توثيقسه
لمعالجة هذه المشكلة ، تم تطوير بروتوكول جديد يسمى SSH (Secure Shell). SSH يحل مشكلتين أساسيتين للتواصل الآمن مع مضيف بعيد. أولاً ، يشير إلى أن المضيف البعيد هو من يقول عنه (وبالتالي منع ما يسمى هجمات "الرجل في الوسط") ، وثانيًا ، يقوم بتشفير جميع الاتصالات بين المضيفين المحليين والبعيدين.
يتكون SSH من جزأين. يعمل خادم SSH على المضيف البعيد ، ويستمع إلى الاتصالات الواردة على المنفذ 22 ، بينما يتم استخدام عميل SSH على النظام المحلي للتواصل مع الخادم البعيد.
تشحن معظم توزيعات Linux تطبيق SSH يسمى OpenSSH من مشروع OpenBSD. تتضمن بعض التوزيعات كلاً من حزم العميل والخادم افتراضيًا (على سبيل المثال ، Red Hat) ، في حين أن التوزيعات الأخرى (مثل Ubuntu) توفر للعميل فقط. إلى
لتمكين النظام من استقبال الاتصالات عن بعد ، يجب أن يحتوي على Oخادم penSSH تم تثبيت الحزمة وتكوينها وتشغيلها ، (إذا كان النظام قيد التشغيل أو خلف جدار حماية) ، فيجب أن تسمح باتصالات الشبكة الواردة على منفذ TCP رقم 22.
معلومه- سرية: إذا لم يكن لديك نظام بعيد للاتصال به ولكنك تريد تجربة هذه الاختبارات ، فتأكد من خادم OpenSSH الحزمة مثبتة على نظامك واستخدامها مؤسسة الكوثر كاسم المضيف البعيد. بهذه الطريقة ، سيقوم جهازك بإنشاء اتصالات شبكة مع نفسه.
يسمى برنامج عميل SSH المستخدم للاتصال بخوادم SSH البعيدة ، بشكل مناسب بما فيه الكفاية ، سه. للاتصال بمضيف بعيد اسمه جهاز التحكم عن بعد، سوف نستخدم ال سه برنامج العميل مثل ذلك:
[me @ linuxbox ~] $ SSH عن بعد SYS
لا يمكن إثبات أصالة المضيف "remote-sys (192.168.1.4)".
RSA key fingerprint is 41:ed:7a:df:23:19:bf:3c:a5:17:bc:61:b3:7f:d9:bb.
هل أنت متأكد من أنك تريد متابعة الاتصال (نعم / لا)؟
[me @ linuxbox ~] $ SSH عن بعد SYS
لا يمكن إثبات أصالة المضيف "remote-sys (192.168.1.4)".
RSA key fingerprint is 41:ed:7a:df:23:19:bf:3c:a5:17:bc:61:b3:7f:d9:bb.
هل أنت متأكد من أنك تريد متابعة الاتصال (نعم / لا)؟
في المرة الأولى التي تتم فيها محاولة الاتصال ، يتم عرض رسالة تشير إلى أنه لا يمكن تحديد هوية المضيف البعيد. هذا لأن برنامج العميل لم ير هذا المضيف البعيد من قبل. لقبول بيانات اعتماد المضيف البعيد ، أدخل "نعم" عند مطالبتك بذلك. بمجرد إنشاء الاتصال ، يُطلب من المستخدم إدخال كلمة المرور الخاصة به / بها:
تحذير: تمت إضافة "remote-sys، 192.168.1.4" (RSA) بشكل دائم إلى قائمة الأجهزة المضيفة المعروفة.
me @ remote-sys's password:
تحذير: تمت إضافة "remote-sys، 192.168.1.4" (RSA) بشكل دائم إلى قائمة الأجهزة المضيفة المعروفة.
me @ remote-sys's password:
بعد إدخال كلمة المرور بنجاح ، نتلقى موجه الأوامر من النظام البعيد:
آخر تسجيل دخول: السبت أغسطس 30 13:00:48 2016 [me @ remote-sys ~] $
آخر تسجيل دخول: السبت أغسطس 30 13:00:48 2016 [me @ remote-sys ~] $
تستمر جلسة shell عن بُعد حتى يدخل المستخدم ملف خروج الأمر في موجه shell البعيد ، وبالتالي إغلاق الاتصال البعيد. في هذه المرحلة ، جلسة شل المحلية
يستأنف ويظهر موجه shell المحلي.
