Έχουμε εκθειάσει τις αρετές του SSH πολλές φορές, τόσο για την ασφάλεια όσο και για την απομακρυσμένη πρόσβαση. Ας ρίξουμε μια ματιά στον ίδιο τον διακομιστή, σε ορισμένες σημαντικές πτυχές «συντήρησης» και σε ορισμένες ιδιορρυθμίες που μπορούν να προσθέσουν αναταράξεις σε μια κατά τα άλλα ομαλή διαδρομή.
Ενώ έχουμε γράψει αυτόν τον οδηγό έχοντας κατά νου το Linux, αυτό μπορεί επίσης να εφαρμοστεί στο OpenSSH σε Mac OS X και Windows 7 μέσω Cygwin .
Γιατί είναι ασφαλές
Έχουμε αναφέρει πολλές φορές πώς το SSH είναι ένας πολύ καλός τρόπος για ασφαλή σύνδεση και διοχέτευση δεδομένων από το ένα σημείο στο άλλο. Ας ρίξουμε μια πολύ σύντομη ματιά στο πώς λειτουργούν τα πράγματα, ώστε να έχετε μια καλύτερη ιδέα για το γιατί τα πράγματα μπορεί να γίνονται παράξενα μερικές φορές.
Όταν αποφασίζουμε να ξεκινήσουμε μια σύνδεση με έναν άλλο υπολογιστή, χρησιμοποιούμε συχνά πρωτόκολλα που είναι εύκολο να δουλέψουμε. Το Telnet και το FTP έρχονται στο μυαλό. Στέλνουμε πληροφορίες σε έναν απομακρυσμένο διακομιστή και στη συνέχεια λαμβάνουμε επιβεβαίωση σχετικά με τη σύνδεσή μας. Προκειμένου να καθοριστεί κάποιος τύπος ασφάλειας, αυτά τα πρωτόκολλα χρησιμοποιούν συχνά συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης. Αυτό σημαίνει ότι είναι απολύτως ασφαλείς, έτσι; Λανθασμένος!
Αν σκεφτόμαστε τη διαδικασία σύνδεσης ως αλληλογραφία, τότε η χρήση FTP και Telnet και τα παρόμοια δεν μας αρέσει η χρήση τυπικών φακέλων αλληλογραφίας. Μοιάζει περισσότερο με τη χρήση καρτ-ποστάλ. Εάν κάποιος συμβεί να περπατήσει στη μέση, μπορεί να δει όλες τις πληροφορίες, συμπεριλαμβανομένων των διευθύνσεων και των δύο ανταποκριτών και του ονόματος χρήστη και του κωδικού πρόσβασης που αποστέλλονται. Στη συνέχεια, μπορούν να αλλάξουν το μήνυμα, διατηρώντας τις ίδιες πληροφορίες και πλαστοπροσωπώντας τον έναν ανταποκριτή ή τον άλλο. Αυτό είναι γνωστό ως επίθεση "man-in-the-middle" και όχι μόνο θέτει σε κίνδυνο τον λογαριασμό σας, αλλά αμφισβητεί κάθε μήνυμα που αποστέλλεται και το αρχείο που λαμβάνεται. Δεν μπορείτε να είστε σίγουροι αν μιλάτε στον αποστολέα ή όχι, και ακόμα κι αν είστε, δεν μπορείτε να είστε σίγουροι ότι κανείς δεν βλέπει τα πάντα από το ενδιάμεσο.
Τώρα, ας δούμε την κρυπτογράφηση SSL, το είδος που κάνει το HTTP πιο ασφαλές. Εδώ, έχουμε ένα ταχυδρομείο που χειρίζεται την αλληλογραφία, ο οποίος ελέγχει για να δει εάν ο παραλήπτης σας είναι αυτός που ισχυρίζεται ότι είναι και έχει νόμους που προστατεύουν την αλληλογραφία σας από την εξέταση. Είναι πιο ασφαλές συνολικά και η κεντρική αρχή - το Verisign είναι ένα, για το παράδειγμα HTTPS - διασφαλίζει ότι το άτομο που στέλνετε αλληλογραφία για να το ελέγξει. Το κάνουν αυτό χωρίς να επιτρέπουν ταχυδρομικές κάρτες (μη κρυπτογραφημένα διαπιστευτήρια). Αντ 'αυτού, υποχρεώνουν πραγματικούς φακέλους.
