<הקודם | תוכן | הבא>

שימו לב שהצגת חלון מסוף מהמכשיר המרוחק נחשבת גם לתצוגה של תמונה.

10.4.4. סוויטת SSH

10.4.4.1. מבוא

רוב מערכות ה-UNIX וה-Linux מריצים כעת את Secure SHell כדי להשאיר בחוץ את סיכוני האבטחה שנלוו Telnet. רוב מערכות לינוקס יפעילו גרסה של OpenSSH, מימוש קוד פתוח של פרוטוקול SSH, המספק תקשורת מוצפנת מאובטחת בין מארחים לא מהימנים על גבי רשת לא מהימנה. בהגדרה הסטנדרטית X חיבורים מועברים אוטומטית, אך יציאות TCP/IP שרירותיות עשויות להיות מועברות גם באמצעות ערוץ מאובטח.

אל האני ssh הלקוח מתחבר ומתחבר לשם המארח שצוין. על המשתמש למסור את זהותו למכונה המרוחקת כמפורט ב- sshd_config קובץ, שבדרך כלל ניתן למצוא ב /etc/ssh. קובץ התצורה הוא די מובן מאליו וכברירת מחדל מאפשר את רוב התכונות הנפוצות. אם תזדקק לעזרה, תוכל למצוא אותה ב- sshd דפי גבר.

כאשר זהות המשתמש התקבלה על ידי השרת, השרת מבצע את הפקודה הנתונה, או נכנס למכונה ונותן למשתמש מעטפת רגילה במחשב המרוחק. כל התקשורת עם הפקודה או המעטפת מרחוק תוצפן אוטומטית.

ההפעלה מסתיימת כאשר הפקודה או המעטפת במחשב המרוחק יוצאת וכל חיבורי X11 ו-TCP/IP נסגרו.

בעת התחברות למארח בפעם הראשונה, באמצעות כל אחת מהתוכנות הכלולות באוסף SSH, עליך לקבוע את האותנטיות של אותו מארח ולאשר שברצונך להתחבר:

לני ~> כתם ssh

לא ניתן לקבוע את האותנטיות של המארח 'בלוב (10.0.0.1)'. טביעת האצבע של RSA היא 18:30:50:46:ac:98:3c:93:1a:56:35:09:8d:97:e3:1d. האם אתה בטוח שברצונך להמשיך להתחבר (כן/לא)? כן

אזהרה: הוספה לצמיתות 'blob,192.168.30.2' (RSA) לרשימת המארחים הידועים.

כניסה אחרונה: שבת 28 דצמבר 13:29:19 2002 מאת octarine חלל זה להשכרה.

לני נמצא ב-~

לני ~> כתם ssh

לא ניתן לקבוע את האותנטיות של המארח 'בלוב (10.0.0.1)'. טביעת האצבע של RSA היא 18:30:50:46:ac:98:3c:93:1a:56:35:09:8d:97:e3:1d. האם אתה בטוח שברצונך להמשיך להתחבר (כן/לא)? כן

אזהרה: הוספה לצמיתות 'blob,192.168.30.2' (RSA) לרשימת המארחים הידועים.

כניסה אחרונה: שבת 28 דצמבר 13:29:19 2002 מאת octarine חלל זה להשכרה.

לני נמצא ב-~

חשוב שתקליד "כן", בשלושה תווים, לא רק "y". זה עורך את שלך ~/.ssh/known_hosts

קובץ, ראה סעיף 10.4.4.3.

אם אתה רק רוצה לבדוק משהו במחשב מרוחק ואז להחזיר את ההנחיה שלך למארח המקומי, אתה יכול לתת את הפקודות שברצונך לבצע מרחוק כארגומנטים ל ssh:

לני ~> ssh blob מי

הסיסמה של jenny@blob:

לני ~> unname -n

magrat.example.com

10.4.4.2. העברת X11 ו-TCP

אם X11 העברה הערך מוגדר ל כן במחשב היעד והמשתמש משתמש ב-X יישומים, ה תצוגה משתנה הסביבה מוגדר, החיבור לתצוגה X11 מועבר אוטומטית לצד המרוחק באופן שכל תוכניות X11 שהופעלו מהמעטפת יעברו בערוץ המוצפן, והחיבור לשרת X האמיתי יתבצע מה- מכונה מקומית. המשתמש לא צריך להגדיר באופן ידני תצוגה. ניתן להגדיר העברה של חיבורי X11 בשורת הפקודה או ב- sshd קובץ תצורה.

הערך עבור תצוגה מוגדר על ידי ssh יצביע על מכונת השרת, אבל עם מספר תצוגה גדול מאפס. זה נורמלי, וקורה בגלל ssh יוצר פרוקסי שרת X במחשב השרת (שמריץ את יישום לקוח X) להעברת החיבורים דרך הערוץ המוצפן.

כל זה נעשה באופן אוטומטי, כך שכאשר אתה מקליד את השם של יישום גרפי, הוא מוצג במחשב המקומי שלך ולא במארח המרוחק. אנו משתמשים xclock בדוגמה, מכיוון שמדובר בתוכנה קטנה שבדרך כלל מותקנת ואידיאלית לבדיקה:

איור 10-3. שילוח SSH X11

SSH גם יגדיר באופן אוטומטי נתוני Xauthority במחשב השרת. למטרה זו, הוא יפיק עוגיית הרשאה אקראית, תאחסן אותה סמכות בשרת, וודא שכל החיבורים המועברים נושאים את ה-cookie הזה ומחליפים אותו ב-cookie האמיתי כאשר החיבור נפתח. עוגיית האימות האמיתית לעולם לא נשלחת למכונת השרת (ולא נשלחות עוגיות באופן רגיל).

