OnWorks Linux và Windows Online WorkStations

Logo

Lưu trữ trực tuyến miễn phí cho máy trạm

<Trước | Nội dung | Tiếp theo>

Lưu ý rằng việc hiển thị cửa sổ đầu cuối từ máy điều khiển từ xa cũng được coi là hiển thị một hình ảnh.


hình ảnh

10.4.4. Bộ SSH


10.4.4.1. Giới thiệu


Hầu hết các hệ thống UNIX và Linux hiện nay đều chạy Secure SHell để loại bỏ các rủi ro bảo mật đi kèm telnet. Hầu hết các hệ thống Linux sẽ chạy phiên bản OpenSSH, một triển khai Mã nguồn mở của giao thức SSH, cung cấp thông tin liên lạc được mã hóa an toàn giữa các máy chủ không đáng tin cậy qua một mạng không đáng tin cậy. Trong thiết lập tiêu chuẩn, các kết nối X được chuyển tiếp tự động, nhưng các cổng TCP / IP tùy ý cũng có thể được chuyển tiếp bằng kênh bảo mật.


Sản phẩm ssh khách hàng kết nối và đăng nhập vào tên máy chủ được chỉ định. Người dùng phải cung cấp danh tính của mình cho máy từ xa như được chỉ định trong sshd_config tệp, thường có thể được tìm thấy trong / etc / ssh. Tệp cấu hình khá dễ hiểu và theo mặc định cho phép hầu hết các tính năng phổ biến. Nếu bạn cần giúp đỡ, bạn có thể tìm thấy nó trong sshd trang người đàn ông.


Khi danh tính của người dùng đã được máy chủ chấp nhận, máy chủ sẽ thực thi lệnh đã cho hoặc đăng nhập vào máy và cung cấp cho người dùng một trình bao bình thường trên máy từ xa. Tất cả giao tiếp với lệnh từ xa hoặc trình bao sẽ được mã hóa tự động.


Phiên kết thúc khi lệnh hoặc trình bao trên máy từ xa thoát và tất cả các kết nối X11 và TCP / IP đã bị đóng.


Khi kết nối với máy chủ lưu trữ lần đầu tiên, sử dụng bất kỳ chương trình nào có trong bộ sưu tập SSH, bạn cần thiết lập tính xác thực của máy chủ đó và xác nhận rằng bạn muốn kết nối:


lenny ~> ssh blob

Không thể thiết lập tính xác thực của máy chủ 'blob (10.0.0.1)'. Dấu vân tay RSA là 18: 30: 50: 46: ac: 98: 3c: 93: 1a: 56: 35: 09: 8d: 97: e3: 1d. Bạn có chắc chắn muốn tiếp tục kết nối (có / không)? Vâng

Cảnh báo: Đã thêm vĩnh viễn 'blob, 192.168.30.2' (RSA) vào danh sách các máy chủ đã biết.

Lần đăng nhập cuối: Thứ bảy, 28 tháng 13 29:19:2002 XNUMX từ octarine Căn hộ này cho thuê.


lenny đang ở ~

lenny ~> ssh blob

Không thể thiết lập tính xác thực của máy chủ 'blob (10.0.0.1)'. Dấu vân tay RSA là 18: 30: 50: 46: ac: 98: 3c: 93: 1a: 56: 35: 09: 8d: 97: e3: 1d. Bạn có chắc chắn muốn tiếp tục kết nối (có / không)? Vâng

Cảnh báo: Đã thêm vĩnh viễn 'blob, 192.168.30.2' (RSA) vào danh sách các máy chủ đã biết.

Lần đăng nhập cuối: Thứ bảy, 28 tháng 13 29:19:2002 XNUMX từ octarine Căn hộ này cho thuê.


lenny đang ở ~

Điều quan trọng là bạn phải nhập "có", trong ba ký tự, không chỉ "y". Điều này chỉnh sửa của bạn ~ / .ssh / known_hosts

, xem Phần 10.4.4.3.


