Пакет SSH из Введение в Linux от OnWorks

перейти к содержанию

Имейте в виду, что отображение окна терминала с удаленного компьютера также считается отображением изображения.

10.4.4. Пакет SSH

10.4.4.1. Введение

В большинстве систем UNIX и Linux теперь используется Secure SHell, чтобы исключить риски безопасности, связанные с Telnet. В большинстве систем Linux будет использоваться версия OpenSSH, реализация протокола SSH с открытым исходным кодом, обеспечивающая безопасную зашифрованную связь между ненадежными хостами по ненадежной сети. В стандартной настройке X-соединения перенаправляются автоматически, но произвольные порты TCP / IP также могут быть перенаправлены с использованием безопасного канала.

The SSH клиент подключается и входит в систему с указанным именем хоста. Пользователь должен предоставить свою личность удаленному компьютеру, как указано в sshd_config файл, который обычно можно найти в / etc / ssh. Файл конфигурации не требует пояснений и по умолчанию включает большинство общих функций. Если вам понадобится помощь, вы можете найти ее в SSHD страницы руководства.

Когда личность пользователя была принята сервером, сервер либо выполняет данную команду, либо входит в систему и предоставляет пользователю обычную оболочку на удаленной машине. Все коммуникации с удаленной командой или оболочкой будут автоматически зашифрованы.

Сеанс завершается, когда команда или оболочка на удаленном компьютере завершаются и все соединения X11 и TCP / IP закрываются.

При первом подключении к хосту с использованием любой из программ, включенных в коллекцию SSH, вам необходимо установить подлинность этого хоста и подтвердить, что вы хотите подключиться:

Ленни ~> ssh большой двоичный объект

Подлинность хоста blob (10.0.0.1) не может быть установлена. Отпечаток RSA - 18: 30: 50: 46: ac: 98: 3c: 93: 1a: 56: 35: 09: 8d: 97: e3: 1d. Вы уверены, что хотите продолжить подключение (да / нет)? Да

Предупреждение. В список известных хостов постоянно добавлен blob, 192.168.30.2 (RSA).

Последний вход: Сб 28 дек, 13:29:19 2002 от octarine Помещение сдается.

Ленни в ~

Ленни ~> ssh большой двоичный объект

Подлинность хоста blob (10.0.0.1) не может быть установлена. Отпечаток RSA - 18: 30: 50: 46: ac: 98: 3c: 93: 1a: 56: 35: 09: 8d: 97: e3: 1d. Вы уверены, что хотите продолжить подключение (да / нет)? Да

Предупреждение. В список известных хостов постоянно добавлен blob, 192.168.30.2 (RSA).

Последний вход: Сб 28 дек, 13:29:19 2002 от octarine Помещение сдается.

Ленни в ~

Важно, чтобы вы вводили «да», состоящее из трех символов, а не только «y». Это редактирует ваш ~ / .ssh / known_hosts

файл, см. Раздел 10.4.4.3.

Если вы просто хотите что-то проверить на удаленном компьютере, а затем вернуть запрос на локальный хост, вы можете указать команды, которые хотите выполнить удаленно, в качестве аргументов для SSH:

Ленни ~> ssh blob кто

пароль jenny @ blob:

корень	телетайп2	июль	24	07:19
Лена	телетайп3	июль	23	22:24
Лена	0:	июль	25	22:03

Ленни ~> uname -н

magrat.example.com

10.4.4.2. X11 и пересылка TCP

Если же линия индикатора X11Пересылка запись установлена на Да на целевой машине, а пользователь использует X-приложения, ДИСПЛЕЙ переменная окружения установлена, соединение с дисплеем X11 автоматически перенаправляется на удаленную сторону таким образом, что любые программы X11, запускаемые из оболочки, будут проходить через зашифрованный канал, а соединение с реальным X-сервером будет выполнено из локальная машина. Пользователь не должен вручную устанавливать ДИСПЛЕЙ. Пересылку соединений X11 можно настроить в командной строке или в SSHD Файл конфигурации.

Значение для ДИСПЛЕЙ установить с помощью SSH будет указывать на сервер, но с отображаемым номером больше нуля. Это нормально и происходит потому, что SSH создает полномочие X-сервер на серверном компьютере (на котором запущено клиентское приложение X) для пересылки соединений по зашифрованному каналу.

Все это делается автоматически, поэтому, когда вы вводите имя графического приложения, оно отображается на вашем локальном компьютере, а не на удаленном хосте. Мы используем хчасы в примере, поскольку это небольшая программа, которая обычно устанавливается и идеально подходит для тестирования:

Рисунок 10-3. Пересылка SSH X11

SSH также автоматически настроит данные Xauthority на сервере. Для этого он сгенерирует случайный файл cookie авторизации, сохранит его в Xавторитет на сервере и убедитесь, что все перенаправленные соединения содержат этот файл cookie, и замените его настоящим файлом cookie при открытии соединения. Настоящий файл cookie аутентификации никогда не отправляется на сервер (и файлы cookie не отправляются в обычном виде).

