कैसे कॉन्फ़िगर और SSH बंदरगाह उपयोग कैसे करें? कदम गाइड द्वारा कदम

सुरक्षित शैल, या SSH के रूप में संक्षिप्त है, यह संचरण में सबसे उन्नत डेटा संरक्षण तकनीकों में से एक है। एक ही रूटर पर इस तरह के एक शासन के उपयोग न केवल प्रेषित जानकारी की गोपनीयता की अनुमति देता है, लेकिन यह भी पैकेट के आदान-प्रदान में तेजी लाने के। हालांकि, हर कोई अब तक SSH बंदरगाह खोलने के लिए के रूप में जानता है, और इस कारण है कि सभी आवश्यक है। इस मामले में यह एक रचनात्मक स्पष्टीकरण देने के लिए आवश्यक है।

पोर्ट SSH: यह क्या है और क्यों हम क्या ज़रूरत है?

जब से हम, सुरक्षा के बारे में बात कर रहे हैं इस मामले में, SSH बंदरगाह के तहत एक सुरंग के रूप है, जो डेटा एन्क्रिप्शन प्रदान करता है में समर्पित चैनल समझने की।

इस सुरंग के सबसे प्राचीन योजना है कि एक खुला SSH बंदरगाह स्रोत और अंतिम बिंदु पर डिक्रिप्शन पर डेटा एन्क्रिप्ट करने के लिए डिफ़ॉल्ट रूप से प्रयोग किया जाता है। चाहे आप इसे पसंद करें या नहीं, यातायात प्रेषित, IPSec के विपरीत, मजबूरी और नेटवर्क के उत्पादन में टर्मिनल के तहत एन्क्रिप्टेड, और प्रवेश द्वार की प्राप्ति की ओर: यह इस प्रकार समझाया जा सकता है। जानकारी इस चैनल पर प्रसारित डिक्रिप्ट करने के लिए, प्राप्त टर्मिनल एक विशेष कुंजी का उपयोग करता। दूसरे शब्दों में, स्थानांतरण में हस्तक्षेप या क्षण एक नहीं एक कुंजी के बिना कर सकते हैं पर प्रेषित डेटा की अखंडता से समझौता करने के लिए।

बस interacts सीधे किसी भी रूटर पर या अतिरिक्त ग्राहक की उचित सेटिंग का उपयोग करके SSH बंदरगाह खोलने SSH सर्वर के साथ, आप पूरी तरह से आधुनिक नेटवर्क सुरक्षा प्रणालियों की सभी सुविधाओं का उपयोग करने के लिए अनुमति देता है। हम कैसे एक बंदरगाह है कि डिफ़ॉल्ट या कस्टम सेटिंग्स द्वारा असाइन किया गया है का उपयोग करने पर यहाँ हैं। आवेदन में ये पैरामीटर मुश्किल लग सकता है, लेकिन इस तरह के एक कनेक्शन के संगठन की समझ के बिना पर्याप्त नहीं है।

स्टैंडर्ड SSH बंदरगाह

तो, वास्तव में, रूटर में से किसी के मापदंडों पहले के आदेश का निर्धारण करना चाहिए के आधार पर, सॉफ्टवेयर की किस तरह इस लिंक को सक्रिय करने के लिए इस्तेमाल किया जाएगा। वास्तव में, डिफ़ॉल्ट SSH बंदरगाह भिन्न सेटिंग हो सकती। सब कुछ क्या विधि पल में प्रयोग किया जाता है (सर्वर से सीधा संबंध, अतिरिक्त ग्राहक पोर्ट अग्रेषण और इतने पर। डी स्थापित करने) पर निर्भर करता है।

उदाहरण के लिए, अगर ग्राहक अस्पष्ट इस्तेमाल किया, सही कनेक्शन, एन्क्रिप्शन, और डेटा स्थानांतरण पोर्ट 443 के लिए प्रयोग की जाने वाली है, हालांकि अवतार मानक पोर्ट 22 में सेट कर दिया जाता है।

