<पिछला | विषय-सूची | अगला>

ध्यान रहे कि रिमोट मशीन से एक टर्मिनल विंडो प्रदर्शित करना भी एक छवि का प्रदर्शन माना जाता है।

10.4.4. एसएसएच सुइट

10.4.4.1. परिचय

अधिकांश UNIX और Linux सिस्टम अब सिक्योर शेल चलाते हैं ताकि सुरक्षा जोखिमों से बचा जा सके टेलनेट. अधिकांश लिनक्स सिस्टम ओपनएसएसएच का एक संस्करण चलाएंगे, एसएसएच प्रोटोकॉल का एक ओपन सोर्स कार्यान्वयन, एक अविश्वसनीय नेटवर्क पर अविश्वसनीय मेजबानों के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करता है। मानक सेटअप में एक्स कनेक्शन स्वचालित रूप से अग्रेषित किए जाते हैं, लेकिन एक सुरक्षित चैनल का उपयोग करके मनमाने ढंग से टीसीपी/आईपी पोर्ट भी अग्रेषित किए जा सकते हैं।

RSI एसएसएच क्लाइंट निर्दिष्ट होस्ट नाम में कनेक्ट और लॉग इन करता है। उपयोगकर्ता को रिमोट मशीन को अपनी पहचान प्रदान करनी होगी जैसा कि इसमें निर्दिष्ट है sshd_config फ़ाइल, जो आमतौर पर पाई जा सकती है /आदि/ssh. कॉन्फ़िगरेशन फ़ाइल बल्कि स्व-व्याख्यात्मक है और डिफ़ॉल्ट रूप से अधिकांश सामान्य सुविधाओं को सक्षम करती है। यदि आपको सहायता की आवश्यकता है, तो आप इसे में पा सकते हैं sshd मैन पेज।

जब उपयोगकर्ता की पहचान सर्वर द्वारा स्वीकार कर ली जाती है, तो सर्वर या तो दिए गए कमांड को निष्पादित करता है, या मशीन में लॉग इन करता है और उपयोगकर्ता को रिमोट मशीन पर एक सामान्य शेल देता है। रिमोट कमांड या शेल के साथ सभी संचार स्वचालित रूप से एन्क्रिप्ट किए जाएंगे।

सत्र समाप्त हो जाता है जब रिमोट मशीन पर कमांड या शेल बाहर निकलता है और सभी X11 और TCP/IP कनेक्शन बंद कर दिए जाते हैं।

किसी होस्ट से पहली बार कनेक्ट करते समय, SSH संग्रह में शामिल किसी भी प्रोग्राम का उपयोग करते हुए, आपको उस होस्ट की प्रामाणिकता स्थापित करने और स्वीकार करने की आवश्यकता है कि आप कनेक्ट करना चाहते हैं:

लेनी ~> एसएसएच ब्लॉब

होस्ट 'ब्लॉब (10.0.0.1)' की प्रामाणिकता स्थापित नहीं की जा सकती। RSA फ़िंगरप्रिंट 18:30:50:46:ac:98:3c:93:1a:56:35:09:8d:97:e3:1d है। क्या आप वाकई कनेक्ट करना जारी रखना चाहते हैं (हां/नहीं)? हाँ

चेतावनी: ज्ञात मेजबानों की सूची में स्थायी रूप से 'blob,192.168.30.2' (RSA) जोड़ा गया।

अंतिम लॉगिन: शनि दिसंबर 28 13:29:19 2002 ऑक्टारिन से किराए के लिए यह स्थान।

लेनी में है ~

लेनी ~> एसएसएच ब्लॉब

होस्ट 'ब्लॉब (10.0.0.1)' की प्रामाणिकता स्थापित नहीं की जा सकती। RSA फ़िंगरप्रिंट 18:30:50:46:ac:98:3c:93:1a:56:35:09:8d:97:e3:1d है। क्या आप वाकई कनेक्ट करना जारी रखना चाहते हैं (हां/नहीं)? हाँ

