Почетна » како да » Научите Инс и Оут оф ОпенССХ на вашем Линук ПЦ-у

    Научите Инс и Оут оф ОпенССХ на вашем Линук ПЦ-у

    Више пута смо величали врлине ССХ-а, како за сигурност тако и за удаљени приступ. Хајде да погледамо сам сервер, неке важне аспекте „одржавања“ и неке чудне ствари које могу додати турбуленцију у иначе глатку вожњу..

    Иако смо писали овај водич у виду Линука, ово се може применити и на ОпенССХ у Мац ОС Кс и Виндовс 7 преко Цигвина.

    Зашто је сигурно

    Много пута смо помињали како је ССХ одличан начин да безбедно повежете и тунелујете податке из једне тачке у другу. Хајде да кратко погледамо како ствари функционишу тако да боље схватите зашто ствари понекад могу бити чудне.

    Када одлучимо да покренемо везу са другим рачунаром, често користимо протоколе са којима је лако радити. Телнет и ФТП долазе на памет. Шаљемо информације удаљеном серверу и онда добијамо потврду о нашој вези. Да би се успоставила нека врста сигурности, ови протоколи често користе комбинације корисничког имена и лозинке. То значи да су потпуно сигурни, зар не? Погрешно!

    Ако процес повезивања сматрамо поштом, онда коришћење ФТП-а и Телнета и слично није као код стандардних поштанских омотница. То је више као коришћење разгледница. Ако се деси да неко уђе у средину, они могу да виде све информације, укључујући адресе оба дописника и корисничко име и лозинку. Они онда могу да промене поруку, држећи информације истом, и да се опонашају као дописник или други. Ово је познато као напад “човек-у-средини”, и не само да компромитује ваш рачун, већ доводи у питање сваку послату поруку и примљену датотеку. Не можете бити сигурни да ли разговарате са пошиљаоцем или не, а чак и ако јесте, не можете бити сигурни да нико не гледа све из између.

    Погледајмо сада ССЛ енкрипцију, ону која чини ХТТП сигурнијим. Овде имамо поштанску канцеларију која се бави кореспонденцијом, која проверава да ли је прималац онај за кога он или она тврди да је, и има законе који штите вашу пошту од тога да се гледа. То је сигурније у целини, а централни ауторитет - Верисигн је један, за наш ХТТПС пример - осигурава да се особа коју шаљете шаље на чек. Они то чине тако што не дозвољавају разгледнице (нешифроване акредитиве); Уместо тога, они прописују стварне коверте.

    Коначно, погледајмо ССХ. Овде је подешавање мало другачије. Овде немамо централни аутентикатор, али ствари су још увек сигурне. То је зато што шаљете писма некоме чију адресу већ знате - рецимо, разговарате телефоном преко њих - и користите неку заиста фенси математику да потпишете своју коверту. Ви га предајете свом брату, девојци, тати или ћерки да је однесете на адресу, и само ако прималчева математика одговара, претпостављате да је адреса оно што би требало да буде. Затим добијате писмо натраг, такође заштићено од знатижељних очију овом сјајном математиком. Коначно, шаљете своје акредитиве у другу тајну алгоритамски зачињену омотницу до одредишта. Ако се математика не подудара, можемо претпоставити да је оригинални прималац помакнут и да морамо поново потврдити њихову адресу.

    Уз објашњење све док је, мислимо да ћемо га исећи тамо. Ако имате још увида, слободно разговарајте у коментарима, наравно. За сада, ипак, погледајмо најрелевантнију карактеристику ССХ-а, аутентификацију хоста.

    Хост Кеис

    Аутентификација хоста је у суштини део у коме неко коме верујете узима коверту (запечаћену чаробном математиком) и потврђује адресу вашег примаоца. То је прилично детаљан опис адресе и заснован је на компликованој математици коју ћемо прескочити. Постоји неколико важних ствари које треба одузети од тога:

    1. Пошто не постоји централни ауторитет, права сигурност лежи у кључу хоста, јавним кључевима и приватним кључевима. (Ова последња два тастера су конфигурисана када вам је омогућен приступ систему.)
    2. Обично, када се повежете са другим рачунаром преко ССХ-а, кључ хоста се чува. Ово убрзава будуће радње (или мање).
    3. Ако се кључ домаћина промијени, највјеројатније ћете бити упозорени и требали бисте бити опрезни!

    Пошто се кључ хоста користи пре потврде идентитета да би се утврдио идентитет ССХ сервера, свакако проверите кључ пре повезивања. Видећете дијалог за потврду као у наставку.

    Мада не треба да бринете! Често када је безбедност забрињавајућа, биће посебно место на којем ће бити потврђен кључ хоста (ЕЦДСА отисак прста). У потпуно онлине подухватима, често ће бити на сигурном сајту само за пријављивање. Можда ћете морати (или одабрати!) Да назовете ИТ одељење да бисте потврдили овај тастер преко телефона. Чак сам чуо и за нека мјеста гдје је кључ на вашој радној значки или на посебној листи “Хитни бројеви”. А ако имате физички приступ циљном строју, можете и сами провјерити!

    Провера кључа хоста вашег система

    Постоје 4 врсте алгоритама за шифровање који се користе за прављење кључева, али за ОпенССХ почетком ове године подразумевано је ЕЦДСА (са неким добрим разлозима). Данас ћемо се фокусирати на то. Ево наредбе коју можете покренути на ССХ серверу на који имате приступ:

    ссх-кеиген -ф /етц/ссх/ссх_хост_ецдса_кеи.пуб -л

    Излаз треба да врати нешто овако:

    256 ца: 62: еа: 7ц: е4: 9е: 2е: а6: 94: 20: 11: дб: 9ц: 78: ц3: 4ц /етц/ссх/ссх_хост_ецдса_кеи.пуб

    Први број је бит-дужина кључа, онда је сам кључ, и на крају имате фајл који је ускладиштен. Упоредите тај средњи део са оним што видите када будете упитани да се пријавите на даљину. Требало би да се поклапа, и сви сте спремни. Ако се то не догоди, онда се нешто друго може десити.

    Можете прегледати све хостове са којима сте повезани преко ССХ гледајући вашу датотеку кновн_хостс. Обично се налази на:

    ~ / .ссх / кновн_хостс

    То можете отворити у било ком уређивачу текста. Ако погледате, покушајте да обратите пажњу на то како се кључеви складиште. Они се чувају са именом главног рачунара (или веб адресом) и његовом ИП адресом.

    Промена кључева и проблема хоста

    Постоји неколико разлога зашто се кључеви хостова мењају или не одговарају ономе што је забележено у вашој датотеци кновн_хостс.

    • Систем је поново инсталиран / поново конфигурисан.
    • Кључеви хоста су ручно промењени због безбедносних протокола.
    • ОпенССХ сервер се ажурира и користи различите стандарде због безбедносних проблема.
    • Промена ИП или ДНС закупа. То често значи да покушавате да приступите другом рачунару.
    • Систем је на неки начин компромитован тако да је кључ хоста промењен.

    Највјероватније, проблем је један од прва три, и можете игнорирати промјену. Ако је промена ИП / ДНС закупа, можда постоји проблем са сервером и можда ћете бити преусмерени на другу машину. Ако нисте сигурни који је разлог за промјену онда бисте требали претпоставити да је то посљедња на попису.

    Како ОпенССХ управља непознатим хостовима

    ОпенССХ има поставку за то како рукује непознатим хостовима, што се одражава у варијабли “СтрицтХостКеиЦхецкинг” (без наводника).

    У зависности од конфигурације, ССХ везе са непознатим хостовима (чији кључи нису већ у вашој датотеци кновн_хостс) могу ићи на три начина.

    • СтрицтХостКеиЦхецкинг је постављен на не; ОпенССХ ће се аутоматски повезати на било који ССХ сервер без обзира на статус кључа хоста. Ово је несигурно и не препоручује се, осим ако додајете хрпу хостова након поновног инсталирања оперативног система, након чега ћете га вратити назад.
    • СтрицтХостКеиЦхецкинг је постављен да пита; ОпенССХ ће вам показати нове кључеве хоста и затражити потврду пре него што их додате. Он ће спречити да везе пређу на промењене кључеве хоста. Ово је подразумевано.
    • СтрицтХостКеиЦхецкинг је постављено на иес; Супротно од "не", ово ће вас спречити да се повежете са било којим хостом који већ није присутан у вашој датотеци кновн_хостс.

    Можете променити ову променљиву у командној линији користећи следећу парадигму:

    ссх -о 'СтрицтХостКеиЦхецкинг [опција]' усер @ хост

    Замените [опцију] са “не”, “питајте” или “да”. Будите свесни да постоје само једноставни наводници који окружују ову променљиву и њено подешавање. Такође замените усер @ хост са корисничким именом и именом хоста на који се повезујете. На пример:

    ссх -о 'СтрицтХостКеиЦхецкинг питајте' иатри@192.168.1.50

    Блокирани домаћини због промијењених кључева

    Ако имате сервер који покушавате да приступите и чији је кључ већ промењен, подразумевана ОпенССХ конфигурација ће вас спречити у приступу. Можете да промените вредност СтрицтХостКеиЦхецкинг за тај хост, али то не би било потпуно, темељно, параноично сигурно, зар не? Уместо тога, можемо једноставно уклонити вријеђај вриједност из наше кновн_хостс датотеке.

    То је дефинитивно ружна ствар на екрану. Срећом, наш разлог за то је био реинсталиран ОС. Дакле, зумирајмо линију која нам је потребна.

    Ево га. Погледајте како цитира датотеку коју морамо уредити? Чак нам даје број линије! Отворимо ту датотеку у Нано-у:

    Ево нашег кључа за прекршај, у линији 1. Све што треба да урадимо је да притиснемо Цтрл + К да исечемо целу линију.

    То је много боље! Дакле, сада смо притиснули Цтрл + О да напишемо (сачувамо) фајл, затим Цтрл + Кс да изађемо.

    Уместо тога, добијамо леп подсетник, на који можемо једноставно одговорити са "да".

    Креирање нових кључева хоста

    За записник, заиста нема превише разлога да уопште промените кључ хоста, али ако икада нађете потребу, можете лако да урадите.

    Прво, промените у одговарајући системски директоријум:

    цд / етц / ссх /

    Ово је обично место где су кључеви глобалног хоста, мада су неки дистроси постављени негде другде. Када сумњате провјерите своју документацију!

    Затим ћемо избрисати све старе кључеве.

    судо рм / етц / ссх / ссх_хост_ *

    Алтернативно, можда желите да их преместите у безбедан директоријум за резервну копију. Само мисао!

    Затим, можемо рећи ОпенССХ серверу да се поново конфигурише:

    судо дпкг-рецонфигуре опенссх-сервер

    Видећете промпт док рачунар креира своје нове кључеве. Та-да!


    Сада када знате како ССХ ради мало боље, требали бисте бити у могућности да се извучете из тешких тачака. Упозорење / грешка „Идентификација удаљеног хоста је промењена“ је нешто што искључује многе кориснике, чак и оне који су упознати са командном линијом.

    .