एक विशेष कार्यक्रम के लिए आवंटन को रूटर रीसेट या की प्रक्रिया के लिए आवश्यक शर्तों को करने के लिए करने के लिए पोर्ट अग्रेषण SSH। यह क्या है? यह एक कार्यक्रम के लिए इंटरनेट कनेक्शन का उपयोग करता है के लिए एक विशेष पहुँच का उद्देश्य, सेटिंग वर्तमान है जो की परवाह किए बिना प्रोटोकॉल विनिमय डेटा (आईपीवी 4 या IPv6)।

तकनीकी औचित्य

स्टैंडर्ड SSH बंदरगाह 22 हमेशा नहीं किया जाता है के रूप में यह पहले से ही स्पष्ट हो गया था। हालांकि, यहां यह विशेषताओं और सेटिंग्स सेटअप के दौरान प्रयुक्त किया है आवंटित करने के लिए आवश्यक है।

क्यों एन्क्रिप्टेड डेटा गोपनीयता प्रोटोकॉल एक विशुद्ध रूप से बाहरी (अतिथि) उपयोगकर्ता बंदरगाह के रूप में SSH का उपयोग शामिल है? लेकिन सिर्फ इसलिए कि सुरंग लागू किया जाता है यह एक तथाकथित दूरस्थ शैल (SSH) का उपयोग करते हैं, दूरस्थ लॉगिन (slogin) के माध्यम से टर्मिनल प्रबंधन में पहुँच प्राप्त, और दूरदराज के प्रति प्रक्रिया (SCP) लागू करने के लिए अनुमति देता है।

इसके अलावा, SSH बंदरगाह मामले में जहां उपयोगकर्ता को दूरस्थ स्क्रिप्ट एक्स विंडोज, जो सामान्य स्थिति में, एक से दूसरे मशीन से जानकारी के हस्तांतरण है के रूप में एक मजबूर डेटा एन्क्रिप्शन के साथ, कहा गया है निष्पादित करने के लिए आवश्यक है में सक्रिय किया जा सकता। ऐसी स्थितियों में, सबसे आवश्यक एईएस एल्गोरिथ्म के आधार पर का उपयोग करेगा। यह एक सममित एन्क्रिप्शन एल्गोरिथ्म, जो मूल रूप से SSH प्रौद्योगिकी के क्षेत्र में प्रदान किया गया है। और यह न केवल संभव है, लेकिन आवश्यक का उपयोग करें।

प्राप्ति का इतिहास

प्रौद्योगिकी एक लंबे समय के लिए दिखाई दिया है। हमें अलग कैसे टुकड़े SSH बंदरगाह बनाने के लिए के सवाल छोड़ देते हैं, और यह कैसे काम करता है सब पर ध्यान केंद्रित करते हैं।

आमतौर पर यह जुराबें के आधार पर एक प्रॉक्सी का उपयोग या VPN सुरंग का उपयोग करने के लिए नीचे आता है,। मामले में कुछ सॉफ्टवेयर अनुप्रयोग इस विकल्प का चयन करने के लिए वीपीएन के साथ काम कर सकते हैं, बेहतर है। तथ्य यह है आज लगभग सभी ज्ञात कार्यक्रमों इंटरनेट यातायात का उपयोग करने वाले, वीपीएन काम कर सकते हैं, लेकिन आसानी से मार्ग विन्यास नहीं है। यह, प्रॉक्सी सर्वर के मामले में, टर्मिनल जहाँ से वर्तमान में गैर मान्यता प्राप्त उत्पादन नेटवर्क में, उत्पादन के बाहरी पते को छोड़ने के लिए अनुमति देता है। यही कारण है कि प्रॉक्सी पता के साथ मामला हमेशा बदलता रहता है है, और वीपीएन संस्करण एक निश्चित क्षेत्र के निर्धारण, एक जहाँ पहुँच पर प्रतिबंध नहीं है के अलावा अन्य के साथ अपरिवर्तित रहता है।