Nếu bạn chỉ muốn kiểm tra điều gì đó trên một máy từ xa và sau đó nhận lại lời nhắc trên máy chủ cục bộ, bạn có thể đưa ra các lệnh mà bạn muốn thực thi từ xa dưới dạng đối số ssh:


hình ảnh

lenny ~> ssh blob ai

mật khẩu của jenny @ blob:


nguồn gốc

ty2

Tháng Bảy

24

07:19

lena

ty3

Tháng Bảy

23

22:24

lena

0:

Tháng Bảy

25

22:03

lenny ~> tên -n

magrat.example.com


hình ảnh


10.4.4.2. Chuyển tiếp X11 và TCP


Nếu X11 Chuyển tiếp mục nhập được đặt thành Vâng trên máy mục tiêu và người dùng đang sử dụng các ứng dụng X, DISPLAY biến môi trường được đặt, kết nối đến màn hình X11 sẽ tự động được chuyển tiếp đến phía điều khiển từ xa theo cách mà bất kỳ chương trình X11 nào bắt đầu từ trình bao sẽ đi qua kênh được mã hóa và kết nối đến máy chủ X thực sẽ được thực hiện từ máy địa phương. Người dùng không nên đặt theo cách thủ công DISPLAY. Việc chuyển tiếp các kết nối X11 có thể được định cấu hình trên dòng lệnh hoặc trong sshd tập tin cấu hình.


Giá trị cho DISPLAY đặt bởi ssh sẽ trỏ đến máy chủ, nhưng với số hiển thị lớn hơn XNUMX. Điều này là bình thường và xảy ra bởi vì ssh tạo ra một Proxy Máy chủ X trên máy chủ (chạy ứng dụng máy khách X) để chuyển tiếp các kết nối qua kênh được mã hóa.


Tất cả điều này được thực hiện tự động, vì vậy khi bạn nhập tên của một ứng dụng đồ họa, nó sẽ được hiển thị trên máy cục bộ của bạn chứ không phải trên máy chủ từ xa. Chúng tôi sử dụng xđồng hồ trong ví dụ, vì nó là một chương trình nhỏ thường được cài đặt và lý tưởng để thử nghiệm:


Hình 10-3. Chuyển tiếp SSH X11


hình ảnh


SSH cũng sẽ tự động thiết lập dữ liệu Xauthority trên máy chủ. Với mục đích này, nó sẽ tạo ra một cookie ủy quyền ngẫu nhiên, hãy lưu trữ nó trong Xmasterity trên máy chủ và xác minh rằng mọi kết nối được chuyển tiếp đều mang cookie này và thay thế nó bằng cookie thực khi kết nối được mở. Cookie xác thực thực sự không bao giờ được gửi đến máy chủ (và không có cookie nào được gửi ở dạng thuần túy).


Việc chuyển tiếp các kết nối TCP / IP tùy ý qua kênh bảo mật có thể được chỉ định trên dòng lệnh hoặc trong tệp cấu hình.


hình ảnhMáy chủ X

Quy trình này giả định rằng bạn có một máy chủ X đang chạy trên máy khách mà bạn muốn hiển thị ứng dụng từ máy chủ từ xa. Máy khách có thể có kiến ​​trúc và hệ điều hành khác với máy chủ từ xa, miễn là nó có thể chạy một máy chủ X, chẳng hạn như Cygwin (triển khai máy chủ X.org cho các máy khách MS Windows và những người khác) hoặc Exceed, thì có thể để thiết lập kết nối từ xa với bất kỳ máy Linux hoặc UNIX nào.


hình ảnh

10.4.4.3. Xác thực máy chủ


Sản phẩm ssh hệ thống máy khách / máy chủ tự động duy trì và kiểm tra cơ sở dữ liệu có chứa thông tin nhận dạng cho tất cả các máy chủ mà nó đã từng được sử dụng. Các khóa máy chủ được lưu trữ trong $ HOME / .ssh / known_hosts trong thư mục chính của người dùng. Ngoài ra, tệp / etc / ssh / ssh_known_hosts được tự động kiểm tra các máy chủ đã biết. Mọi máy chủ mới sẽ tự động được thêm vào tệp của người dùng. Nếu nhận dạng của máy chủ lưu trữ thay đổi, ssh cảnh báo về điều này và vô hiệu hóa xác thực mật khẩu để ngăn một con ngựa thành Troy lấy được mật khẩu của người dùng.

