Wednesday, October 18th, 2017

Краткое введение в SSH

Published on Апрель 23, 2009 by   ·   Комментариев нет

Как перезагрузить компьютер, находясь за пару тысяч километров от него
или выполнить другие действия удаленно и безопасно? Ответ на эти вопросы
— протокол SSH.

SSH (Secure Shell) — это сетевой протокол, используемый для удаленного
управления компьютером и для передачи файлов. SSH похож по функциональности
на протоколы telnet и rlogin, но, в отличие от них, шифрует весь трафик,
включая и передаваемые пароли.

SSH позволяет передавать через безопасный канал любой другой сетевой
протокол, таким образом, можно не только удаленно работать на компьютере,
но и передавать по шифрованному каналу звуковой поток или видео (например,
с веб-камеры). Также, SSH может использовать сжатие передаваемых данных
для последующей их шифрации.

Большинство хостинг-провайдеров за определенную плату предоставляют
клиентам доступ к их домашнему каталогу по SSH. Это очень удобно как
для работы в командной строке, так и для удаленного запуска графических
приложений. Через SSH можно работать и в локальной сети. Если вам лень
ходить к серверам — администрируйте их удаленно, используя любой SSH-клиент.

SSH-клиенты и SSH-сервера написаны под большинство платформ: Windows,
Linux, Mac OS X, Java, Solaris, Symbian OS, Windows Mobile и даже Palm OS.

Первая версия протокола, SSH-1, была разработана в 1995 году исследователем
Tatu Yl'nen из Технологического университета Хельсинки, Финляндия. SSH-1 был
написан для обеспечения большей конфиденциальности, чем протоколы rlogin,
telnet и rsh. В 1996 году была разработана более безопасная версия протокола,
SSH-2, уже несовместимая с SSH-1. Протокол приобрел еще большую популярность
и к 2000 году его использовало уже порядка двух миллионов пользователей.
В 2006 году протокол был утвержден рабочей группой IETF в качестве Интернет-
стандарта.

Однако, до сих пор в некоторых странах (Франция, Россия, Ирак и Пакистан)
требуется специальное разрешение в соответствующих структурах для использования
определенных методов шифрования, включая SSH. См. закон Российской Федерации
«О федеральных органах правительственной связи и информации».

Распространены две реализации SSH: коммерческая (закрытая) и свободная
(открытая). Свободная реализация называется OpenSSH. К 2006 году
80% компьютеров Интернет использовало именно OpenSSH. Коммерческая реализация
разрабатывается организацией SSH Inc., http://ssh.com/ — закрытая реализация,
бесплатная для некоммерческого использования. Свободная и коммерческая
реализации SSH содержат практически одинаковый набор команд.

Существуют две версии протокола SSH: SSH-1 и SSH-2. В первой версии
протокола есть существенные недостатки, поэтому в настоящее время SSH-1
практически нигде не применяется … Наверное, вы помните знаменитый эпизод
из фильма «Матрица-2: Перезагрузка», в котором Тринити использует эксплоит
SSHNuke для взлома городской электростанции? Вначале она нашла уязвимый
SSH-сервер, просканировав сеть программой Nmap. Затем, через «дыру»
«SSH1 CRC2», она получила максимальные права доступа к этому серверу.

Многие взломщики сканируют сеть в поиске открытого порта SSH, особенно —
адреса хостинг-провайдеров. Так, сразу после запуска своего выделенного
сервера, в течение первых двух часов, я получил две попытки подбора пароля
суперпользователя по ssh. Причем, для никому неизвестного сервера. Так что,
в целях безопасности — запрещайте доступ по ssh для суперпользователя.
Обычно злоумышленники подбирают именно пароль суперпользователя [6].
См. ниже рекомендации по безопасности использования SSH.

Протокол SSH-2 устойчив в атакам «man-in-middle», в отличие от протокола
telnet. То есть, прослушивание трафика, «снифинг», ничего не дает
злоумышленнику. Протокол SSH-2 также устойчив к атакам путем присоединения
посредине (session hijacking) и обманом сервера имен (DNS spoffing).

Интересно заметить, что некоторые провайдеры до сих пор используют SSH-1.
Например, российский хостигновый провайдер ValueHost, http://valuehost.ru/.

Далее по тексту, мы будем иметь ввиду под SSH вторую версию протокола, SSH-2.

SSH-сервера
Debian GNU/Linux: dropbear, lsh-server, openssh-server, ssh
MS Windows: freeSSHd, OpenSSH sshd, WinSSHD, ProSHHD, Dropbear SSH Server

SSH-клиенты и оболочки
Debian GNU/Linux: kdessh, lsh-client, openssh-client, putty, ssh
MS Windows: PuTTY, SecureCRT, ShellGuard, Axessh, ZOC, SSHWindows, ProSSHD
Mac OS: NiftyTelnet SSH
Symbian OS: PuTTY
Java: MindTerm, AppGate Security Server

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает
соединения от клиентских машин и при установлении связи производит
аутентификацию, после чего начинает обслуживание клиента. Клиент используется
для входа на удаленную машину и выполнения команд.

Предположим, что сервер у нас настроен и работает. Для подключения клиента
требуется сгенерировать пару из открытого и закрытого ключей [3]. Если
Вы используете PuTTY под Windows — это делается утилитой puttygen.exe.
Под Linux обычно используется команда puttygen (для PuTTY) или ssh-keygen
(для OpenSSH). Далее указываем клиенту — где находится закрытый ключ,
и соединяемся с вводом пароля. Возможно также беспарольное соединение,
а чем упомянуто ниже.

Рекомендации по безопасности использования SSH:
1. Запрещение удаленного root-доступа.
2. Запрещение подключения с пустым паролем или отключение входа по паролю.
3. Выбор нестандартного порта для SSH-сервера.
4. Использование длинных SSH2 RSA-ключей (2048 бит и более). По состоянию
на 2006 год система шифрования на основе RSA считалась надёжной,
если длина ключа не менее 1024 бит. *) (см. КОММЕНТАРИЙ В КОНЦЕ ТЕКСТА)
5. Ограничение списка IP-адресов, с которых разрешен доступ. Например,
настройкой файрвола.
6. Запрещение доступа с некоторых, потенциально опасных адресов.
7. Отказ от использования распространенных или широко известных системных
логинов для доступа по SSH.
8. Регулярный просмотр сообщений об ошибках аутентификации.
9. Установка детекторов атак (IDS, Intrusion Detection System).
10. Использование ловушек, подделывающих SSH-сервис (honeypots) [6].

Как подключиться к удаленному серверу из Linux или FreeBSD? Команда
подключения к локальному SSH-серверу из командной строки для пользователя
pacify (сервер слушает нестандартный порт 30000):

$ ssh -p30000 pacify@127.0.0.1

Под Windows можно воспользоваться программой PuTTY. Она имеет простой
графический интерфейс, через который удобно настраивать подключения.
На вкладке SSH\Auth надо выбрать закрытый ключ, который будет
использоваться PuTTY.

К удаленному компьютеру можно подключиться по SSH, не вводя пароль,
а используя открытый ключ. Разумеется, открытый ключ лучше передавать
на сервер по защищенному каналу. Более подробно беспарольная аутентификация
с использованием открытого ключа описана в статье [3].

Генерация пары SSH-2 RSA-ключей длиной 4096 бита программой puttygen
под Linux/UNIX надо выполнить команду:

$ puttygen -t rsa -b 4096 -o sample

Под Windows у этой программы (puttygen.exe) есть пользовательский интерфейс.

Если Вам нужно реализовать действия, не выполняемые стандартными SSH-
клиентами — Вы можете написать свой SSH-сервер или SSH-клиента. Для их быстрого
написания я рекомендую использовать язык Python и модули python-paramiko,
либо python-twisted-conch. Простейший SSH-сервер получается размером в сотню
строчек.

автор: Лубягин Александр Валерьевич

Need get your ex back? visit wikiexback.com and buy pro version of advise

источник: http://lubyagin.discrete.ru/ssh-intro.html

zp8497586rq

























































































Смотрите также:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]