बहुत उसी तकनीक का SSH बंदरगाह प्रदान करता है, फिनलैंड में प्रौद्योगिकी विश्वविद्यालय (SSH-1) में 1995 में विकसित किया गया था। 1996 में, सुधार, सरकारी एजेंसियों से SSH-2 प्रोटोकॉल है, जो बाद के सोवियत अंतरिक्ष में काफी व्यापक था के रूप में जोड़ दिया गया है, हालांकि इस के लिए, साथ ही कुछ पश्चिमी यूरोपीय देशों में, यह इस सुरंग के उपयोग की अनुमति प्राप्त करने के लिए कभी कभी आवश्यक है, और।

, SSH बंदरगाह खोलने के रूप में टेलनेट या rlogin करने का विरोध का मुख्य लाभ, डिजिटल हस्ताक्षर RSA या DSA (खुला की एक जोड़ी और एक दफन कुंजी का उपयोग) का उपयोग है। इसके अलावा, इस स्थिति में आप, तथाकथित सत्र Diffie-Hellman एल्गोरिथ्म, जो एक सममित एन्क्रिप्शन उत्पादन का उपयोग शामिल है के आधार पर कुंजी का उपयोग हालांकि आंकड़ा संचरण और एक अन्य मशीन द्वारा स्वागत समारोह के दौरान विषम एन्क्रिप्शन एल्गोरिदम के उपयोग बाधा नहीं कर सकते हैं।

सर्वर और खोल

विंडोज या पर लिनक्स SSH बंदरगाह खुला इतना मुश्किल नहीं है। केवल सवाल इस उद्देश्य के लिए क्या उपकरणों की तरह इस्तेमाल किया जाएगा, है।

इस मायने में यह सूचना प्रसारण और प्रमाणीकरण के मुद्दे पर ध्यान देना आवश्यक है। सबसे पहले, प्रोटोकॉल पर्याप्त तथाकथित सूंघने, जो सबसे सामान्य यातायात के "वायरटैपिंग" है द्वारा सुरक्षित है। SSH -1 हमले के लिए असुरक्षित साबित हुई। "बीच में आदमी" की एक योजना के रूप में डेटा के हस्तांतरण की प्रक्रिया में हस्तक्षेप इसके परिणाम नहीं निकला। सूचना बस रोकना और काफी प्राथमिक समझने सकता है। लेकिन दूसरे संस्करण (SSH-2) हस्तक्षेप के इस प्रकार, सत्र अपहरण के रूप में जाना के लिए प्रतिरक्षा हो गया है, धन्यवाद क्या सबसे लोकप्रिय है।

सुरक्षा रोक लगाई

प्रेषित और प्राप्त डेटा के संबंध में सुरक्षा का सवाल है, इस तरह की तकनीक के उपयोग के साथ स्थापित कनेक्शन के संगठन निम्नलिखित समस्याओं से बचने के लिए अनुमति देता है:

• ट्रांसमिशन कदम पर मेजबान, जब एक "स्नैपशॉट» अंगुली की छाप को पहचान कुंजी;
• Windows और यूनिक्स सिस्टम के लिए समर्थन;
• IP और DNS पते (स्पूफिंग) का प्रतिस्थापन;
• डेटा चैनल के लिए शारीरिक का उपयोग के साथ खुला पासवर्ड अवरोध उत्पन्न कर रहा।

वास्तव में, एक ऐसी प्रणाली के पूरे संगठन "क्लाइंट-सर्वर" के सिद्धांत पर बनाया गया है, वह है, एक विशेष कार्यक्रम या सर्वर है, जो एक इसी पुनर्निर्देशन का उत्पादन करने के लिए ऐड-इन कॉल के माध्यम से सभी को उपयोगकर्ता के कंप्यूटर के पहले।

सुरंग

यह कह रही है कि एक विशेष ड्राइवर में इस तरह के कनेक्शन के कार्यान्वयन सिस्टम पर स्थापित किया जाना चाहिए बिना चला जाता है।

आमतौर पर, विंडोज आधारित प्रणाली में कार्यक्रम खोल चालक माइक्रोसॉफ्ट टेरीडो है, जो केवल आईपीवी 4 समर्थन नेटवर्क में आईपीवी 6 की आभासी अनुकरण साधन की तरह है में बनाया गया है। सुरंग डिफ़ॉल्ट अनुकूलक सक्रिय है। इसके साथ जुड़े होने की स्थिति में, आप बस एक प्रणाली को पुनः आरंभ करने या बंद करते हैं और आदेश कंसोल से आदेश को पुनः आरंभ कर सकते हैं। निष्क्रिय करने के लिए इस तरह के लाइनों उपयोग किया जाता है:

• netsh;
• इंटरफ़ेस टेरीडो सेट राज्य अक्षम;
• इंटरफ़ेस ISATAP सेट राज्य अक्षम।

आदेश: प्रारंभ करना होगा प्रवेश करने के बाद। एडाप्टर के लिए पुन: सक्षम और सक्षम रजिस्टरों परमिट के बजाय विकलांग की स्थिति की जांच की, जिसके बाद, फिर से, पूरे सिस्टम प्रारंभ करना होगा।

SSH सर्वर

अब कैसे SSH बंदरगाह, कोर के रूप में प्रयोग किया जाता है योजना "क्लाइंट-सर्वर" से शुरू आइए देखते हैं। डिफ़ॉल्ट आमतौर पर लागू किया जाता है 22 मिनट बंदरगाह, लेकिन, जैसा कि ऊपर उल्लेख किया है, इस्तेमाल किया जा सकता है और 443। सर्वर पर ही की वरीयता में केवल सवाल।

सबसे आम SSH सर्वर निम्नलिखित माना जाता है:

• विंडोज के लिए: Tectia SSH सर्वर, Cygwin, MobaSSH, KpyM टेलनेट / SSH सर्वर, WinSSHD, copssh, freeSSHd के साथ OpenSSH;
• FreeBSD के लिए: OpenSSH;
• Tectia SSH सर्वर, ssh, openssh-सर्वर, LSH-सर्वर, dropbear: लिनक्स के लिए।

सर्वर के सभी स्वतंत्र हैं। हालांकि, अगर आप पाते हैं और सेवाओं है कि सुरक्षा, जो नेटवर्क का उपयोग और उद्यमों में सूचना सुरक्षा के संगठन के लिए आवश्यक है की अधिक से अधिक स्तर प्रदान भुगतान किया जा सकता है। इस तरह की सेवाओं की लागत पर चर्चा नहीं कर रहा है। लेकिन सामान्य तौर पर हम कह सकते हैं कि यह अपेक्षाकृत सस्ती है, यहां तक कि विशेष सॉफ्टवेयर या "हार्डवेयर" फ़ायरवॉल की स्थापना के साथ तुलना में।

SSH ग्राहक

SSH बदलें पोर्ट क्लाइंट प्रोग्राम के आधार या उचित सेटिंग्स अपने रूटर पर जब पोर्ट अग्रेषण पर बनाया जा सकता है।

हालांकि, अगर आप ग्राहक खोल स्पर्श करते हैं, निम्नलिखित सॉफ्टवेयर उत्पादों विभिन्न प्रणालियों के लिए इस्तेमाल किया जा सकता है:

• विंडोज - SecureCRT, पुट्टी \ किट्टी, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD आदि;।।
• मैक ओएस एक्स: iTerm2, vSSH, NiftyTelnet SSH;
• Linux और BSD: LSH-ग्राहक, kdessh, openssh-ग्राहक, Vinagre, पोटीन।

प्रमाणीकरण सार्वजनिक कुंजी के आधार पर, और पोर्ट बदलना है

अब कैसे सत्यापन और एक सर्वर स्थापित करने के बारे में कुछ शब्द। सामान्य स्थिति में, यदि आप एक विन्यास फाइल (sshd_config) का उपयोग करना चाहिए। हालांकि, अगर आप इसके बिना उदाहरण के लिए, इस तरह के पुट्टी के रूप में कार्यक्रमों के मामले में कर सकते हैं। किसी अन्य के लिए डिफ़ॉल्ट मान (22) से SSH बदलें बंदरगाह पूरी तरह से प्राथमिक है।

