air a dhol ro fhada. Ma tha thu a 'dol air ais gu port roghainnean SSH chùis, mar a tha air a bhith soilleir atharrachadh SSH port chan eil e cho doirbh. Ach, ann an cuid de shuidheachaidhean, tha iad ag ràdh, bidh agaibh ri fallas, a chionn an fheum a ghabhail a-steach a h-uile luachan prìomh crìochan. Tha an còrr den rèiteachadh a 'chùis, ge-tà sìos dhan doras a-steach sam bith air an fhrithealaiche no neach-dèiligidh prògram (ma tha e air a thoirt seachad an toiseach), no a' cleachdadh port sìneadh air an mòdaim. Ach fiù 's ann an cùis atharrachadh phort 22, bunaiteach, ris an aon 443rd, bu chòir tuigsinn gu bheil an sgeama sin chan eil e daonnan ag obair, ach a-mhàin ann an cùis a' stàladh an aon tuilleadan ann Jabber (eile analogs urrainn a chur an gnìomh agus fa leth aca puirt, Tha e eadar-dhealaichte bho na h-ìre). A bharrachd, bu chòir aire shònraichte a thoirt paramadair suidheachadh SSH-dèiligidh, a bhios a dìreach eadar-obrachadh leis an fhrithealaiche-SSH, ma tha e coltach gu làithreach a chleachdadh an co-cheangal.

Mar airson a 'chòrr, ma tha port air adhart nach eil e a' toirt seachad an toiseach (ged a tha e feumail gu 'coileanadh gnìomhan leithid), suidheachaidhean agus na roghainnean airson cothrom tro SSH, chan urrainn dhut atharrachadh. Tha duilgheadasan sam bith nuair a bhios a 'cruthachadh co-cheangailte, agus a' toirt barrachd feum, san fharsaingeachd, nach eil e an dùil (mura h-eil, gu dearbh, cha tèid a chleachdadh làimh rÄ iteachadh an rèiteachadh an fhrithealaiche a tha stèidhichte agus an neach-dèiligidh). As cumanta ach a-mhàin airson a 'cruthachadh riaghailtean air an mòdaim a' leigeil dhuibh ceartachadh dhuilgheadasan sam bith no a 'seachnadh iad.