من الممكن أيضًا الاتصال بالأنظمة البعيدة باستخدام اسم مستخدم مختلف. على سبيل المثال ، إذا كان المستخدم المحلي "أنا" لديه حساب باسم "بوب" على نظام بعيد ، مستخدم me يمكن تسجيل الدخول إلى الحساب بوب على نظام التحكم عن بعد كالتالي:
[me @ linuxbox ~] $ ssh بوب @ remote-sys
كلمة مرور bob @ remote-sys:
آخر تسجيل دخول: السبت 30 أغسطس 13:03:21 2016 [bob @ remote-sys ~] $
[me @ linuxbox ~] $ ssh بوب @ remote-sys
كلمة مرور bob @ remote-sys:
آخر تسجيل دخول: السبت 30 أغسطس 13:03:21 2016 [bob @ remote-sys ~] $
كما ذكر من قبل ، سه يتحقق من صحة المضيف البعيد. إذا لم ينجح المضيف البعيد في المصادقة ، تظهر الرسالة التالية:
[me @ linuxbox ~] $ SSH عن بعد SYS
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@
@ تحذير: هويه المضيف البعيد قد تغيرت! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@من المحتمل أن شخص ما يفعل شيئا سيئا!
قد يتنصت شخص ما عليك الآن (هجوم رجل في الوسط)!
من الممكن أيضًا أن يكون مفتاح مضيف RSA قد تم تغييره للتو. بصمة مفتاح RSA التي أرسلها المضيف البعيد هي 41: ed: 7a: df: 23: 19: bf: 3c: a5: 17: bc: 61: b3: 7f: d9: bb.
الرجاء الاتصال بمسؤول النظام.
أضف مفتاح المضيف الصحيح في /home/me/.ssh/known_hosts للتخلص من هذه الرسالة.
مفتاح الإساءة في /home/me/.ssh/known_hosts:1
تم تغيير مفتاح مضيف RSA لـ remote-sys وطلبت فحصًا صارمًا.
فشل التحقق من مفتاح المضيف.
[me @ linuxbox ~] $ SSH عن بعد SYS
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@
@ تحذير: هويه المضيف البعيد قد تغيرت! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@من المحتمل أن شخص ما يفعل شيئا سيئا!
قد يتنصت شخص ما عليك الآن (هجوم رجل في الوسط)!
من الممكن أيضًا أن يكون مفتاح مضيف RSA قد تم تغييره للتو. بصمة مفتاح RSA التي أرسلها المضيف البعيد هي 41: ed: 7a: df: 23: 19: bf: 3c: a5: 17: bc: 61: b3: 7f: d9: bb.
الرجاء الاتصال بمسؤول النظام.
أضف مفتاح المضيف الصحيح في /home/me/.ssh/known_hosts للتخلص من هذه الرسالة.
مفتاح الإساءة في /home/me/.ssh/known_hosts:1
تم تغيير مفتاح مضيف RSA لـ remote-sys وطلبت فحصًا صارمًا.
فشل التحقق من مفتاح المضيف.
هذه الرسالة ناتجة عن إحدى الحالتين المحتملتين. أولاً ، قد يحاول المهاجم هجوم "رجل في الوسط". هذا نادر ، لأن الجميع يعرف ذلك سه ينبه المستخدم إلى هذا. الجاني الأكثر احتمالا هو أن النظام البعيد قد تم تغييره بطريقة ما ؛ على سبيل المثال ، تمت إعادة تثبيت نظام التشغيل أو خادم SSH. ومع ذلك ، في قضايا الأمن والسلامة ، لا ينبغي استبعاد الاحتمال الأول. تحقق دائمًا مع مسؤول النظام البعيد عند ظهور هذه الرسالة.
بعد أن يتم تحديد أن الرسالة ناتجة عن سبب حميد ، فمن الآمن تصحيح المشكلة من جانب العميل. يتم ذلك باستخدام محرر نصوص (همة ربما) لإعادة نقل المفتاح المتقادم من ~ / .ssh / known_hosts ملف. في مثال الرسالة أعلاه ، نرى هذا:
مفتاح الإساءة في /home/me/.ssh/known_hosts:1
مفتاح الإساءة في /home/me/.ssh/known_hosts:1
هذا يعني أن الخط واحد من known_hosts يحتوي الملف على المفتاح المخالف. احذف هذا السطر من الملف ، و سه سيكون البرنامج قادرًا على قبول بيانات اعتماد المصادقة الجديدة من النظام البعيد.