मुख्य बात है - एक पोर्ट संख्या को खोलने के लिए (उच्च बंदरगाहों बस प्रकृति में मौजूद नहीं है) 65535 के मूल्य से अधिक नहीं है। इसके अलावा, डिफ़ॉल्ट रूप से कुछ खुले बंदरगाहों, जो MySQL या FTPd डेटाबेस की तरह ग्राहकों द्वारा इस्तेमाल किया जा सकता करने के लिए ध्यान देना चाहिए। आप उन्हें SSH विन्यास के लिए निर्दिष्ट करते हैं, निश्चित रूप से, वे तो बस काम करना बंद कर।

यह ध्यान देने योग्य है कि एक ही अस्पष्ट ग्राहक SSH-सर्वर का उपयोग कर, उदाहरण के लिए एक ही वातावरण में चलना चाहिए, एक आभासी मशीन पर लायक है। और सबसे सर्वर स्थानीय होस्ट (जैसा कि ऊपर उल्लेख किया है, बजाय 443) 4430 को कोई मान निर्दिष्ट करने की आवश्यकता होगी। जब मुख्य फ़ाइल jabber.example.com के लिए उपयोग फ़ायरवॉल द्वारा अवरोधित यह विन्यास इस्तेमाल किया जा सकता।

दूसरी ओर, हस्तांतरण बंदरगाहों रूटर नियमों के अपवाद के निर्माण के साथ इसके इंटरफेस के विन्यास का उपयोग करने पर हो सकता है। सबसे मॉडल में इनपुट पतों के माध्यम से इनपुट 192.168 0.1 या 1.1 के साथ पूरक के साथ शुरुआत है, लेकिन संयोजन Mikrotik तरह क्षमताओं एडीएसएल-मोडेम राउटर, अंत पते 88.1 का उपयोग शामिल है।

इस मामले में, बाहरी संबंध डीएसटी-नेट स्थापित करने के लिए, एक नया नियम बना तो आवश्यक मानकों को निर्धारित करते हैं, उदाहरण के लिए, के साथ-साथ मैन्युअल रूप से निर्धारित बंदरगाहों सामान्य सेटिंग्स के तहत और सक्रियतावाद वरीयताओं की धारा (लड़ाई) में नहीं हैं। कुछ भी नहीं है भी यहां जटिल। मुख्य बात - सेटिंग्स के लिए आवश्यक मान निर्दिष्ट और सही बंदरगाह स्थापित करने के लिए। डिफ़ॉल्ट रूप से, आप बंदरगाह 22 उपयोग कर सकते हैं, लेकिन ग्राहक का उपयोग करता है, तो एक विशेष (विभिन्न प्रणालियों के लिए ऊपर से कुछ), मूल्य मनमाने ढंग से बदला जा सकता है, लेकिन केवल इतना है कि इस पैरामीटर घोषित मूल्य है, जो ऊपर पोर्ट संख्या आसानी से उपलब्ध नहीं हैं अधिक नहीं है।

जब आप कनेक्शन की स्थापना की भी क्लाइंट प्रोग्राम के मापदंडों को ध्यान देना चाहिए। यह अच्छी तरह से हो सकता है अपनी सेटिंग्स में, कुंजी (512) की न्यूनतम अवधि निर्दिष्ट करने के लिए है कि हालांकि डिफ़ॉल्ट आमतौर पर 768 के सेट किया गया है यह भी 600 सेकंड का स्तर और रूट अधिकार के साथ दूरदराज के उपयोग की अनुमति पर लॉग ऑन करने का समय समाप्त सेट करने के लिए वांछनीय है। इन सेटिंग्स को लागू करने के बाद, आप सभी प्रमाणीकरण अधिकार के उपयोग, उपयोग .rhost के आधार पर उन के अलावा अन्य की अनुमति की जरूरत है (लेकिन यह केवल सिस्टम प्रशासक के लिए आवश्यक है)।

