Mēs esam izspēlējuši SSH tikumus vairākas reizes gan drošības, gan attālinātās piekļuves dēļ. Apskatīsim pašu serveri, dažus svarīgus "uzturēšanas" aspektus un dažus pievilinātājus, kas var radīt satraukumu citādi netraucēti.
Lai gan šī rokasgrāmata ir rakstīta ar Linux, tā var attiekties arī uz OpenSSH operētājsistēmā Mac OS X un Windows 7, izmantojot Cygwin.
Mēs esam daudzkārt minējuši, kā SSH ir lielisks veids, kā droši savienot un teltīt datus no viena punkta uz otru. Ļaujiet ļoti īsi aplūkot to, kā lietas darbojas, lai jūs labāk izprastu, kāpēc reizēm reizēm var rasties dīvaini.
Kad mēs nolemjam uzsākt savienojumu ar citu datoru, mēs bieži izmantojam protokolus, ar kuriem ir viegli strādāt. Telnet un FTP abi nāk prātā. Mēs izsūtām informāciju attālajam serverim, un pēc tam mēs saņemam apstiprinājumu par mūsu savienojumu. Lai noteiktu kādu drošības veidu, šie protokoli bieži izmanto lietotājvārdu un paroli kombinācijas. Tas nozīmē, ka viņi ir pilnīgi droši, vai ne? Nepareizi!
Ja mēs domājam par mūsu savienojošo procesu kā pastu, tad, izmantojot FTP un Telnet un tamlīdzīgus līdzekļus, neizmanto standarta pasta aploksnes. Tas vairāk ir kā pastkartes izmantošana. Ja kāds gadās soli pa vidu, viņi var redzēt visu informāciju, tostarp abos korespondentu adreses un izsūtīto lietotājvārdu un paroli. Tad viņi var mainīt ziņu, saglabājot informāciju vienādi, un uzdoties par vienu korespondentu vai otru. Tas ir pazīstams kā "cilvēks-in-the-vidējā" uzbrukums, un tas ne tikai apdraud jūsu kontu, bet arī liek apšaubīt katru saņemto ziņojumu un nosūtīto failu. Jūs nevarat būt pārliecināts, vai runājat ar sūtītāju vai nē, un pat tad, ja esat, jūs nevarat būt pārliecināti, ka neviens neredz visu, sākot no viena starpā.
Tagad aplūkosim SSL šifrēšanu, tādā veidā, kas HTTP padara drošāku. Šeit mums ir pasta nodaļa, kas apstrādā korespondenci, kas pārbauda, vai jūsu saņēmējs ir tas, kurš viņš vai viņa apgalvo, un ir likumi, kas aizsargā jūsu e-pastu. Tas ir drošāks kopumā, un centrālā iestāde - Verisign ir viena, mūsu HTTPS piemērs - nodrošina, ka persona, kurai jūs sūtāt vēstules, pārbauda. Viņi to dara, nepieļaujot pastkartes (nešifrētus akreditācijas datus); Tā vietā viņi pilnvaro reālos aploksnes.
Visbeidzot, ieskatieties SSH. Šeit iestatījums nedaudz atšķiras. Šeit mums nav centrālā autentifikatora, taču lietas joprojām ir drošas. Tas ir tāpēc, ka jūs sūtat vēstules uz kādu personu, kuras adresi jau zinājāt - teiksim, runājot ar viņiem pa tālruni - un jūs izmantojat kādu patiešām iespaidīgu matemātiku, lai parakstītu aploksni. Jūs to nododat savam brālim, draudzenei, tēvam vai meitai, lai to uzņemtu uz adresi, un tikai tad, ja saņēmēja fantāzijas matemātikas sacensībās jūs pieņemat, ka adrese ir tā, kas tam vajadzētu būt. Tad jūs saņemat vēstuli atpakaļ, arī aizsargā no nevēlamiem skatiem ar šo awesome matemātiku. Visbeidzot, jūs nosūtīt savus akreditācijas datus citā slepenā algoritmiski enchanted aploksnē uz galamērķi. Ja matemātika neatbilst, mēs varam pieņemt, ka sākotnējais adresāts ir pārvietots, un mums vēlreiz jāapstiprina viņu adrese.
