www.3manage.com
لایسنس آنتی ویروس

بررسی سرویس دهنده SSHدر لینوکس

بررسی سرویس دهنده SSHدر لینوکس

فرض کنید مسئول یک شبکه کامپیوتری هستید و بخشی از شبکه در شهردیگری مستقر است وشمابرای مدیریت سیستم ها مجبورید روزانه چندین دفعه با هر سیستماز راه دورارتباط برقرارکنید. برای هر سیستم باید یک عملیاتpassphrase را انجامدهیدواین،وقت وانرژی زیادی از شما خواهدگرفت. فرمان ssh-agent این امکانرابه شما میدهدکه فقط یک بار مجبورباشید به سیستم راه دور متصل شویدوبر روی سیستم مقصدسرویسagent را فعال کنید.

در هنگام نصب لینوکس، اگر دقت کرده باشید،این امکان رادارید که سرویس دهنده(ssh secure shell) رافعال کنید. SSH سرویسی برای مدیریت ودسترسی به کامپیوتر یاشبکه ازراه دور است.rsh و telnet و ftpدیگر ابزارهای برقراری ارتباط ومدیریت یک سیستم راهدورهستند اما مکانیزهای امنیتی در آن هااستفاده نشده است و به راحتی می توان باشنود کردن ارتباط میان دو کامپیوتر در سطح شبکه ، به اطلاعات بسیار ارزشمندی ماننداسم ورمز کاربری کامپیوتری راه دور دست یافت.SSH یک تونل ارتتاطی رمز شده میان دوکامپیوتر به وجود می آورد و داده های به صورت کد شده میان دو کامپیوتر تبادل میشوندودر نتیجه حتی در صورت به دست آوردن اطلاعات تبادل شده میان این دو کامپیوتر،امکان بهره برداری از آنها وجود ندارد. SSH یک سرویس امنیتی برای مقابله باطیفگسترده ای از حملا ت اینترنتی است. SSH ذاتا یک پروتکل است و استانداردهای یکارتباط رمز شده برای اداره یک سیستم از راه دور را فراهم می کند.۱SSHاولین نسخه ازاین پروتکل است که با اصلاحاتیSSH۲تبدیل شده است. SSH۲ازامکانات وقابلیت هایبیشتری به نسبت نسخه قبلی برخوردار است ودستورات وبرنامه های گسترده تری دارد.نسخهرایگان وآزاد این پروتکل، با نام open SSH توسط گروه سیستم عامل openBSD منتشرمیشود.SSH یک ابزار کاملا خط فرمان است که فقط در کنسول های متنی قابل استفاده میباشدو برای به کارگیری درسیستم های mac و ویندوزنیز به کنسول خط فرمان نیازدارد.ارائه راهنمای کاملی از راه اندازی ، پیکربندی واستفاده از سرویس SSH به طورموثر وکارا،کاری خارج از عهده یک مقاله است وکتابی مفصل وجامع را طلب می کند.هد فاین نوشتار شناخت این سرویس امنیتی در کنار قابلیت های آن درسیستم عامل لینوکسوارائه کلیدهایی به خواننده برای
پیگری و مطالعه هدفمند موضوع است.
● شروعکار باSSH
SSH یک برنامه سرویس دهنده/سرویس گیرنده است.بر روی کامپیوتر راهدوری که باید به آن متصل شد،برنامه سرویس دهنده sshd نصب می شود وبرنامه هایکاربردی بر روی سیستم های کاربران یا مدیر سیستمی که می خواهد از راه دورکامپیوترمورد نظررااداره کند،اجرا می شوند.همچنین می تواناز شاخه etc/ssh/ به فایلهای پیکربندی برنامه دسترسی داشت.sshdconfig فایل پیکربندی سرویس دهنده sshd است.دایرکتوری HIME/ssh$ برروی سیستم هرکاربرشامل فایل هایی مانندکلیدعمومی وفایلهای پیکربندی خود کاربرمی باشد.دربسیاری از توزیع های لینوکس هردو سرویس به صورتپیش فرض نصب و تنظیم می شوند.SSH از پروتکل SSL برای تبادل اطلاعات رمز شده میانسیستم ها استفاده می کند. بنابراین برای کار با SSH به نصب openSSL نیاز دارید.درصورتی که این دو سرویس برروی توزیع لینوکس نصب نباشند، می توان با دریافت بسته هاینرم افزاری آن ها، به نصب وپیکربندی این دوسرویس اقدام نمود.
جدول۱
SSH ازدو کلیدعمومی(public) وخصوصی (private) برای احرازهویت و رمز گشایی اطلاعات استفادهمی کند. کلید عمومی میان تمامی کاربران به اشتراک گذاشته می شود،اما هر کاربر فقطیک کلید خصوصی منحصربه فرد داردکه با استفاده از آن،شناسایی واحرازهویت می گردد.۱ SSH ازالگوریتم رمزنگاریRSA برای کد کردن اطلاعات استفاده می کند،ولی علاوه برازالگوریتم DSA نیز استفاده می کند.پس از نصب وپیکربندیSSH، باید کلیدهای عمومی تولیدو میان سیستم هابه اشتراک کذاشته شوند.
برای راه اندازی یک سرویسSSH پس ازنصببرنامه،مراحل کاربه صورت زیرخواهد بود:
۱- تولید کلید های عمومی و خصوصی برایهرکاربر.
۲- به اشتراک گذاری کلید عمومی میان تمامی کامپیوترهایی که می خواهنداز سرویسSSH استفاده کنند.
۳- دسترسی به حساب کاربری سیستمی که باید از راه دوربا آن ارتباط داشت.
● تولید کلید های RSA
پس از نصب سرویس SSH، در اولینگام باید کلید عمومی وخصوصی ساخته شود.در۲ SSH این امکان وجود دارد که از هر دوالگوریتم رمزنگاریrsa و dsa برای ساخت کلیدها استفاده شود،ولی در۱ SSH فقطالگوریتمrsa به کار برده می شود.برای تولید کلیدهایrsa یا dsaازفرمان sshkeygenدرحساب ریشه استفاده می کنیم
–keygen-trsa [ [misagh@teamset
بااجرا ایندستوراز مکانی که می خواهید فایل های شما در آن جا ذخیره شوند سوال می شود.آرگومان t باعث نشان دادن مراحل کار ونام ومکان فایل می شود.می توانید با کمک صفحات manازآرگومان های دیگر این فرمان هم کمک بگیرید. پارامترrsa هم به برنامه می گوید کهبرای رمز کردنusemame وpasswordاز این الگوریتم استفاده شود.اصطلاحا به عملیات رمزنمودن اطلاعات ویا رمز گشایی آن هاpassphrase گفته می شود.می توانیداز الگوریتمdsa هم در SSH۲استفاده کنید. به صورت پیش فرض سیستم، دایرکتوری مخفیssh رادر دایرکتوریخانگی شما برای ذخیره فایل هادرنظر می گیرد. (HOME/.ssh$) درssh۱نامidentity.pub ودرSSH۲idrsa.pub برای فایل کلید عمومی انتخاب می شود. در ادامه یک رمز برای کدکردن اسم ورمز کاربری شما و تولید کلید عمومی و خصوصی درخواست می شود.اگر این رمزرا وارد نکنید،ممکن است سیستم به صورت پیش فرض یک عدد را انتخاب کند یا مجددا ازشما تقاضای یکpassphrase کند. بعداز اتمام عملیات،اکنون در دایرکتوری HOME/.ssh/idrsa$ یاHOME/.ssh/identity$ می توانید کلیدعمومی وخصوصی تولید شده رامشاهده کنید.HOME/.ssh/authorizedkeys$ دایرکتوری مهم دیگری است که درهمین شاخهوجود دارد وباید کلید عمومی تمام کاربران در این دایرکتوری به اشتراک گذاشته شود. پس ازاینکه کلید عمومی ساخته شد،یک کپی ازآن را باید در دایرکتوری به همین نام، ولیبرروی کامپیوتری که می خواهید از راه دوربه آن متصل شوید، کپی کنید. فرمانkeygen این قابلیت را دارد که بتوانید یک passphrase جدید برای خود درست کنید یا آن راتغییر دهید.برای این منظور می توان از آرگومان-p استفاده کرد.اگر تمایل دارید ازالگوریتم رمزنگاری dsa درpassphrsae استفاده کنید، درهمان فرمان بالا das را بهجایrsa به کار ببرید.
● برقراری یک نشست SSH با سرویس راه دور
برای راهاندازی سرویس دهندهSSH برروی یک سیستم، از دستورزیراستفاده می شود:etc/init.d/ssh start/برنامه های کاربردی زیادی تحت سرویسSSH قابل اجرا هستند. مهمترین آن ها خودبرنامهSSH است، با استفاده ازاین برنامه می توان با یک کامپیوتر راه دور (کامپیوتریخارج از یک شبکهlan ) به یک کامپیوتر شبکه متصل شد و رامین و دستورات خود را درشبکه اجرا کرد ودر اصطلاح ازراه دور به یک کامپیوترlogin کرد. برای آن که بتوانیدبهیک کامپیوترراه دوردسترسی داشته باشید، نیاز است برروی کامپیوتر مقصد، سرویسدهندهssh فعال باشد وکلیدعمومی شما نیزبه اشتراک گذاشته شده باشد. برنامهSSH اینمکان را می دهد که وارد ترمینال سیستم راه دور شوید.درست مانند آن که الان در مقابلآن سیستم ایستاده اید ومی خواهید دستورات خود را اجرا کنید. یا از طریق کنسولX window بتوانید با محیط های گرافیکی سیستم کار کنید. شکل کلی فرمانSSH به صورت زیرمی باشد: ssh hostname
کافی است نام شبکه یا ماشینی که می خواهیداز راه دور بهآنlogin کنید را مقابل فرمانssh وارد کنید.به مثال های زیر توجه کنید:
ssh kemel.linuxteam.com
ssh ۶۹۱.۷۱.۱۵۱.۷
ssh rootrobin
دراین فرمان می توان نام ماشین یک کاربر خاص را نیز وارد کرد وپس از واردپسورد سیستم ،مانند این است که اکنون در مقابل آن سیستم نشسته اید:

۸ masteam.totule.com-۱client[lient۱۲@masteamclient۱۲]
client@masteam.totule.com&#۰۳۹;s password:
lastlogin:sat may۱۹۱۲:۴۰:۰۳۲۰۰۵ form masteam. Totule.com
$ [lient۸@mateam client]
برای خاتمه ارتباط با ماشین راه دور، از فرمان logout استفاده می شود.

$ logout [client۸@mateamclient۸]
Connection to mastteam closed
انتقال فایل با برنامه هایscp وsftp
در یک ارتباط راه دور با SSH میتوان فایل راازیک ماشین به ماشین راه دور دیگری انتقال داد. برنامه scp این امکانرا تحت یک نشست SSH فراهم می کند. ساختارفرمان به صورت زیر خواهد بود.
Scp name-of source file name –of –distination file
$ scp myfileclient۸[client۲۱ masteam client۲۱]
masteam.totule.com:/lib/myfile
دراین دستورهمیشه نام کامپیوتروکاربر پیش از نام دایرکتوری یا فایل آورده میشود.همچنین برای کپی کردن یک دایر کتوری ، بایداز آرگومانr استفاده کنید.
$ scp r reportsclinet۸masteam.totule[clinet۲۱masteam clinet۲۱]
.com:/lib/myfile
اگر بخواهید ازسیستم راه دوری که به آن login کرده اید فایلی را به سیستمخود منتقل کنید، ابتدا با دستور ssh به سیستم راه دور متصل شوید ودر گام بعدی بادستورscp فایل های مورد نظر را به سیستم خود منتقل نمایید.
Scp به تمام نیازشما پاسخ می دهد.اما گروهی از کاربران با پروتکل FTP آشنایی بیشتری دارند وبا تکنیکهای این روش انتقال فایل در اینترنت،خو گرفته اند.درSSH۲ ،فراهم آورنده این سرویس sftp است. با این ویژگی که شما از یک کنسول حفاظت شده برای تبادل اطلاعات وفایل هایخود استفاده می کنید.
● جلوگیری از تکرار
فرض کنید مسئول یک شبکه کامپیوتریهستید و بخشی از شبکه در شهر دیگری مستقر است وشمابرای مدیریت سیستم ها مجبوریدروزانه چندین دفعه با هر سیستم از راه دورارتباط برقرارکنید. برای هر سیستم باید یکعملیاتpassphrase را انجام دهیدواین،وقت وانرژی زیادی از شما خواهدگرفت. فرمان ssh-agent این امکانرابه شما می دهدکه فقط یک بار مجبورباشید به سیستم راه دور متصلشویدوبر روی سیستم مقصد سرویسagent را فعال کنید.در مراجعات بعدی فقط کافی استکهشما دستورات خود را بدون login کردن به سیستم انجام دهید. پروسه agent کلید خصوصیشما را درحافظه خود نگهداری می کند تا در ارتباط های بعدی ، خود سرویس دهنده عملیاتاحرازهویت را انجام دهد. به دوطریق می توان ازسرویس agent استفاده کرد.دراولین حالتبا استفاده از مد ssh-agent دستورات وعملیات خود را انجام می دهید. مثلا فرض کنیدمی خواهید به کنسول خط فرمان سیستم راه دوردسترسی داشته باشیدوفرامین خود را در آنتایپ واجرا کنید :
ssh-agent xterm
این دستور به شما اجازه می دهد تمامیدستورات وفرامین خود را بدون نیاز به احرازهویت برروی سیستم راه دور انجام دهید .هربرنامه ای که درxterm اجرا شود، به کلیدخصوصی شما دسترسی خواهدداشت وبا مقایسهآن با کلید عمومی به صورت خودکار، مجوز شما صادرخواهدشد. گفتنی است در نخستین بارکه به سیستم راه دور دسترسی پیدا کردید، قبل ازهرعملیاتی باید سرویس agent را فعالکنید تا در دسترسی های بعدی بتوانیدازاین سرویس استفاده کنید.
درروش دوم میتوان با استفاده ازمد eval به اجرای سرویسagent در پس زمینه اقدام کرد:
Ssh
Eval ssh-agent $
● پیکربندی
از بین فایل های ودایرکتوری های سرویسSSH ، شما بیشتر بافایل های sshdconfig وssh/config . کارخواهیدداشت وباید گزینه های آن ها را تنظیمکنید.
Sshdconfig فایل پیکربندی سرویس دهنده sshd است که تنظیمات امنیتیوسیستمی ازجمله تعیین شماره پورتSSH ، شماره نسخه پروتکلSSL ،مدیریت رمزهای وعبورکاربران وکاردر بالاترین مجوز دسترسی را دراختیار شمامی گذارد. مهمترین تنظیماتکاربران درفایلssh/config . قرارداردکه هرکاربر می تواندبه صورت مستقیم به آندسترسی وسرویس SSH سیستم خود را به طوردلخواه تنظیم کند. مهمترین پارامترهای اینفایل عبارتند از: :
▪ Catchmod : برای غیر فعال کردن عملیات پرس وجو
▪ Compression : امکان استفاده از قابلیت فشرده سازی فایل ها
▪ Escapechar : تنظیمات مرتبط با کاراکترهای ویژه در سرویسSSH
▪ Forwardagent :امکان استفادهاز سرویسagent
▪ Forwardx۱۱ :امکان برقراری یک نشست بامحیط های گرافیکی به صورتامن
▪ Hostname : تنظیم شدن نام حقیقی ماشینی که به آنlogin می شود
▪ Identityfile : تنظیمات مربوط به فایل های شناسهRSA
▪ passwordAuthentication : فعال کردن رمزعبوردرفرایند احراز

 

یک نظر بگذارید

دسته‌ها

اين سايت را حمايت مي کنم