ניתן לציין העברה של חיבורי TCP/IP שרירותיים דרך הערוץ המאובטח בשורת הפקודה או בקובץ תצורה.

שרת X

הליך זה מניח שיש לך שרת X פועל בלקוח שבו ברצונך להציג את היישום מהמארח המרוחק. הלקוח עשוי להיות בעל ארכיטקטורה ומערכת הפעלה שונה מהמארח המרוחק, כל עוד הוא יכול להריץ שרת X, כגון Cygwin (שמיישמת שרת X.org עבור לקוחות MS Windows ואחרים) או Exceed, זה אמור להיות אפשרי כדי להגדיר חיבור מרחוק עם כל מחשב לינוקס או UNIX.

10.4.4.3. אימות שרת

אל האני ssh מערכת לקוח/שרת מתחזקת ובודקת באופן אוטומטי מסד נתונים המכיל זיהויים עבור כל המארחים שאיתם נעשה אי פעם שימוש. מפתחות מארח מאוחסנים ב $ HOME / .ssh / known_hosts בספריית הבית של המשתמש. בנוסף, הקובץ /etc/ssh/ssh_known_hosts נבדק אוטומטית עבור מארחים ידועים. כל מארחים חדשים מתווספים אוטומטית לקובץ של המשתמש. אם הזיהוי של המארח משתנה אי פעם, ssh מזהיר על כך ומשבית את אימות הסיסמה כדי למנוע מסוס טרויאני לקבל את סיסמת המשתמש.

מטרה נוספת של מנגנון זה היא למנוע התקפות של אדם-באמצע אשר יכלו לשמש אחרת כדי לעקוף את ההצפנה. בסביבות בהן יש צורך באבטחה גבוהה, sshd ניתן אפילו להגדיר כך למנוע התחברות למכונות שמפתחות המארח שלהם השתנו או שאינם ידועים.

10.4.4.4. העתקה מאובטחת מרחוק

סוויטת SSH מספקת SCP כחלופה בטוחה ל- rcp פקודה שהייתה פופולרית רק כאשר רש

היה קיים. SCP שימושים ssh להעברת נתונים, משתמש באותו אימות ומספק את אותה אבטחה כמו ssh. בניגוד rcp, SCP יבקש סיסמאות או ביטויי סיסמה אם הם נחוצים לאימות:

לני /var/tmp> scp Schedule.sdc.gz blob:/var/tmp/

הסיסמה של lenny@blob:

Schedule.sdc.gz 100% |******************************| 100 KB 00:00

לני /var/tmp>

לני /var/tmp> scp Schedule.sdc.gz blob:/var/tmp/

הסיסמה של lenny@blob:

Schedule.sdc.gz 100% |******************************| 100 KB 00:00

לני /var/tmp>

כל שם קובץ עשוי להכיל מפרט מארח ומפרט משתמש כדי לציין שיש להעתיק את הקובץ אל/מאותו מארח. מותרים עותקים בין שני מארחים מרוחקים. עיין בדפי המידע למידע נוסף.

אם אתה מעדיף להשתמש בממשק דמוי FTP, השתמש sftp:

לני /var/tmp> כתם sftp מתחבר ל-blob... הסיסמה של lenny@blob:

sftp> cd /var/tmp

sftp> קבל ש*

מביא את /var/tmp/Schedule.sdc.gz אל Schedule.sdc.gz sftp> ביי

לני /var/tmp>

לני /var/tmp> כתם sftp מתחבר ל-blob... הסיסמה של lenny@blob:

sftp> cd /var/tmp

sftp> קבל ש*

מביא את /var/tmp/Schedule.sdc.gz אל Schedule.sdc.gz sftp> ביי

לני /var/tmp>

עותק מאובטח או ממשקי FTP

עדיין לא מרגישים בנוח עם שורת הפקודה? נסה את היכולות של Konqueror להעתקה מאובטחת מרחוק, או התקן את Putty.

10.4.4.5. מפתחות אימות

אל האני ssh-keygen הפקודה יוצרת, מנהלת וממירה מפתחות אימות עבור ssh. זה יכול ליצור מפתחות RSA לשימוש על ידי פרוטוקול SSH גרסה 1 ומפתחות RSA או DSA לשימוש על ידי פרוטוקול SSH גרסה 2.

בדרך כלל כל משתמש המעוניין להשתמש ב-SSH עם אימות RSA או DSA מפעיל זאת פעם אחת כדי ליצור את מפתח האימות ב $HOME/.ssh/identity, id_dsa or id_rsa. בנוסף, מנהל המערכת עשוי להשתמש בזה כדי ליצור מפתחות מארח עבור המערכת.

בדרך כלל תוכנית זו מייצרת את המפתח ומבקשת קובץ שבו לאחסן את המפתח הפרטי. המפתח הציבורי מאוחסן בקובץ עם אותו שם אבל .פוב מצורף. התוכנית גם מבקשת ביטוי סיסמה. ביטוי הסיסמה עשוי להיות ריק כדי לציין שאין ביטוי סיסמה (למפתחות מארח חייבים להיות ביטוי סיסמה ריק), או שהוא עשוי להיות מחרוזת באורך שרירותי.

אין דרך לשחזר ביטוי סיסמה שאבד. אם ביטוי הסיסמה אבד או נשכח, יש ליצור מפתח חדש ולהעתיק אותו למפתחות הציבוריים המתאימים.

נלמד מפתחות SSH בתרגילים. כל המידע ניתן למצוא בדפי האיש או המידע.

<הקודם | תוכן | הבא>