Ar izskaidrojumu tik ilgi, cik tas ir, mēs domājam, ka to sagriežam. Ja jums ir vēl kāds ieskats, protams, jūtieties brīvi tērzēt komentāros. Lai gan tagad apskatīsim vissvarīgāko SSH funkciju, uzņēmēja autentifikāciju.
Uzņēmuma autentifikācija būtībā ir tā daļa, kurā jūsu uzticamais lietotājs ņem aploksni (aizzīmogo ar burvju matemātiku) un apstiprina adresāta adresi. Tas ir diezgan sīks adreses apraksts, un tas ir balstīts uz kādu sarežģītu matemātiku, ka mēs vienkārši pārietam. Tomēr ir dažas no svarīgām lietām, kas no tā jānoņem:
Tā kā resursdatora atslēga tiek izmantota pirms autentifikācijas, lai noteiktu SSH servera identitāti, pirms saiti pārliecinieties, ka esat to pārbaudījis. Jūs redzēsit apstiprinājuma dialogu, kā parādīts zemāk.
Tomēr nevajadzētu uztraukties! Bieži vien, kad drošība ir bažas, būs īpaša vieta, kurā var apstiprināt saimniekdatora atslēgu (ECDSA pirkstu nospiedumu iepriekš). Pilnībā tiešsaistes uzņēmumos bieži tā būs drošā pieteikšanās vietā. Iespējams, jums būs (vai izvēlieties!) Savu IT nodaļu, lai apstiprinātu šo taustiņu pa tālruni. Esmu dzirdējis pat par dažām vietām, kur galvenais ir jūsu darba žetonā vai īpašajā sarakstā "Avārijas numuri". Un, ja jums ir fiziska piekļuve mērķa mašīnai, varat arī pārbaudīt sev!
Atslēgu izgatavošanai izmanto 4 veidu šifrēšanas algoritmus, taču sākotnējais OpenSSH noklusējums šī gada sākumā ir ECDSA (ar dažiem pamatotiem iemesliem). Mēs koncentrēsies uz šo vienu šodien. Šeit ir komanda, kuru varat palaist SSH serverī, kuram varat piekļūt:
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l
Jūsu produkcijai vajadzētu atgriezties šādi:
256 ca: 62: ea: 7c: e4: 9e: 2e: a6: 94: 20: 11: db: 9c: 78: c3: 4c /etc/ssh/ssh_host_ecdsa_key.pub
Pirmais numurs ir taustiņa bitu garums, pēc tam ir pati atslēga, un visbeidzot jums ir fails, kurā tas tiek saglabāts. Salīdziniet šo vidējo daļu ar to, ko redzat, kad tiek parādīts uzaicinājums no attāluma pieteikties.Tam vajadzētu sakrist, un jūs visi esat iestatījis. Ja tā nav, tad kaut kas cits varētu notikt.
Jūs varat apskatīt visus saimniekus, kuriem esat izveidojis savienojumu ar SSH, meklējot failu known_hosts. Parasti tā atrodas:
~ / .ssh / known_hosts
To var atvērt jebkurā teksta redaktorā. Ja paskatās, mēģiniet pievērst uzmanību tam, kā tiek saglabāti taustiņi. Tie tiek saglabāti ar saimniekdatora nosaukumu (vai tīmekļa adresi) un tā IP adresi.
Ir daži iemesli, kāpēc resursdatora atslēgas mainās vai tās neatbilst tam, kas ir pieteicies jūsu zināmā_hosts failā.
Visticamāk, jautājums ir viens no pirmajiem trim, un jūs varat ignorēt izmaiņas. Ja IP / DNS nomaiņa mainīta, tad serverī var būt problēma, un jūs, iespējams, novirzīsit uz citu ierīci. Ja nezināt, kāds ir izmaiņu iemesls, tad droši vien vajadzētu uzskatīt, ka tas ir pēdējais no saraksta.