Пересылку произвольных TCP / IP-соединений по защищенному каналу можно указать либо в командной строке, либо в файле конфигурации.

X-сервер

Эта процедура предполагает, что у вас есть работающий X-сервер на клиенте, на котором вы хотите отображать приложение с удаленного хоста. Клиент может иметь другую архитектуру и операционную систему, чем удаленный хост, если он может запускать X-сервер, такой как Cygwin (который реализует сервер X.org для клиентов MS Windows и других) или Exceed, это должно быть возможно для установки удаленного соединения с любой машиной Linux или UNIX.

10.4.4.3. Аутентификация сервера

The SSH Система клиент / сервер автоматически поддерживает и проверяет базу данных, содержащую идентификаторы для всех хостов, с которыми она когда-либо использовалась. Ключи хоста хранятся в $ HOME / .ssh / known_hosts в домашнем каталоге пользователя. Кроме того, файл / etc / ssh / ssh_known_hosts автоматически проверяется на наличие известных хостов. Любые новые хосты автоматически добавляются в файл пользователя. Если идентификация хоста когда-либо изменится, SSH предупреждает об этом и отключает аутентификацию по паролю, чтобы троянский конь не получил пароль пользователя.

Другая цель этого механизма - предотвратить атаки типа «злоумышленник в середине», которые в противном случае можно было бы использовать для обхода шифрования. В средах, где требуется высокий уровень безопасности, SSHD можно даже настроить для предотвращения входа в систему на машинах, ключи хоста которых изменились или неизвестны.

10.4.4.4. Безопасное удаленное копирование

Пакет SSH предоставляет УПП как безопасную альтернативу РКП команда, которая была популярна, когда только RSH

существовала. УПП использования SSH для передачи данных использует ту же аутентификацию и обеспечивает ту же безопасность, что и SSH, В отличие от РКП, УПП запросит пароли или парольные фразы, если они необходимы для аутентификации:

lenny / var / tmp> scp Schedule.sdc.gz blob: / var / tmp /

пароль lenny @ blob:

Schedule.sdc.gz 100% | ***************************** | 100 КБ 00:00

lenny / var / tmp>

lenny / var / tmp> scp Schedule.sdc.gz blob: / var / tmp /

пароль lenny @ blob:

Schedule.sdc.gz 100% | ***************************** | 100 КБ 00:00

lenny / var / tmp>

Любое имя файла может содержать спецификацию хоста и пользователя, чтобы указать, что файл должен быть скопирован на / с этого хоста. Копии между двумя удаленными хостами разрешены. См. Информационные страницы для получения дополнительной информации.

Если вы предпочитаете использовать FTP-подобный интерфейс, используйте SFTP:

lenny / var / tmp> sftp-блоб Подключение к blob ... пароль lenny @ blob:

sftp> cd / var / tmp

sftp> получить Sch *

Получение /var/tmp/Schedule.sdc.gz в Schedule.sdc.gz sftp> до свидания

lenny / var / tmp>

lenny / var / tmp> sftp-блоб Подключение к blob ... пароль lenny @ blob:

sftp> cd / var / tmp

sftp> получить Sch *

Получение /var/tmp/Schedule.sdc.gz в Schedule.sdc.gz sftp> до свидания

lenny / var / tmp>

Безопасное копирование или FTP-интерфейс

Еще не чувствуете себя комфортно с командной строкой? Попробуйте возможности Konqueror для безопасного удаленного копирования или установите Putty.

10.4.4.5. Ключи аутентификации

The SSH-серийник команда генерирует, управляет и преобразует ключи аутентификации для SSH. Он может создавать ключи RSA для использования протоколом SSH версии 1 и ключи RSA или DSA для использования протоколом SSH версии 2.

Обычно каждый пользователь, желающий использовать SSH с аутентификацией RSA или DSA, запускает это один раз, чтобы создать ключ аутентификации в $ HOME / .ssh / identity, id_dsa or id_rsa. Кроме того, системный администратор может использовать это для генерации ключей хоста для системы.

Обычно эта программа генерирует ключ и запрашивает файл для хранения секретного ключа. Открытый ключ хранится в файле с тем же именем, но .паб добавлено. Программа также запрашивает кодовую фразу. Кодовая фраза может быть пустой, чтобы обозначить отсутствие парольной фразы (ключи хоста должны иметь пустую парольную фразу), или это может быть строка произвольной длины.

Невозможно восстановить утерянную кодовую фразу. Если кодовая фраза утеряна или забыта, необходимо сгенерировать новый ключ и скопировать его в соответствующие открытые ключи.

Мы изучим SSH-ключи в упражнениях. Всю информацию можно найти на страницах man или Info.