अन्य बातों के अलावा, यदि उपयोगकर्ता नाम प्रणाली में पंजीकृत है, एक ही नहीं के रूप में इस समय शुरू की, यह स्पष्ट रूप से अतिरिक्त पैरामीटर की शुरूआत (जो लोग समझते हैं कि क्या दांव पर है के लिए) के साथ उपयोगकर्ता ssh मास्टर आदेश का उपयोग कर निर्दिष्ट किया जाना चाहिए।

टीम ~ / .ssh / id_dsa कुंजी के परिवर्तन और एन्क्रिप्शन विधि (या आरएसए) के लिए इस्तेमाल किया जा सकता है। रूपांतरण लाइन ~ / .ssh / identity.pub (लेकिन जरूरी नहीं) का उपयोग करके इस्तेमाल किया एक सार्वजनिक कुंजी बनाने के लिए। लेकिन, अभ्यास से पता चलता है के रूप में, सबसे आसान तरीका ssh-keygen तरह आदेशों का उपयोग करने। यहाँ मुद्दा का सार ही इस तथ्य की ओर कम हो जाता है, उपलब्ध प्रमाणीकरण उपकरण (~ / .ssh / authorized_keys) की कुंजी जोड़ने के लिए।

लेकिन हम बहुत दूर चले गए हैं। आप बंदरगाह सेटिंग्स SSH मुद्दे पर वापस जाते हैं, के रूप में किया गया है स्पष्ट परिवर्तन SSH बंदरगाह इतना मुश्किल नहीं है। हालांकि, कुछ स्थितियों में, वे कहते हैं,, पसीना, क्योंकि जरूरत को ध्यान में कुंजी मापदंडों के सभी मूल्यों को लेने के लिए होगा। (अगर यह शुरू में प्रदान की जाती है) कॉन्फ़िगरेशन समस्या के बाकी किसी भी सर्वर या क्लाइंट प्रोग्राम के प्रवेश द्वार करने पर निर्भर करता है, या रूटर पर पोर्ट अग्रेषण का उपयोग करें। लेकिन फिर भी बंदरगाह 22 के परिवर्तन के मामले में, डिफ़ॉल्ट, एक ही 443 के लिए, स्पष्ट रूप से समझा जाना चाहिए कि इस तरह के एक योजना हमेशा (है, लेकिन केवल एक ही ऐड-इन अस्पष्ट स्थापित करने के मामले में काम नहीं करता है अन्य एनालॉग और उनके संबंधित बंदरगाहों सक्रिय कर सकते हैं, यह मानक से भिन्न है)। इसके अलावा, विशेष ध्यान SSH ग्राहक, जो सीधे, SSH सर्वर के साथ बातचीत करेगा कि क्या यह वास्तव में वर्तमान कनेक्शन का उपयोग माना जाता है की स्थापना पैरामीटर दी जानी चाहिए।

बाकी के लिए, यदि पोर्ट अग्रेषण शुरू में प्रदान नहीं की है (हालांकि यह इस तरह के कार्यों को करने के लिए वांछनीय है), सेटिंग्स और SSH के माध्यम से उपयोग करने के लिए विकल्प, आप बदल नहीं सकते। किसी भी समस्याओं जब एक कनेक्शन है, और उसके आगे उपयोग, सामान्य रूप में बनाने वहाँ की उम्मीद नहीं है (जब तक, ज़ाहिर है, मैन्युअल रूप से उपयोग नहीं किया जाएगा विन्यास सर्वर आधारित और क्लाइंट कॉन्फ़िगर)। रूटर पर नियमों के निर्माण के लिए सबसे आम अपवाद आप किसी भी समस्या को ठीक करने या उन्हें बचने के लिए अनुमति देता है।