Một mục đích khác của cơ chế này là ngăn chặn các cuộc tấn công man-in-the-middle có thể được sử dụng để phá vỡ mã hóa. Trong môi trường cần bảo mật cao, sshd thậm chí có thể được cấu hình để ngăn đăng nhập vào các máy có khóa máy chủ đã thay đổi hoặc không xác định.


hình ảnh


10.4.4.4. Sao chép từ xa an toàn


Bộ SSH cung cấp Scp như một sự thay thế an toàn cho rcp lệnh đã từng phổ biến khi chỉ rsh

tồn tại Scp sử dụng ssh để truyền dữ liệu, sử dụng cùng một xác thực và cung cấp bảo mật giống như ssh. không giống rcp, Scp sẽ yêu cầu mật khẩu hoặc cụm mật khẩu nếu chúng cần thiết để xác thực:


lenny / var / tmp> scp Schedule.sdc.gz blob: / var / tmp /

mật khẩu của lenny @ blob:

Schedule.sdc.gz 100% | ***************************** | 100 KB 00:00


lenny / var / tmp>

lenny / var / tmp> scp Schedule.sdc.gz blob: / var / tmp /

mật khẩu của lenny @ blob:

Schedule.sdc.gz 100% | ***************************** | 100 KB 00:00


lenny / var / tmp>

Bất kỳ tên tệp nào cũng có thể chứa một máy chủ lưu trữ và thông số kỹ thuật của người dùng để chỉ ra rằng tệp sẽ được sao chép vào / từ máy chủ đó. Cho phép sao chép giữa hai máy chủ từ xa. Xem các trang Thông tin để biết thêm thông tin.


Nếu bạn muốn sử dụng giao diện giống FTP, hãy sử dụng sftp:


lenny / var / tmp> đốm màu sftp Đang kết nối với blob ... mật khẩu của lenny @ blob:


sftp> cd / var / tmp


sftp> lấy Sch *

Tìm nạp /var/tmp/Schedule.sdc.gz vào Schedule.sdc.gz sftp> tạm biệt

lenny / var / tmp>

lenny / var / tmp> đốm màu sftp Đang kết nối với blob ... mật khẩu của lenny @ blob:


sftp> cd / var / tmp


sftp> lấy Sch *

Tìm nạp /var/tmp/Schedule.sdc.gz vào Schedule.sdc.gz sftp> tạm biệt

lenny / var / tmp>


hình ảnhBản sao an toàn hoặc GUI FTP

Bạn chưa cảm thấy thoải mái với dòng lệnh? Hãy thử các khả năng của Konqueror để sao chép từ xa an toàn hoặc cài đặt Putty.


hình ảnh


10.4.4.5. Khóa xác thực


Sản phẩm ssh-keygen lệnh tạo, quản lý và chuyển đổi khóa xác thực cho ssh. Nó có thể tạo các khóa RSA để sử dụng bởi giao thức SSH phiên bản 1 và các khóa RSA hoặc DSA để sử dụng bởi giao thức SSH phiên bản 2.


Thông thường, mỗi người dùng muốn sử dụng SSH với xác thực RSA hoặc DSA sẽ chạy thao tác này một lần để tạo khóa xác thực trong $ HOME / .ssh / danh tính, id_dsa or id_rsa. Ngoài ra, quản trị viên hệ thống có thể sử dụng quyền này để tạo khóa máy chủ cho hệ thống.


Thông thường chương trình này tạo khóa và yêu cầu một tệp để lưu khóa cá nhân. Khóa công khai được lưu trữ trong một tệp có cùng tên nhưng .pub thêm vào. Chương trình cũng yêu cầu một cụm mật khẩu. Cụm mật khẩu có thể trống để cho biết không có cụm mật khẩu nào (các khóa máy chủ phải có cụm mật khẩu trống) hoặc nó có thể là một chuỗi có độ dài tùy ý.


Không có cách nào để khôi phục cụm mật khẩu bị mất. Nếu cụm mật khẩu bị mất hoặc quên, một khóa mới phải được tạo và sao chép vào các khóa công khai tương ứng.


Chúng ta sẽ nghiên cứu các khóa SSH trong phần bài tập. Tất cả thông tin có thể được tìm thấy trong người đàn ông hoặc trang Thông tin.


hình ảnh


  

 

<Trước | Nội dung | Tiếp theo>

  

Điện toán đám mây hệ điều hành hàng đầu tại OnWorks: