कसरी कन्फिगर गर्न र SSH पोर्ट प्रयोग गर्ने? चरण पुस्तिका द्वारा चरण

सुरक्षित शेल, वा SSH रूपमा संक्षिप्त, यो प्रसारण सबैभन्दा उन्नत डाटा सुरक्षा प्रविधिहरू को छ। एउटै राउटरमा एक शासन जस्तै प्रयोग गर्न मात्र प्रसारित जानकारी गोपनीयता अनुमति दिन्छ, तर पनि प्याकेटहरू को विनिमय गति गर्न। तथापि, सबैलाई सम्म SSH पोर्ट खोल्न रूपमा थाह र किन यो सबै आवश्यक छ। यस मामला मा एक रचनात्मक व्याख्या दिन आवश्यक छ।

पोर्ट SSH: यो के हो र हामी किन चाहिन्छ?

हामी यो मामला मा, सुरक्षा बारे कुरा गर्दै छन् भएकोले SSH पोर्ट अन्तर्गत डाटा गुप्तिकरण प्रदान गर्दछ जो एक टनेल को फारम, मा बुझे गर्न समर्पित च्यानल।

यो टनेल सबैभन्दा आदिम योजना छ खुला SSH-पोर्ट को अन्तिम विन्दु मा स्रोत र डिक्रिप्सन मा डाटा गुप्तिकरण गर्न पूर्वनिर्धारित प्रयोग गरिन्छ। तपाईं यसलाई रुचि वा, को IPSec विपरीत, प्रसारित यातायात वाध्यताले र नेटवर्क को उत्पादन टर्मिनल अन्तर्गत गुप्तिकरण गरिएको र प्रवेशको लागि प्राप्त पक्षमा कि: यो रूपमा निम्नानुसार व्याख्या गर्न सकिन्छ। यस च्यानलमा प्रसारित जानकारी गुप्त गर्न, प्राप्त टर्मिनल विशेष कुञ्जी प्रयोग गर्दछ। अर्को शब्दमा, स्थानान्तरण मा हस्तक्षेप वा एक एक प्रमुख बिना गर्न सक्छन् क्षण मा प्रसारित डाटा को निष्ठा सम्झौता गर्न।

बस SSH-सर्भरसँग कुनै पनि राउटर वा अतिरिक्त ग्राहक को उपयुक्त सेटिङ प्रयोग गरेर SSH-पोर्ट खोल्ने पारस्परिक, तपाईं पूर्णतया आधुनिक नेटवर्क सुरक्षा प्रणाली को सबै सुविधाहरू प्रयोग गर्न अनुमति दिन्छ। हामी यहाँ पूर्वनिर्धारित वा अनुकुल सेटिङहरू द्वारा तोकिएको छ कि एक पोर्ट कसरी प्रयोग गर्ने हो। आवेदन यी मापदण्डहरू गाह्रो लाग्न सक्छ, तर एक जडान यस्तो को संगठन को समझ बिना पर्याप्त छैन।

मानक SSH पोर्ट

यदि, साँच्चै, राउटर को कुनै पनि को मापदण्डहरु पहिलो क्रम निर्धारण गर्नुपर्छ आधारित सफ्टवेयर कस्तो यो लिंक सक्रिय लागि प्रयोग गरिने छ। वास्तवमा, पूर्वनिर्धारित SSH पोर्ट विभिन्न सेटिङ हुन सक्छ। सबै (, सर्भर गर्न प्रत्यक्ष जडान अतिरिक्त ग्राहक पोर्ट फर्वार्ड र यति मा। डी स्थापना) क्षणमा प्रयोग गरिन्छ के विधि मा निर्भर गर्दछ।

उदाहरणका लागि, ग्राहक प्रयोग भने अस्पष्ट, सही जडानहरू, गुप्तिकरण, र डाटा स्थानान्तरण पोर्ट 443 को लागि प्रयोग गर्न, embodiment मानक पोर्ट 22 मा सेट गरिएको छ हुनत छ।

एक विशेष कार्यक्रम लागि निर्धारण गर्न राउटर रिसेट वा आवश्यक अवस्था प्रदर्शन गर्न प्रक्रिया गर्न पोर्ट फर्वार्ड SSH। यो के हो? यो सेटिङ वर्तमान छ बिना इन्टरनेट जडान प्रयोग एकल कार्यक्रम गर्न एक विशेष पहुँच उद्देश्य छ प्रोटोकल विनिमय डाटा (IPv4 वा IPv6)।

प्राविधिक औचित्य

मानक SSH पोर्ट 22 यो पहिले नै स्पष्ट थियो सधैं प्रयोग गरिन्छ। तर, यहाँ यो आवश्यक सेटअप समयमा प्रयोग विशेषताहरु र केही सेटिङ आवंटित छ।

गुप्तिकरण डेटा गोपनीयता प्रोटोकल विशुद्ध बाह्य (अतिथि) प्रयोगकर्ता पोर्ट रूपमा SSH को प्रयोग किन समावेश? तर केवल किनभने tunneling लागू गरिन्छ यो एक तथाकथित रिमोट (ssh) को प्रयोग, रिमोट लगइन (slogin) मार्फत टर्मिनल व्यवस्थापन पहुँच बढाउनका, र रिमोट प्रतिलिपि प्रक्रिया (SCP) लागू गर्न अनुमति दिन्छ।

साथै, SSH-पोर्ट जहाँ प्रयोगकर्ता रिमोट लिपि रूपमा बाध्य डाटा गुप्तलेखन, भन्नुभयो गरिएको छ साधारण मामला मा, अर्को एक मिसिन जानकारी को स्थानान्तरण छ एक्स विंडोज, कार्यान्वयन गर्न आवश्यक छ मामला मा सक्रिय गर्न सकिन्छ। यस्तो अवस्थामा सबैभन्दा आवश्यक मा एईएस अल्गोरिदम आधारित प्रयोग गर्नेछ। यो एक सममित गुप्तिकरण अल्गोरिदम, मूल SSH प्रविधिमा प्रदान गरिएको थियो जो छ। र यो केवल सम्भव छैन तर आवश्यक प्रयोग गर्नुहोस्।

बोध को इतिहास

प्रविधिलाई एक लामो समय को लागि देखा छ। हामीलाई Icing SSH पोर्ट कसरी बनाउने प्रश्न तर्फ छोड्न र कसरी यो सबै काम ध्यान केन्द्रित गरौं।

सामान्यतया यो मोजे आधारमा प्रोक्सी प्रयोग वा VPN tunneling प्रयोग गर्न, तल आउँछ। मामला मा केहि सफ्टवेयर आवेदन VPN संग, राम्रो यो विकल्प चयन गर्न काम गर्न सक्छन्। आज लगभग सबै ज्ञात कार्यक्रम इन्टरनेटमा यातायात प्रयोग भन्ने तथ्यलाई, को VPN काम गर्न सक्छन्, तर सजिलै मार्ग कन्फिगरेसन छैन। यो, प्रोक्सी सर्भर को मामला मा को रूप मा, हाल उत्पादन नेटवर्क अपरिचित मा, उत्पादन जो देखि टर्मिनल को बाह्य ठेगाना छोड्न अनुमति दिन्छ। त्यो प्रोक्सी ठेगाना संग मामला सधैं परिवर्तन छ, र VPN संस्करण एक निश्चित क्षेत्र को fixation, त्यहाँ पहुँच मा प्रतिबंध छ जहाँ एक भन्दा अन्य संग अपरिवर्तित रहन्छ।

SSH पोर्ट प्रदान धेरै नै प्रविधि, 1995 मा फिनल्याण्ड प्रविधिको विश्वविद्यालय (SSH-1) मा विकसित भएको थियो। 1996 मा, सुधार यो लागि, साथै केही पश्चिमी युरोपेली देशहरूमा, यो टनेल प्रयोग गर्न अनुमति प्राप्त गर्न कहिलेकाहीं आवश्यक छ हुनत, एकदम पोस्ट-सोभियत अन्तरिक्ष मा व्यापक थियो जो SSH-2 प्रोटोकल, को रूप मा थपियो र सरकारी निकायहरूबाट गरिएका छन्।

SSH-पोर्ट खोल्ने, टेलनेट वा rlogin गर्न विरोध रूपमा मुख्य लाभ, डिजिटल हस्ताक्षर RSA वा डीएसए (को खुला एक जोडी र एक गाडे कुञ्जीको प्रयोग) को प्रयोग हो। यसबाहेक, यस अवस्थामा तपाईं एक सममित गुप्तिकरण उत्पादन प्रयोग समावेश जो अल्पकालिक Diffie-Hellman अल्गोरिदम, आधारित तथाकथित सत्र कुञ्जी, डाटा प्रसारण र स्वागत अर्को मिसिन द्वारा समयमा asymmetric गुप्तिकरण एल्गोरिदम प्रयोग preclude छैन हुनत प्रयोग गर्न सक्नुहुन्छ।

सर्भर र खोल

विन्डोज वा लिनक्स SSH-पोर्ट खुला त गाह्रो छैन। मात्र प्रश्न यो उद्देश्य लागि के उपकरण को प्रकारको प्रयोग गरिनेछ, छ।

यो अर्थमा यो जानकारी प्रसारण र प्रमाणिकरण को मुद्दा ध्यान आवश्यक छ। पहिले, प्रोटोकल नै पर्याप्त छ जो सबै भन्दा सामान्य यातायात को "wiretapping" तथाकथित sniffing, सुरक्षित छ। SSH-1 आक्रमण कमजोर साबित भयो। "बीचमा मान्छे" को योजना को रूप मा डाटा स्थानान्तरणका को प्रक्रिया मा हस्तक्षेप यसको परिणाम थियो। सूचना बस बाटोमै र एकदम प्राथमिक decipher सकेन। तर दोस्रो संस्करण (SSH-2) सबै भन्दा लोकप्रिय के हो धन्यवाद सत्र अपहरण रूपमा चिनिने हस्तक्षेप यस प्रकारको, गर्न प्रतिरक्षा छ।

सुरक्षा प्रतिबन्ध

संचरित र प्राप्त डाटा को आदर मा सुरक्षाको लागि यस्ता प्रविधिको प्रयोग संग स्थापित जडानहरू को संगठन निम्न समस्या जोगिन अनुमति दिन्छ:

• प्रसारण चरण मा पाहुना, जब एक "स्न्यापसट» औंठाछाप गर्न पहिचान कुञ्जी;
• Windows र युनिक्स-जस्तै प्रणाली लागि समर्थन;
• आईपी र DNS ठेगाना (spoofing) को प्रतिस्थापन;
• संग डाटा च्यानलमा शारीरिक पहुँच खुला पासवर्ड अवरोध।

वास्तवमा, यस्तो सिस्टम को सम्पूर्ण संगठन "ग्राहक-सर्भर" को सिद्धान्त मा निर्माण गरिएको छ, त्यो हो, एक विशेष कार्यक्रम वा संवाददाता पुनप्रेषण उत्पादन जो सर्भर, थप्न-मा कल मार्फत सबै प्रयोगकर्ताको कम्प्युटरमा पहिलो।

tunneling

यो एक विशेष चालक यो प्रकारको जडान को कार्यान्वयन प्रणाली स्थापित हुनुपर्छ भन्दै बिना जान्छ।

सामान्यतया, विन्डोज आधारित प्रणाली मा कार्यक्रम खोल चालक माइक्रोसफ्ट Teredo मात्र IPv4 समर्थन नेटवर्क मा IPv6 को भर्चुअल अनुकरण हालतमा एक प्रकारको छ, जो मा निर्माण गरिएको छ। टनेल पूर्वनिर्धारित एडप्टर सक्रिय छ। यसले सम्बन्धित विफलता को घटना मा, तपाईं बस एक प्रणाली पुन: सुरु बनाउन वा बन्द प्रदर्शन र आदेश कन्सोल बाट आदेशहरू पुनः सुरु गर्न सक्नुहुन्छ। यस्तो रेखाहरू प्रयोग गरिन्छ निष्क्रिय गर्न:

• netsh;
• इन्टरफेस teredo सेट राज्य अक्षम;
• इन्टरफेस ISATAP राज्य सेट असक्षम।

आदेश फेरि सुरु गर्नुपर्छ प्रवेश पछि। कुन पछि, फेरि, सम्पूर्ण प्रणाली पुनः सुरु गर्नुपर्छ एडप्टर पुन-सक्षम र सक्षम रजस्टर अनुमति सट्टा असक्षम को स्थिति जाँच।

SSH-सर्भर

अब SSH पोर्ट योजना "ग्राहक-सर्भर" बाट सुरु, कोर रूपमा प्रयोग गरिन्छ कसरी हेर्न दिनुहोस्। पूर्वनिर्धारित, सामान्यतया लागू गरिन्छ 22 मिनेट पोर्ट, तर माथि उल्लेख रूपमा प्रयोग गर्न सकिन्छ र 443rd। सर्भर नै को प्राथमिकता मा मात्र प्रश्न।

सबै भन्दा साधारण SSH-सर्भर निम्न मानिन्छ छ:

• Windows को लागि: Tectia SSH सर्भर, Cygwin, MobaSSH, KpyM टेलनेट / SSH सर्भर, WinSSHD, copssh, freeSSHd संग OpenSSH;
• फ्रिबिएसडि लागि: OpenSSH;
• Tectia SSH सर्भर, SSH, openssh-सर्भर, lsh-सर्भर, dropbear: लिनक्सको लागि।

सर्भरहरू सबै मुक्त छन्। तथापि, तपाईं उद्यम मा नेटवर्क पहुँच र जानकारी सुरक्षाको सङ्गठनलाई आवश्यक छ सुरक्षा, को पनि ठूलो स्तर प्रदान सेवाहरू फेला पार्न र भुक्तानी गर्न सक्नुहुन्छ। यस्तो सेवा लागत छलफल छैन। तर सामान्य हामी यो पनि विशेष सफ्टवेयर वा "हार्डवेयर" फायरवाल को स्थापना तुलनामा अपेक्षाकृत सस्तो छ भनेर भन्न सकिन्छ।

SSH-ग्राहक

SSH परिवर्तन पोर्ट ग्राहक कार्यक्रम को आधार वा आफ्नो राउटरमा उपयुक्त सेटिङ गर्दा पोर्ट फर्वार्ड मा गर्न सकिन्छ।

तथापि, तपाईं ग्राहक खोल छुन भने, निम्न सफ्टवेयर उत्पादन विभिन्न प्रणाली लागि प्रयोग गर्न सकिन्छ:

• Windows - SecureCRT, पुटीन \ किट्टी, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD आदि;।।
• म्याक ओएस एक्स: iTerm2, vSSH, NiftyTelnet SSH;
• लिनक्स र BSD: lsh-ग्राहक, kdessh, openssh-ग्राहक, Vinagre, पुटीन।

प्रमाणीकरण सार्वजनिक कुञ्जी आधारित छ, र पोर्ट परिवर्तन

अब कस्तो प्रमाणिकरण र सर्भर सेट अप केही शब्द। साधारण मामला मा, तपाईं एक विन्यास फाइल (sshd_config) प्रयोग गर्नुपर्छ। तथापि, तपाईं यसलाई बिना, उदाहरणका लागि, कार्यक्रम जस्तै पुटीन रूपमा को मामला मा गर्न सक्नुहुन्छ। पूर्वनिर्धारित मान (22) कुनै पनि अन्य देखि SSH परिवर्तन पोर्ट पूर्ण प्राथमिक छ।

मुख्य कुरा हो - एक पोर्ट नम्बर खोल्न 65535 को मूल्य (उच्च बंदरगाहों बस प्रकृति अवस्थित छैन) भन्दा बढी छैन। साथै, जो MySQL वा FTPD डेटाबेस जस्तै ग्राहकहरु द्वारा प्रयोग गर्न सकिन्छ पूर्वनिर्धारित केही खुला बंदरगाह, ध्यान गर्नुपर्छ। तपाईं SSH कन्फिगरेसन लागि तिनीहरूलाई निर्दिष्ट भने, पाठ्यक्रम, तिनीहरू केवल काम रोक्न।

यो नै अस्पष्ट ग्राहक, SSH-सर्भर प्रयोग उदाहरणका लागि एउटै वातावरणमा चलिरहेको अवास्तविक मेशिन मा पर्छ भनेर टिप्पण लायक छ। र सबै भन्दा सर्भर localhost (माथि उल्लेख रूपमा, सट्टा 443) 4430 मा एक मूल्य नियुक्त गर्न आवश्यक हुनेछ। मुख्य फाइल jabber.example.com पहुँच फायरवालद्वारा अवरुद्ध हुँदा यो कन्फिगरेसन प्रयोग गर्न सकिन्छ।

अर्कोतर्फ, स्थानान्तरण बंदरगाहों को नियम अपवादहरूको सिर्जना यसको इन्टरफेस कन्फिगरेसन प्रयोग गरेर राउटरमा हुन सक्छ। सबैभन्दा मोडेल इनपुट ठेगाना मार्फत इनपुट 192.168 0.1 वा 1.1 संग पूरक सुरु, तर संयोजन Mikrotik जस्तै क्षमताहरु ADSL-मोडेम routers, अन्त ठेगाना 88.1 शुद्धता को प्रयोग पनि समावेश छ।

यस मामला मा, एक नयाँ नियम, बाह्य जडान DST-NAT स्थापना गर्न, साथै स्वयं निर्धारित बंदरगाहों सामान्य सेटिङहरू अन्तर्गत र सक्रियता प्राथमिकताहरू को खण्ड (कार्य) छैनन् सिर्जना त्यसपछि, उदाहरणका लागि आवश्यक मापदण्डहरू सेट। केही पनि यहाँ जटिल। मुख्य कुरा - सेटिङ आवश्यक मानहरू निर्दिष्ट र सही पोर्ट सेट गर्न। पूर्वनिर्धारित रूपमा, तपाईंले पोर्ट 22 प्रयोग गर्न सक्नुहुन्छ, तर ग्राहक एक विशेष (फरक प्रणाली लागि माथि को केही) प्रयोग गर्दछ भने, मूल्य मनपरी परिवर्तन गर्न सकिन्छ, तर मात्र यति यो खुट्टामीटर घोषणा मूल्य, पोर्ट संख्या बस उपलब्ध छन् जो माथि भन्दा बढी छैन।

तपाईं जडानहरू सेट अप गर्दा पनि ग्राहक कार्यक्रम को मापदण्डहरु ध्यान गर्नुपर्छ। यो राम्रो पूर्वनिर्धारित सामान्यतया 768. सेट गरिएको छ हुनत यो पनि 600 सेकेन्ड को स्तर र मूल अधिकार संग दूर पहुँच अनुमति गर्न मा लग गर्न समय समाप्त सेट मनमोहक छ यसको सेटिङहरूमा प्रमुख (512) को न्यूनतम लम्बाइ निर्दिष्ट छ कि हुन सक्छ। यी सेटिङहरू लागू गरेपछि, तपाईं पनि प्रयोग .rhost आधारित ती भन्दा अन्य सबै प्रमाणीकरण अधिकारको प्रयोग, अनुमति आवश्यक (तर यो मात्र प्रणाली प्रशासक गर्न आवश्यक छ)।