إلى جانب فتح جلسة شل على نظام بعيد ، سه كما يسمح لنا بتنفيذ أمر واحد على نظام بعيد. على سبيل المثال ، لتنفيذ ملف مجاني الأمر على مضيف متبقٍ اسمه جهاز التحكم عن بعد وعرض النتائج على النظام المحلي:
[me @ linuxbox ~] $ SSH عن بعد SYS مجانا
me @ twin4's password:
مجموع المستخدمة مجانا
شاركت
مخازن
مؤقتا
[me @ linuxbox ~] $ SSH عن بعد SYS مجانا
me @ twin4's password:
مجموع المستخدمة مجانا
مذكرة:
775536
0
110068
154596
مذكرة:
- / + مخازن / مخبأ:
مبادلة:
242520 533016
0 1572856
- / + مخازن / مخبأ:
مبادلة:
[me @ linuxbox ~] $
[me @ linuxbox ~] $
1572856
1572856
من الممكن استخدام هذه التقنية بطرق أكثر إثارة للاهتمام ، مثل هذا المثال الذي نقوم فيه بتنفيذ الأمر ls على النظام البعيد وإعادة توجيه الإخراج إلى ملف على النظام المحلي:
[me @ linuxbox ~] $ ssh remote-sys 'ls *'> dirlist.txt
me @ twin4's password: [me @ linuxbox ~] $
[me @ linuxbox ~] $ ssh remote-sys 'ls *'> dirlist.txt
me @ twin4's password: [me @ linuxbox ~] $
لاحظ استخدام علامات الاقتباس المفردة في الأمر أعلاه. يتم ذلك لأننا لا نريد توسيع اسم المسار الذي يتم إجراؤه على الجهاز المحلي ؛ بدلاً من ذلك ، نريد أن يتم إجراؤه على النظام البعيد. وبالمثل ، إذا أردنا إعادة توجيه الإخراج إلى ملف موجود على الجهاز البعيد ، فيمكننا وضع عامل إعادة التوجيه واسم الملف ضمن علامات الاقتباس المفردة:
[me @ linuxbox ~] $ ssh remote-sys 'ls *> dirlist.txt'
[me @ linuxbox ~] $ ssh remote-sys 'ls *> dirlist.txt'
حفر الأنفاق مع SSH
جزء مما يحدث عند إنشاء اتصال بمضيف بعيد عبر SSH هو ملف نفق مشفر بين الأنظمة المحلية والبعيدة. علاوة على ذلك ، يتم استخدام هذا النفق للسماح للأوامر المكتوبة في النظام المحلي بنقلها بأمان إلى النظام البعيد ، ولإعادة نقل النتائج بأمان. بالإضافة إلى هذه الوظيفة الأساسية ، يتيح بروتوكول SSH إرسال معظم أنواع حركة مرور الشبكة عبر النفق المشفر ، مما يؤدي إلى إنشاء نوع من VPN (الشبكة الافتراضية الخاصة) بين الأنظمة المحلية والبعيدة.
ربما يكون الاستخدام الأكثر شيوعًا لهذه الميزة هو السماح بنقل حركة مرور نظام X Window. في نظام يقوم بتشغيل خادم X (أي جهاز يعرض واجهة المستخدم الرسومية) ، من الممكن تشغيل وتشغيل برنامج عميل X (تطبيق رسومي) على نظام بعيد وعرضه على النظام المحلي. من السهل القيام بذلك ؛ إليك مثال: لنفترض أننا نجلس على نظام Linux يسمى لين- uxbox الذي يقوم بتشغيل خادم X ، ونريد تشغيل ملف xload برنامج على نظام بعيد اسمه جهاز التحكم عن بعد وشاهد الإخراج الرسومي للبرنامج على نظامنا المحلي. يمكننا القيام بذلك:
[me @ linuxbox ~] $ سش -X عن بعد SYS
me @ remote-sys's password:
آخر تسجيل دخول: الاثنين سبتمبر 08 13:23:11 2016 [me @ remote-sys ~] $ xload
بعد xload يتم تنفيذ الأمر على النظام البعيد ، تظهر نافذته على النظام المحلي. في بعض الأنظمة ، قد تحتاج إلى استخدام الخيار "-Y" بدلاً من الخيار "-X" للقيام بذلك.