Lai gan šī rokasgrāmata ir rakstīta ar Linux, tā var attiekties arī uz OpenSSH operētājsistēmā Mac OS X un Windows 7, izmantojot Cygwin.
Kāpēc tas ir drošs
Mēs esam daudzkārt minējuši, kā SSH ir lielisks veids, kā droši savienot un teltīt datus no viena punkta uz otru. Ļaujiet ļoti īsi aplūkot to, kā lietas darbojas, lai jūs labāk izprastu, kāpēc reizēm reizēm var rasties dīvaini.
Ja mēs domājam par mūsu savienojošo procesu kā pastu, tad, izmantojot FTP un Telnet un tamlīdzīgus līdzekļus, neizmanto standarta pasta aploksnes. Tas vairāk ir kā pastkartes izmantošana. Ja kāds gadās soli pa vidu, viņi var redzēt visu informāciju, tostarp abos korespondentu adreses un izsūtīto lietotājvārdu un paroli. Tad viņi var mainīt ziņu, saglabājot informāciju vienādi, un uzdoties par vienu korespondentu vai otru. Tas ir pazīstams kā "cilvēks-in-the-vidējā" uzbrukums, un tas ne tikai apdraud jūsu kontu, bet arī liek apšaubīt katru saņemto ziņojumu un nosūtīto failu. Jūs nevarat būt pārliecināts, vai runājat ar sūtītāju vai nē, un pat tad, ja esat, jūs nevarat būt pārliecināti, ka neviens neredz visu, sākot no viena starpā.
Tagad aplūkosim SSL šifrēšanu, tādā veidā, kas HTTP padara drošāku. Šeit mums ir pasta nodaļa, kas apstrādā korespondenci, kas pārbauda, vai jūsu saņēmējs ir tas, kurš viņš vai viņa apgalvo, un ir likumi, kas aizsargā jūsu e-pastu. Tas ir drošāks kopumā, un centrālā iestāde - Verisign ir viena, mūsu HTTPS piemērs - nodrošina, ka persona, kurai jūs sūtāt vēstules, pārbauda. Viņi to dara, nepieļaujot pastkartes (nešifrētus akreditācijas datus); Tā vietā viņi pilnvaro reālos aploksnes.
Ar izskaidrojumu tik ilgi, cik tas ir, mēs domājam, ka to sagriežam. Ja jums ir vēl kāds ieskats, protams, jūtieties brīvi tērzēt komentāros. Lai gan tagad apskatīsim vissvarīgāko SSH funkciju, uzņēmēja autentifikāciju.
Saimniekdatora atslēgas
Uzņēmuma autentifikācija būtībā ir tā daļa, kurā jūsu uzticamais lietotājs ņem aploksni (aizzīmogo ar burvju matemātiku) un apstiprina adresāta adresi. Tas ir diezgan sīks adreses apraksts, un tas ir balstīts uz kādu sarežģītu matemātiku, ka mēs vienkārši pārietam. Tomēr ir dažas no svarīgām lietām, kas no tā jānoņem:
- Tā kā centrālā iestāde nav, reālā drošība atrodas uzņemšanas taustiņā, publiskās atslēgas un privātās atslēgas. (Šie pēdējie divi taustiņi ir konfigurēti, kad jums tiek piešķirta piekļuve sistēmai.)
- Parasti, kad jūs izveidojat savienojumu ar citu datoru, izmantojot SSH, resursdatora atslēga tiek saglabāta. Tādējādi turpmākā rīcība būs ātrāka (vai mazāk verbāla).
- Ja mainās resursdatora atslēga, visticamāk, tiks brīdināti, un jums vajadzētu būt piesardzīgiem!
Tā kā resursdatora atslēga tiek izmantota pirms autentifikācijas, lai noteiktu SSH servera identitāti, pirms saiti pārliecinieties, ka esat to pārbaudījis. Jūs redzēsit apstiprinājuma dialogu, kā parādīts zemāk.
Jūsu sistēmas galvenās atslēgas pārbaude
Atslēgu izgatavošanai izmanto 4 veidu šifrēšanas algoritmus, taču sākotnējais OpenSSH noklusējums šī gada sākumā ir ECDSA (ar dažiem pamatotiem iemesliem). Mēs koncentrēsies uz šo vienu šodien.Šeit ir komanda, kuru varat palaist SSH serverī, kuram varat piekļūt:
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l
Jūsu produkcijai vajadzētu atgriezties šādi:
256 ca:62:ea:7c:e4:9e:2e:a6:94:20:11:db:9c:78:c3:4c /etc/ssh/ssh_host_ecdsa_key.pub
Pirmais numurs ir taustiņa bitu garums, pēc tam ir pati atslēga, un visbeidzot jums ir fails, kurā tas tiek saglabāts. Salīdziniet šo vidējo daļu ar to, ko redzat, kad tiek parādīts uzaicinājums no attāluma pieteikties. Tam vajadzētu sakrist, un jūs visi esat iestatījis. Ja tā nav, tad kaut kas cits varētu notikt.
Jūs varat apskatīt visus saimniekus, kuriem esat izveidojis savienojumu ar SSH, meklējot failu known_hosts. Parasti tā atrodas:
~/.ssh/known_hosts
To var atvērt jebkurā teksta redaktorā. Ja paskatās, mēģiniet pievērst uzmanību tam, kā tiek saglabāti taustiņi. Tie tiek saglabāti ar saimniekdatora nosaukumu (vai tīmekļa adresi) un tā IP adresi.
Mainīt resursdatora atslēgas un problēmas
Ir daži iemesli, kāpēc resursdatora atslēgas mainās vai tās neatbilst tam, kas ir pieteicies jūsu zināmā_hosts failā.
- Sistēma tika atkārtoti instalēta / atkārtoti konfigurēta.
- Drošības protokolu dēļ saimniekdatora atslēgas tika manuāli mainītas.
- Atjauninātais OpenSSH serveris drošības problēmu dēļ ir atjaunināts un izmanto dažādus standartus.
- IP vai DNS noma mainīta. Tas bieži nozīmē, ka mēģināt piekļūt citam datoram.
- Sistēma bija kaut kādā veidā apdraudēta, tādā veidā mainot resursdatora atslēgu.
Visticamāk, jautājums ir viens no pirmajiem trim, un jūs varat ignorēt izmaiņas. Ja IP / DNS nomaiņa mainīta, tad serverī var būt problēma, un jūs, iespējams, novirzīsit uz citu ierīci. Ja nezināt, kāds ir izmaiņu iemesls, tad droši vien vajadzētu uzskatīt, ka tas ir pēdējais no saraksta.
Kā OpenSSH rīkojas ar nezināmiem saimniekiem
Atkarībā no konfigurācijas, SSH savienojumi ar nezināmajiem saimniekiem (kuru atslēgas jau nav jūsu zināmā_hosts failā) var iet trīs veidos.
- StrictHostKeyChecking ir iestatīts uz nē; OpenSSH automātiski izveidos savienojumu ar jebkuru SSH serveri neatkarīgi no resursdatora atslēgas statusa. Tas ir nedrošs un nav ieteicams, izņemot gadījumus, ja pēc operētājsistēmas pārinstalēšanas pievienojat lielu skaitu saimniekdatoru, pēc kura jūs to nomainīsit atpakaļ.
- StrictHostKeyChecking ir iestatīts uz jautāšanu; OpenSSH parādīs jaunus resursdatora atslēgas un lūgs apstiprinājumu pirms to pievienošanas. Tas novērsīs savienojumus no mainīgajiem resursdatora taustiņiem. Tas ir noklusējums.
- StrictHostKeyChecking ir iestatīts uz Jā; Pretēji "nē", tas neļaus jums izveidot savienojumu ar jebkuru saimniekdatoru, kurš vēl nav pieejams jūsu zināmā_hosts failā.
Varat viegli mainīt šo mainīgo komandrindu, izmantojot šādu paradigmu:
ssh -o 'StrictHostKeyChecking [option]' user@host
Aizstāt [opciju] ar "nē", "jautāt" vai "jā". Jāņem vērā, ka šis mainīgais un tā iestatījums ir vienotas taisnās cenas. Arī nomainiet user @ host ar tā servera lietotājvārdu un resursdatora nosaukumu, ar kuru esat izveidojis savienojumu. Piemēram:
ssh -o 'StrictHostKeyChecking ask' [email protected]
Bloķētie saimnieki sakarā ar mainītajiem taustiņiem
Ja jums ir serveris, kuru mēģināt piekļūt, ja tā atslēga jau ir mainīta, noklusējuma OpenSSH konfigurācija neļaus jums piekļūt tam. Jūs varētu mainīt šī resursdatora StrictHostKeyChecking vērtību, bet tas nebūtu pilnīgi, rūpīgi, paranoidāli drošs, vai tas būtu? Tā vietā mēs varam vienkārši noņemt pārkāpjošo vērtību no mūsu zināmā_hosts faila.
Tagad mēs saņemam jauku ātru vietā, uz kuru mēs varam vienkārši atbildēt ar "jā".
Jaunu saimniekdatoru izveidošana
Lai iegūtu ierakstu, jums patiešām nav pārāk daudz iemeslu, kāpēc mainīt saimniekdatora atslēgu vispār, taču, ja jūs kādreiz atradīsit vajadzību, jūs varat to viegli izdarīt.
Vispirms mainiet atbilstošo sistēmas direktoriju:
cd /etc/ssh/
Parasti tas parasti notiek, ja ir izvietoti globālie resursdatora atslēgas, lai gan daži distiori tos novieto citur. Ja rodas šaubas, pārbaudiet savu dokumentāciju!
Tālāk mēs izdzēsīsim visas vecās atslēgas.
sudo rm /etc/ssh/ssh_host_*
Jūs varat arī pārvietot tos uz drošu dublējuma direktoriju. Tikai ideja!
Tad mēs varam pateikt, ka OpenSSH serverim ir jāpārkonfigurē sevi:
sudo dpkg-reconfigure openssh-server
Kad dators izveidos jaunus taustiņus, parādīsies uzvedne. Ta-da!
Tagad, kad jūs zināt, kā SSH darbojas nedaudz labāk, jums vajadzētu būt iespējai izkļūt no grūtībām. Brīdinājums / kļūda ir "Remote Host Identification Has Changed", kas nobloķē daudzus lietotājus, pat tos, kuri ir pazīstami ar komandrindu.
Par bonusa punktiem varat iepazīties ar to, kā attālināti kopēt failus, izmantojot SSH, neieviesot paroli. Šeit jūs uzzināsiet nedaudz vairāk par citiem šifrēšanas algoritmu veidiem un to, kā izmantot papildu failus drošībai.
