څنګه عيارولو او SSH بندر وکاروي؟ ګام په ګام لارښود

د خوندي کولو Shell، او يا هم د SSH کیدنی، دا په د لیږد تر ټولو پرمختللې ټکنالوژۍ مالوماتو د ساتنې یو. د داسې یوه رژیم د استعمال په همدغه راوټر نه یوازې د خپرېږي معلوماتو د محرمیت ته اجازه ورکوي، خو هم د پاکټونه د تبادلې چټکتیا. خو د هر چا نه تر اوسه په توګه د SSH بندر دابرخه پوهيږي، او دا چې ولې د ټولو ضروري ده. په دې صورت کې دا ضروري ته د رغنده توضیحات ورکړي دی.

بندر SSH: دا څه دي او ولې موږ ته اړتيا لري؟

څرنګه چې موږ د امنيت په اړه خبرې کوي، په دې صورت کې، د SSH بندر له مخې د یوه تونل په بڼه، چې برابروي ډاټا د ډالۍ چینل پوه شي.

د دغه تونل تر ټولو ابتدايي پلان دا دی چې د يو خلاص SSH-بندر دی چې په سرچينه او ناکوډول په endpoint مالومات کوډولو په تلواله کارول. آيا تاسو دا غواړئ او يا نه، خپرېږي د ترافيکو، د IPSec خلاف، لاندې جبر او د شبکې د محصول ترمینل کوډ شوی، او د د دروازې په ترلاسه خوا: دا کولای شي په لاندې توګه تشريح شي. د معلوماتو د خپرېږي په دې چینل ناکوډه، د ترمينل د ترلاسه کولو یوه ځانګړې مهمو کاروي. په بل عبارت، د انتقال په مداخله او يا په شېبه یو پرته د یو مهم نه شي د خپرېږي معلوماتو د بشپړتيا له خطر سره.

یوازې هر راوټر يا له خوا د اضافي مراجعینو د مناسب چاپيريال په کارولو SSH-بندر سره د SSH-Server په مستقيمه توګه د پرانیستلو په تعامل، تاسو ته اجازه درکوي په بشپړه توګه د عصري شبکې امنیتي سیستمونو د ټولو مشخصاتو د کارولو څخه. موږ دلته په څه ډول د يوه بندر چې د ده په تلواله یا دودیز ترتیبات ګمارل ګټه دي. په درخواست دا پارامترونو ښايي ستونزمن ته وګورو، خو د دا ډول په تړاو د سازمان د یو تفاهم پرته کافي نه ده.

معياري SSH بندر

که، په حقيقت کې، پر بنسټ د راوټر کوم د پارامترونو باید لومړی په امر تعين، د سافټ څه ډول به د دې لینک فعالول وکارول شي. په حقیقت کې، د افتراضي SSH بندر کولای شي د مختلفو امستنې لري. هر څه طريقه داسې ده چي په شېبه کارول (د سرور مستقیم تړاو، اضافي موکل بندر ورکړې او داسې نور. D. نصبولو) پورې تړاو لري.

د بېلګې په توګه، که د مراجعينو کارول Jabber، د صحيح اړيکې، کوډ کړې، او د معلوماتو د انتقال بندر 443 ده چې وکارول شي، که څه هم د پورتني بحث په معياري بندر 22 ټاکل شوې ده.

د دې لپاره چې د يو ځانګړي پروګرام ته د تخصيص د راوټر سره ورغوي او يا د پروسې اړين شرايط ترسره لري بندر ورکړې SSH. دا څه دي؟ دا د يوه پروګرام دی چې د انترنت په تړاو کاروي یو ځانګړي لاسرسي په موخه، چې په پام کې ده د روان جوړولو پروتوکول په بدل کې د معلوماتو (IPv4 یا IPv6).

تخنیکي توجیه

معياري SSH بندر 22 نه تل کارول په توګه دا لا روښانه وه. خو دلته دا د ځانګړنو او د امستنو تشکیلاتو په ترڅ کې کارول ځينې ځانګړې ضروري ده.

ولې د کوډ شوې ډاټا د محرمیت پروتوکول کې د يو سوچه خارجي (مېلمه) د کارونکي بندر په توګه د SSH د کارولو؟ مګر فقط ځکه چې تونل د اجرا وړ ده چې دا اجازه ورکوي چې د یوه تش په نامه پرتو مرمۍ (SSH) کارول، پرتو login (slogin) له لارې چې د ترمينل مدیریت لاس رسي پيدا کړي، او د لرې پرتو کاپي طرزالعمل (SCP) درخواست.

برسېره پر دې، SSH-بندر په هغه صورت کې چې له لرې پرتو سکرېپټونو X وينډوز، چې په ساده قضيه له یوه ماشین بل ته د معلوماتو د انتقال، په توګه ویلي دي، سره د اجباري ډاټا د اعدام د کارونکي ضروري ده فعاله شي. په داسې حالاتو کې، تر ټولو ضروري به د AES الګوریتم پر بنسټ کار اخلی. دا یو د ډېرګوټې الګوریتم، چې په اصل کې په SSH ټکنالوژي برابر. او کارونې دا نه یوازې د امکان خو ضروري.

د تحقق تاریخ

د ټکنالوژۍ لري د اوږدې مودې لپاره راښکاره شو. راځئ چې يوې خواته د څنګه icing SSH بندر لپاره د پوښتنې څخه ووځي او په څه ډول دا ټول کارونه باندې تمرکز وکړي.

معمولا دا ته راځي، چې د جرابې پر بنسټ د پراکسي وکاروي او يا VPN تونل وکاروي. په هغه صورت کې د ځينو سافټ غوښتنلیک سره VPN په کار، په ښه توګه د دې انتخاب غوره کړي. دا حقيقت چې نن تقريبا په ټولو مشهور پروګرامونه د انټرنېټ د ترافيکو وکاروي، د VPN کار کولی شي، خو په اسانۍ سره مسير سازونې نه دی. دا، لکه چې په د نیابتي سرور په صورت کې، اجازه ورکوي تر څو د ترمينل څخه چې په کې د محصول د شبکې، ناپېژندل اوس توليد بهرنۍ پته ووځي. چې د ده سره د نیابتي پته موضوع تل د بدلون، او د VPN نسخه پاتې ده سره د يو ټاکلي سیمې د تثبيت، په پرتله د يو چې پر لاسرسي بنديز شته دی د نورو د تېرې.

د ډېر ورته ټکنالوژي چې د SSH بندر وړاندې کوي، چې په کې د فنلنډ د ټکنالوژۍ د پوهنتون (SSH-1) په 1995 کال کې جوړ شو. په 1996 کال، د ښه والي د SSH-2 پروتوکول، چې د شوروي له وتلو وروسته فضا په خورا پراخه وه په بڼه زياته شوي دي، که څه هم، همدا شان په ځينو غربي اروپايي هېوادونو لپاره، چې دا د دې تونل د اجازې په ترلاسه کولو وختونه ضروري ده، او له حکومتي ادارو.

د SSH-بندر د پرانیستلو، په توګه د telnet یا rlogin مخالفت اصلي ګټه، د ډیجیټل لاسليکونه RSA یا اس (د پرانيستې يوه جوړه او د يوه ښخ مهمو کارول) د استعمال. سربیره پر دې، په دې حالت کې تاسو کولای تش په نامه غونډې پر بنسټ Diffie-Hellman الګوریتم، چې د یو د ډېرګوټې کوډ کړې محصول د استعمال شامل مهمو وکاروي، که څه هم د معلوماتو د بل ماشین د لیږد او د استوګنې پر مهال د نابرابرو کوډ کړې الگوريتم د کارولو نه منعه کيږي.

سرور او مرمۍ

په وينډوز یا لینوکس SSH-بندر خلاص دومره سخت نه دی. د یوازې پوښتنه دا ده چې، د دې هدف لپاره څه د وسیلې ډول به وکارول شي.

په دې مفهوم دا ضروري ته د معلوماتو د لیږد او کره توب موضوع ته پاملرنه ده. لومړی، د پروتوکول پخپله په کافي اندازه د تش په نامه مربينو، چې د ترافیکو د تر ټولو معمول "تجهيزېدو" خوا ساتل. SSH-1 ثابته کړه چې د بريدونو په خطر کې وي. په کې د "په منځني سړي" د يو پروګرام په بڼه د معلوماتو د انتقال په پروسه کې لاسوهنه خپل پايلې يې درلودلي دي. معلومات کیدای شي په ساده intercept او خورا elementary لوستلی شو. خو د دوهم نسخه (SSH-2) شوی معافيتي د مداخلې په دې ډول، د غونډې یوه مسافر نوم مشهوره ده، مننه ته څه دی تر ټولو مشهور دي.

میرمني د امنيت

لکه څنګه چې په د خپرېږي او ترلاسه مالومات درناوي د امنیت لپاره، د اړيکو رامنځته سره د دا ډول تکنالوژي په استعمال سره د سازمان ته اجازه ورکوي د لاندې ستونزو مخنيوی:

• په انتقالي پړاو د کوربه، یو کله چې "انځور» د ګوتې تشخيص مهم؛
• د وينډوز او يونېکس په څېر سيستمونو څخه ملاتړ کوي؛
• د معنوي او ډی ادرسونو (spoofing) عوض؛
• intercepting خلاص پټنوم سره د معلوماتو د چینل فزیکي ته لاسرسی لري.

په حقیقت کې، د داسې یو سیستم ټول سازمان د "Client-Server" د اصل په دی جوړ شوی، چې د ده، د يوه ځانګړي پروګرام یا add-کې چې د سرور، چې د اړونده بیالورولو توليدوي اړیکو له لارې لومړی د کارونکي ټول کمپيوټر.

تونل

دا ځي پرته وايي، چې په یوه ځانګړې چلوونکي د دې ډول د په تړاو د پلي کولو باید په سیستم نصب شي.

په خاصه توګه، په وينډوز په بنسټ د سيستمونو جوړ پروګرام مرمۍ چلوونکی مایکروسافټ Teredo، چې د ده په شبکو یوازې IPv4 د ملاتړ د IPv6 مجازی مرجع وسيله یو ډول په دی. د تونل د تلوالیزه اړونی دی فعال دي. د هغې سره تړلي د ناکامۍ په صورت کې، تاسو کولای شي چې یوازې په یو سیستم بیاچالان لپاره او یا د ګل ترسره کړي او د قوماندې د Console څخه د قومندې بيا پېل کړئ. د خنثی کړي لکه کرښو کارول کیږي:

• netsh؛
• د ليدنمخ teredo ټولګه دولت ناچارن؛
• د ليدنمخ isatap جوړ دولت ناچارن شوی.

تر قوماندې باید پېل کړئ ننوتلو وروسته. د اړونی د بيا جوګه او د توان راجسترونو جواز پر ځای د معلولينو د حالت وګورئ، چې له هغه وروسته، يو ځل بيا، باید د ټول سيستم بيا پېل کړئ.

SSH-Server

اوس راځئ چې د وګورئ چې څنګه د SSH بندر د اصلي په توګه کارول کیږي، د پروګرام "Client-Server" څخه پیل. تلوالیزه معمولا استعمال 22 دقیقو بندر، خو، لکه چې پورته يادونه وشوه، کولای شي وکارول شي او د 443rd. د د سرور په خپله د غوره یوازې پوښتنه.

ډير عام SSH-سرور ګڼل لاندې وي:

• د وينډوز: Tectia SSH سرور، OpenSSH سره Cygwin، MobaSSH، KpyM Telnet / SSH سرور، WinSSHD، copssh، freeSSHd؛
• د FreeBSD: OpenSSH؛
• د لینوکس: Tectia SSH سرور، SSH، openssh-Server، lsh-Server، dropbear.

د سرور ټول وړيا دي. که څه هم، چې تاسو کولای شي د خدمتونو چې د امنیتي، چې د تصدۍ د شبکې السرسی او د معلوماتو د امنیت د سازمان لپاره اړین دی حتی د سترې کچې ته برابر کړو او ورکول. د دغه ډول خدمتونو لګښت پرې بحث نه دی. خو په مجموع کې موږ ويلای شو چې دا نسبتا ارزانه، آن په سره د ځانګړو سافټ ویر یا "هارډویر" د اوردیوال د نصبولو په پرتله.

SSH-موکل

د بدلون SSH بندر کولای شي د مراجعينو د پروګرام پر بنسټ او يا د مناسب چاپيريال کله بندر ورکړې ستاسو راوټر کړې.

خو که تاسو د رجوع مرمۍ لمس، لاندې سافټ توليدات لپاره د بيلابيلو سيستمونو وکارول شي:

• وينډوز - SecureCRT، PuTTY \ Kitty، Axessh، ShellGuard، SSHWindows، ZOC، XShell، ProSSHD او داسی نور...
• Mac OS X: iTerm2، vSSH، NiftyTelnet SSH؛
• لینوکس او BSD: lsh-مشتري، kdessh، openssh-مشتري، Vinagre، putty.

اعتبار پر عامه کیلي پر بنسټ، او د بندر بدلون

اوس په اړه څه ډول د تصدیق او د جوړولو د پالنګر د يو څو کلمو. په ساده صورت، تاسو باید د یو سازونې دوتنې (sshd_config) وکاروي. که څه هم، چې تاسو کولای شي له هغې پرته د مثال په توګه، د لکه PuTTY پروګرامونو په صورت کې نه،. تلوالیزه ارزښت (22) کوم بل څخه د بدلون SSH بندر په بشپړه Elementary.

اصلي خبره - د يوه بندر شمېر دابرخه نه د 65535 د ارزښت د (د لوړو بندرونو په ساده ډول په طبيعت کې شتون نه) نه زیات وي. برسېره پر دې، بايد د ځينو خلاص بندرونو په تلواله، چې کېدای شي مای یا FTPD ډیټابیس په شان د مراجعینو له خوا وکارول شي پاملرنه وکړي. که تاسو د هغوی لپاره د SSH سازونې مشخص، البته، هغوی يوازې کار ودروي.

د یادونې وړ ده چې د همدې Jabber مشتري بايد په هماغه چاپیریال منډه شي SSH-Server په کارولو سره، د مثال په توګه، د یو مجازی ماشین. او تر ټولو سرور هوست به د اړتيا تر 4430 د ارزښت وټاکي (د ځای 443، لکه چې پورته يادونه وکړه). دا سازونې وخت د اصلي دوتنه jabber.example.com د لاسرسي د اوردیوال په واسطه تړل وکارول شي.

له بلې خوا، د انتقال بندرونو کولای شي د سره د قوانينو استثنا د جوړولو خپل ليدنمخ د سازونې په کارولو سره د راوټر وي. په تر ټولو نمونې آخذه پتې له لارې د آخذې سره 192،168 تکمیل سره 0.1 يا 1.1 پيل کيږي، خو راوټرونه يوځاي کولو وړتیا Mikrotik لکه ADSL-modems، پای پته کې د 88،1 د استعمال.

په دې حالت کې، په یوه نوي واکمنۍ رامنځته کړي، نو د اړتيا وړ پارامترونو جوړ، د مثال په توګه، د بهرني تړاو DST-NAT نصب کړي، او همدارنګه د لاسي فرض بندرونو د عمومي امستنې لاندې او د فعالیت خوښی د کړی (عمل) نه دي. هیڅ هم دلته پيچلې. اصلي خبره - د امستنې اړتیا ارزښتونو مشخص او صحيح بندر جوړ. په تلواله، تاسو کولای بندر 22 وکاروي، خو که د مشتريانو د یوه ځانګړې (د مختلفو سیستمونو د پورته ځينې) کاروي، د ارزښت کولای شي پخپل سر شي بدل، خو يوازې دومره چې دا د پاراميټر نه د اعلان ارزښت، پورته چې بندر شمېر موجود دي په ساده نه نه اوړي.

کله چې تاسو د پورته اړيکې جوړ هم بايد د مراجعينو د پروګرام د پارامترونو پاملرنه وکړي. داسې هم کیدای شي چې په خپل امستنې لري چې د لږ تر لږه د کیلي (512) اوږدوالي مشخص، که څه هم د افتراضي معمولا 768. جوړ دا هم په زړه پوري د وخت ووت جوړ کړي چې د 600 ثانیو کچه او سره د ريښو د حقونو د پرتو لاسرسی اجازې پر log ده. د دغو امستنې له تطبیق څخه وروسته، تاسو باید هم د ټولو د اعتبار حقونو د کارونې، په پرتله پر بنسټ د کارولو .rhost هغو نورو ته اجازه (خو يوازې د سيستم اداري دا ضروري ده).

د نورو شیانو ترمنځ، که د کارونکي په سيستم کې ثبت په نوم، نه په همدې توګه په شېبه معرفي، دا باید په صراحت سره د اضافي پارامترونو د معرفي (د هغو کسانو لپاره چې پوهيږي په خطر کې څه ده) د قوماندې د کارونکي SSH بادار په کارولو کې مشخص شي.

ټيم ~ / .ssh / id_dsa کولای شي د اساسي بدلون او د کوډ کړې ميتود (یا RSA) وکارول شي. د عامه کیلي د کرښې ~ / .ssh / identity.pub (خو دا لازمي نه ده) په کارولو سره د بدلولو له خوا کارول رامنځته کړي. خو، په توګه عمل ښیي، تر ټولو اسانه لاره لکه SSH-keygen قوماندو وکاروي. دلته د موضوع د اصل یواځی د حقیقت کم، تر څو د موجوده اعتبار وسیلې (~ / .ssh / authorized_keys) یو مهم اضافه کړي.

خو موږ تر اوسه هم تللي. که تاسو د بندر امستنې SSH موضوع ته بېرته لاړ شي، په توګه شوی دی روښانه SSH بدلون بندر دومره سخت نه دی. که څه هم، په ځینو حالاتو کې هغوی وايي، بايد خوله، ځکه چې د اړتيا د مهمو پارامترونو د ټولو ارزښتونو په پام کې ونیسي. د سازونې موضوع پاتې شوې د هیڅ پالنګر يا مشتري پروګرام د دروازې ته جوش (که دا په لومړي سر برابر)، يا په راوټر بندر ورکړې وکاروي. خو حتی د د بندر د 22 بدلون په صورت کې، د افتراضي، چې ورته 443rd، باید په روښانه توګه پوه شي چې دغه ډول یو پروژې تل، خو یواځې د د همدې add-په Jabber نصبولو په صورت کې کار نه (د نورو مشابه کولای شي او د هغوی د اړوندو بندرونو فعاله شي، دا توپير د معياري څخه). برسېره پر دې، ځانګړې پاملرنه باید د ټاکلو SSH-مشتري، چې به په مستقيم ډول سره د SSH-Server تعامل، که دا رښتيا په پام کې د اوسني تړاو استفاده د پاراميټر ورکړل شي.

لکه څنګه چې د نورو لپاره، که د بندر ورکړې په لومړي سر نه دی برابر (که څه هم دا په زړه پورې دا ډول کړنې ترسره کړي)، د امستنو او انتخابونو لپاره د SSH له لارې د لاسرسي، تاسو کولای شی بدل نه. هلته کومه ستونزه کله چې د پیوستون، او د هغې څخه نوره ګټه اخيستل، په عمومي توګه د رامنځته کولو، تمه نه کېږي (مګر، البته، به نه په لاسي وکارول شي د سازونې سرور پر بنسټ او د مراجعینو د عيارولو). د د راوټر اصولو د رامینځ ته کولو تر ټولو عام استثنا تاسو ته اجازه درکوي هر ډول ستونزې اصالح او یا څخه وژغورو.