अन्य कुराहरु, प्रणाली मा दर्ता प्रयोगकर्ता को नाम, क्षणमा शुरू जस्तै छैन, यो स्पष्ट रूपमा थप मापदण्डहरू को परिचय (खम्बा छ के बुझ्न गर्नेहरूका लागि) संग आदेश प्रयोगकर्ता SSH मास्टर प्रयोग निर्दिष्ट हुनु पर्छ भने।

टोली ~ / .ssh / id_dsa प्रमुख को परिवर्तन र गुप्तिकरण विधि (वा RSA) को लागि प्रयोग गर्न सकिन्छ। लाइन ~ / .ssh / identity.pub (तर आवश्यक) को प्रयोग गरेर रूपान्तरण प्रयोग सार्वजनिक कुञ्जी सिर्जना गर्न। तर, अभ्यास शो रूपमा, ssh-किजेन जस्तै आदेशहरू प्रयोग गर्न सजिलो तरिका हो। यहाँ मुद्दा को सार उपलब्ध प्रमाणीकरण उपकरण (~ / .ssh / authorized_keys) गर्न प्रमुख थप्न, केवल वास्तवमा कम छ।

तर हामी धेरै टाढा जानुभएको छ। तपाईं पोर्टसेटिङ SSH मुद्दा फिर्ता जाने भने, छ रूपमा स्पष्ट SSH परिवर्तन पोर्ट छैन त गाह्रो छ। तर, केही परिस्थितिमा, उनि भन्छन्, आवश्यकता खातामा प्रमुख मापदण्डहरू सबै मानहरू लिन किनभने, पसिना हुनेछ। (यो सुरुमा प्रदान गरिएको छ भने) कन्फिगरेसन मुद्दा बाँकी कुनै पनि सर्भर वा ग्राहकको कार्यक्रम को प्रवेश गर्न तल फोडे, वा राउटरमा पोर्ट फर्वार्ड प्रयोग गर्न। तर पनि पोर्ट 22 को परिवर्तन को मामला मा, पूर्वनिर्धारित, एउटै 443rd गर्न, स्पष्ट यस्तो योजना सधैं, तर केवल एउटै एड-मा अस्पष्ट स्थापना को मामला मा काम गर्दैन (अन्य analogs र उनको सम्बन्धित बंदरगाहों सक्रिय गर्न सक्नुहुन्छ बुझे गर्नुपर्छ, यसलाई मानक भिन्न)। साथै, विशेष ध्यान SSH-ग्राहक, यो साँच्चै हालको जडान प्रयोग मानिन्छ छ भने सिधै, यो SSH-सर्भर अन्तरक्रिया हुनेछ जो सेट प्यारामिटर दिनुपर्छ।

बाँकी रूपमा, (यस्तो कार्यहरू गर्न मनमोहक छ हुनत) पोर्ट फर्वार्ड सुरुमा प्रदान यदि छैन, पहुँच SSH मार्फत सेटिङ र विकल्प, तपाईं परिवर्तन गर्न सक्दैन। जब सामान्य मा जडान र यसको थप प्रयोग, सिर्जना कुनै पनि समस्या त्यहाँ अपेक्षा छैन (पाठ्यक्रम, स्वयं प्रयोग नगरेसम्म, गरिनेछ कन्फिगरेसन सर्भर आधारित र ग्राहक कन्फिगर)। रूटर मा नियम सिर्जना गर्न सबै भन्दा साधारण अपवाद कुनै पनि समस्या ठीक वा तिनीहरूलाई जोगिन गर्न अनुमति दिन्छ।