चेतावनी: ज्ञात मेजबानों की सूची में स्थायी रूप से 'blob,192.168.30.2' (RSA) जोड़ा गया।

अंतिम लॉगिन: शनि दिसंबर 28 13:29:19 2002 ऑक्टारिन से किराए के लिए यह स्थान।

लेनी में है ~

यह महत्वपूर्ण है कि आप केवल "y" ही नहीं, बल्कि तीन वर्णों में "हां" टाइप करें। यह आपके संपादित करता है ~/.ssh/ज्ञात_होस्ट्स

फ़ाइल, खंड 10.4.4.3 देखें।

यदि आप रिमोट मशीन पर कुछ जांचना चाहते हैं और फिर स्थानीय होस्ट पर अपना संकेत वापस प्राप्त करना चाहते हैं, तो आप उन आदेशों को दे सकते हैं जिन्हें आप दूरस्थ रूप से तर्क के रूप में निष्पादित करना चाहते हैं एसएसएच:

लेनी ~> ssh बूँद जो

जेनी @ ब्लॉब का पासवर्ड:

लेनी ~> अनाम - नहीं

Magrat.example.com

10.4.4.2. X11 और टीसीपी अग्रेषण

अगर X11अग्रेषण प्रवेश पर सेट है हाँ लक्ष्य मशीन पर और उपयोगकर्ता एक्स अनुप्रयोगों का उपयोग कर रहा है, प्रदर्शन पर्यावरण चर सेट है, X11 डिस्प्ले से कनेक्शन स्वचालित रूप से रिमोट साइड पर इस तरह से अग्रेषित किया जाता है कि शेल से शुरू किया गया कोई भी X11 प्रोग्राम एन्क्रिप्टेड चैनल के माध्यम से जाएगा, और वास्तविक X सर्वर से कनेक्शन बनाया जाएगा स्थानीय मशीन। उपयोगकर्ता को मैन्युअल रूप से सेट नहीं करना चाहिए प्रदर्शन. X11 कनेक्शन का अग्रेषण कमांड लाइन पर या में कॉन्फ़िगर किया जा सकता है sshd विन्यास फाइल।

के लिए मूल्य प्रदर्शन द्वारा निर्धारित एसएसएच सर्वर मशीन को इंगित करेगा, लेकिन शून्य से अधिक प्रदर्शन संख्या के साथ। यह सामान्य है, और ऐसा इसलिए होता है क्योंकि एसएसएच एक बनाता है प्रतिनिधि एन्क्रिप्टेड चैनल पर कनेक्शन अग्रेषित करने के लिए सर्वर मशीन पर एक्स सर्वर (जो एक्स क्लाइंट एप्लिकेशन चलाता है)।

यह सब स्वचालित रूप से किया जाता है, इसलिए जब आप ग्राफिकल एप्लिकेशन के नाम पर टाइप करते हैं, तो यह आपके स्थानीय मशीन पर प्रदर्शित होता है न कि रिमोट होस्ट पर। हम प्रयोग करते हैं घड़ी उदाहरण में, चूंकि यह एक छोटा प्रोग्राम है जो आम तौर पर स्थापित होता है और परीक्षण के लिए आदर्श होता है:

चित्र 10-3। SSH X11 अग्रेषण

SSH भी स्वचालित रूप से सर्वर मशीन पर Xauthority डेटा सेट करेगा। इस उद्देश्य के लिए, यह एक यादृच्छिक प्राधिकरण कुकी उत्पन्न करेगा, इसे इसमें संग्रहीत करेगा प्राधिकरण सर्वर पर, और सत्यापित करें कि कोई भी अग्रेषित कनेक्शन इस कुकी को ले जाता है और कनेक्शन खोले जाने पर इसे वास्तविक कुकी से बदल देता है। वास्तविक प्रमाणीकरण कुकी सर्वर मशीन को कभी नहीं भेजी जाती है (और कोई कुकी मैदान में नहीं भेजी जाती है)।

सुरक्षित चैनल पर मनमाने ढंग से टीसीपी/आईपी कनेक्शन का अग्रेषण या तो कमांड लाइन पर या कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट किया जा सकता है।

एक्स सर्वर

यह प्रक्रिया मानती है कि आपके पास क्लाइंट पर एक चल रहा एक्स सर्वर है जहां आप दूरस्थ होस्ट से एप्लिकेशन प्रदर्शित करना चाहते हैं। क्लाइंट रिमोट होस्ट की तुलना में अलग आर्किटेक्चर और ऑपरेटिंग सिस्टम का हो सकता है, जब तक यह एक एक्स सर्वर चला सकता है, जैसे कि सिगविन (जो एमएस विंडोज क्लाइंट और अन्य के लिए एक्स.ओआरजी सर्वर लागू करता है) या अधिक, यह संभव होना चाहिए किसी भी Linux या UNIX मशीन के साथ रिमोट कनेक्शन स्थापित करने के लिए।

10.4.4.3. सर्वर प्रमाणीकरण

RSI एसएसएच क्लाइंट/सर्वर सिस्टम स्वचालित रूप से उन सभी होस्टों के लिए पहचान वाले डेटाबेस को बनाए रखता है और जांचता है जिसका कभी भी उपयोग किया गया है। होस्ट कुंजियाँ कहाँ संग्रहीत की जाती हैं? $HOME/.ssh/ज्ञात_होस्ट्स उपयोगकर्ता की होम निर्देशिका में। इसके अतिरिक्त, फ़ाइल /आदि/ssh/ssh_ज्ञात_होस्ट्स ज्ञात मेजबानों के लिए स्वचालित रूप से जाँच की जाती है। कोई भी नया होस्ट स्वचालित रूप से उपयोगकर्ता की फ़ाइल में जुड़ जाता है। यदि मेजबान की पहचान कभी बदलती है, एसएसएच इसके बारे में चेतावनी देता है और ट्रोजन हॉर्स को उपयोगकर्ता का पासवर्ड प्राप्त करने से रोकने के लिए पासवर्ड प्रमाणीकरण को अक्षम करता है।

इस तंत्र का एक अन्य उद्देश्य मानव-में-मध्य हमलों को रोकना है जो अन्यथा एन्क्रिप्शन को रोकने के लिए उपयोग किए जा सकते हैं। ऐसे वातावरण में जहां उच्च सुरक्षा की आवश्यकता होती है, sshd उन मशीनों में लॉगिन को रोकने के लिए भी कॉन्फ़िगर किया जा सकता है जिनकी होस्ट कुंजियाँ बदल गई हैं या अज्ञात हैं।

10.4.4.4. सुरक्षित दूरस्थ प्रतिलिपि

SSH सुइट प्रदान करता है SCP के सुरक्षित विकल्प के रूप में आरसीपी कमांड जो केवल तभी लोकप्रिय हुआ करती थी RSH

अस्तित्व में। SCP का उपयोग करता है एसएसएच डेटा ट्रांसफर के लिए, उसी प्रमाणीकरण का उपयोग करता है और उसी तरह की सुरक्षा प्रदान करता है एसएसएच। भिन्न आरसीपी, SCP प्रमाणीकरण के लिए आवश्यक होने पर पासवर्ड या पासफ़्रेज़ मांगेंगे:

लेनी /var/tmp> scp शेड्यूल.sdc.gz ब्लॉब:/var/tmp/

लेनी@ब्लॉब का पासवर्ड:

अनुसूची.sdc.gz 100% |********************* 100 केबी 00:00

लेनी /var/tmp>

लेनी /var/tmp> scp शेड्यूल.sdc.gz ब्लॉब:/var/tmp/

लेनी@ब्लॉब का पासवर्ड:

अनुसूची.sdc.gz 100% |********************* 100 केबी 00:00

लेनी /var/tmp>

किसी भी फ़ाइल नाम में एक होस्ट और उपयोगकर्ता विनिर्देश हो सकता है जो यह इंगित करता है कि फ़ाइल को उस होस्ट से/में कॉपी किया जाना है। दो दूरस्थ होस्ट के बीच प्रतियों की अनुमति है। अधिक जानकारी के लिए जानकारी पृष्ठ देखें।

यदि आप एफ़टीपी जैसे इंटरफ़ेस का उपयोग करना चाहते हैं, तो उपयोग करें SFTP:

लेनी /var/tmp> एसएफटीपी ब्लॉब ब्लॉब से कनेक्ट हो रहा है... lenny@blob का पासवर्ड:

एसएफटीपी> सीडी/var/tmp

एसएफटीपी> एसएच प्राप्त करें*

/var/tmp/Schedule.sdc.gz को शेड्यूल.sdc.gz sftp> पर लाया जा रहा है अलविदा

लेनी /var/tmp>

लेनी /var/tmp> एसएफटीपी ब्लॉब ब्लॉब से कनेक्ट हो रहा है... lenny@blob का पासवर्ड:

एसएफटीपी> सीडी/var/tmp

एसएफटीपी> एसएच प्राप्त करें*

/var/tmp/Schedule.sdc.gz को शेड्यूल.sdc.gz sftp> पर लाया जा रहा है अलविदा

लेनी /var/tmp>

सुरक्षित प्रतिलिपि या FTP GUIs

अभी तक कमांड लाइन के साथ सहज महसूस नहीं करते हैं? सुरक्षित दूरस्थ प्रतिलिपि के लिए कॉन्करर की क्षमताओं का प्रयास करें, या पुट्टी स्थापित करें।

10.4.4.5. प्रमाणीकरण कुंजी

RSI ssh-keygen कमांड प्रमाणीकरण कुंजी उत्पन्न करता है, प्रबंधित करता है और परिवर्तित करता है एसएसएच. यह SSH प्रोटोकॉल संस्करण 1 द्वारा उपयोग के लिए RSA कुंजियाँ बना सकता है और SSH प्रोटोकॉल संस्करण 2 द्वारा उपयोग के लिए RSA या DSA कुंजियाँ बना सकता है।

आम तौर पर प्रत्येक उपयोगकर्ता जो आरएसए या डीएसए प्रमाणीकरण के साथ एसएसएच का उपयोग करना चाहता है, प्रमाणीकरण कुंजी बनाने के लिए इसे एक बार चलाता है $HOME/.ssh/पहचान, आईडी_डीएसए or आईडी_आरएसए. साथ ही, सिस्टम व्यवस्थापक इसका उपयोग सिस्टम के लिए होस्ट कुंजी उत्पन्न करने के लिए कर सकता है।

आम तौर पर यह प्रोग्राम कुंजी उत्पन्न करता है और एक फ़ाइल मांगता है जिसमें निजी कुंजी को स्टोर करना है। सार्वजनिक कुंजी को उसी नाम वाली फ़ाइल में संग्रहीत किया जाता है लेकिन .पब संलग्न। कार्यक्रम एक पासफ़्रेज़ के लिए भी पूछता है। कोई पासफ़्रेज़ इंगित करने के लिए पासफ़्रेज़ खाली हो सकता है (होस्ट कुंजियों में एक खाली पासफ़्रेज़ होना चाहिए), या यह मनमानी लंबाई की एक स्ट्रिंग हो सकती है।

खोए हुए पासफ़्रेज़ को पुनर्प्राप्त करने का कोई तरीका नहीं है। यदि पासफ़्रेज़ खो गया है या भूल गया है, तो एक नई कुंजी उत्पन्न की जानी चाहिए और संबंधित सार्वजनिक कुंजी में कॉपी की जानी चाहिए।

हम अभ्यासों में SSH कुंजियों का अध्ययन करेंगे। सभी जानकारी मैन या इन्फो पेज में पाई जा सकती है।

<पिछला | विषय-सूची | अगला>