OpenSSH ir iestatījums, kā rīkoties ar nezināmiem saimniekiem, kas atspoguļojas mainīgajā lielumā "StrictHostKeyChecking" (bez pēdiņām).
Atkarībā no konfigurācijas, SSH savienojumi ar nezināmajiem saimniekiem (kuru atslēgas jau nav jūsu zināmā_hosts failā) var iet trīs veidos.
Varat viegli mainīt šo mainīgo komandrindu, izmantojot šādu paradigmu:
ssh -o 'StrictHostKeyChecking [opcija]' user @ host
Aizstāt [opciju] ar "nē", "jautāt" vai "jā". Jāņem vērā, ka šis mainīgais un tā iestatījums ir vienotas taisnās cenas. Arī nomainiet user @ host ar tā servera lietotājvārdu un resursdatora nosaukumu, ar kuru esat izveidojis savienojumu. Piemēram:
ssh -o 'StrictHostKeyChecking jautāt' [email protected]
Ja jums ir serveris, kuru mēģināt piekļūt, ja tā atslēga jau ir mainīta, noklusējuma OpenSSH konfigurācija neļaus jums piekļūt tam. Jūs varētu mainīt šī resursdatora StrictHostKeyChecking vērtību, bet tas nebūtu pilnīgi, rūpīgi, paranoidāli drošs, vai tas būtu? Tā vietā mēs varam vienkārši noņemt pārkāpjošo vērtību no mūsu zināmā_hosts faila.
Tas noteikti ir neglīts jūsu ekrānā. Par laimi, mūsu iemesls tam bija pārinstalēta operētājsistēma. Tātad, palielināsim nepieciešamo līniju.
Tur ejam Skatiet, kā tas atsaucas uz failu, kas mums jāreģistrē? Tas pat dod mums līnijas numuru! Tātad, atveram šo failu Nano:
Lūk, mūsu pārkāpjošā atslēga 1. rindiņā. Viss, kas mums jādara, ir hit Ctrl + K, lai izgrieztu visu rindu.
Tas ir daudz labāk! Tātad, tagad nospiediet Ctrl + O, lai izrakstītu (saglabātu) failu, pēc tam - Ctrl + X, lai izietu.
Tagad mēs saņemam jauku ātru vietā, uz kuru mēs varam vienkārši atbildēt ar "jā".
Lai iegūtu ierakstu, jums patiešām nav pārāk daudz iemeslu, kāpēc mainīt saimniekdatora atslēgu vispār, taču, ja jūs kādreiz atradīsit vajadzību, jūs varat to viegli izdarīt.
Vispirms mainiet atbilstošo sistēmas direktoriju:
cd / etc / ssh /
Parasti tas parasti notiek, ja ir izvietoti globālie resursdatora atslēgas, lai gan daži distiori tos novieto citur. Ja rodas šaubas, pārbaudiet savu dokumentāciju!
Tālāk mēs izdzēsīsim visas vecās atslēgas.
sudo rm / etc / ssh / ssh_host_ *
Jūs varat arī pārvietot tos uz drošu dublējuma direktoriju. Tikai ideja!
Tad mēs varam pateikt, ka OpenSSH serverim ir jāpārkonfigurē sevi:
sudo dpkg-pārkonfigurēt openssh-serveri
Kad dators izveidos jaunus taustiņus, parādīsies uzvedne. Ta-da!
Tagad, kad jūs zināt, kā SSH darbojas nedaudz labāk, jums vajadzētu būt iespējai izkļūt no grūtībām. Brīdinājums / kļūda ir "Remote Host Identification Has Changed", kas nobloķē daudzus lietotājus, pat tos, kuri ir pazīstami ar komandrindu.
Par bonusa punktiem varat iepazīties ar to, kā attālināti kopēt failus, izmantojot SSH, neieviesot paroli. Šeit jūs uzzināsiet nedaudz vairāk par citiem šifrēšanas algoritmu veidiem un to, kā izmantot papildu failus drošībai.