Τέλος, ας δούμε το SSH. Εδώ, η εγκατάσταση είναι λίγο διαφορετική. Δεν έχουμε κεντρικό έλεγχο ταυτότητας εδώ, αλλά τα πράγματα εξακολουθούν να είναι ασφαλή. Αυτό συμβαίνει επειδή στέλνετε επιστολές σε κάποιον του οποίου τη διεύθυνση γνωρίζετε ήδη - πείτε, συνομιλώντας μαζί του στο τηλέφωνο - και χρησιμοποιείτε κάποια πραγματικά φανταχτερά μαθηματικά για να υπογράψετε το φάκελό σας. Το παραδίδετε στον αδερφό, τη φίλη, τον μπαμπά ή την κόρη σας για να το πάρετε στη διεύθυνση και μόνο εάν οι φανταχτεροί μαθηματικοί αγώνες του παραλήπτη υποθέτετε ότι η διεύθυνση είναι αυτή που πρέπει να είναι. Στη συνέχεια, παίρνετε ένα γράμμα πίσω, προστατευμένο επίσης από αδιάκριτα μάτια από αυτό το φοβερό μαθηματικό. Τέλος, στέλνετε τα διαπιστευτήριά σας σε έναν άλλο μυστικό αλγόριθμο-μαγευμένο φάκελο στον προορισμό. Εάν τα μαθηματικά δεν ταιριάζουν, μπορούμε να υποθέσουμε ότι ο αρχικός παραλήπτης μετακινήθηκε και πρέπει να επιβεβαιώσουμε ξανά τη διεύθυνσή του.
Με την εξήγηση όσο είναι, πιστεύουμε ότι θα το κόψουμε εκεί. Αν έχετε περισσότερες πληροφορίες, μη διστάσετε να συνομιλήσετε στα σχόλια, φυσικά. Προς το παρόν, όμως, ας δούμε την πιο σχετική λειτουργία του SSH, τον έλεγχο ταυτότητας κεντρικού υπολογιστή.
Πλήκτρα κεντρικού υπολογιστή
Ο έλεγχος ταυτότητας κεντρικού υπολογιστή είναι ουσιαστικά το μέρος όπου κάποιος που εμπιστεύεστε παίρνει το φάκελο (σφραγισμένο με μαγικά μαθηματικά) και επιβεβαιώνει τη διεύθυνση του παραλήπτη σας. Είναι μια αρκετά λεπτομερής περιγραφή της διεύθυνσης και βασίζεται σε μερικά περίπλοκα μαθηματικά που θα παραλείψουμε αμέσως. Υπάρχουν μερικά σημαντικά πράγματα που πρέπει να απομακρυνθούν από αυτό:
- Δεδομένου ότι δεν υπάρχει κεντρική αρχή, η πραγματική ασφάλεια βρίσκεται στο κλειδί κεντρικού υπολογιστή, στα δημόσια κλειδιά και στα ιδιωτικά κλειδιά. (Αυτά τα δύο τελευταία κλειδιά διαμορφώνονται όταν σας δίνεται πρόσβαση στο σύστημα.)
- Συνήθως, όταν συνδέεστε σε άλλον υπολογιστή μέσω SSH, αποθηκεύεται το κεντρικό κλειδί. Αυτό καθιστά τις μελλοντικές ενέργειες γρηγορότερες (ή λιγότερο λεκτικές).
- Εάν αλλάξει το κλειδί κεντρικού υπολογιστή, πιθανότατα θα ειδοποιήσετε και θα πρέπει να είστε προσεκτικοί!
Επειδή το κλειδί κεντρικού υπολογιστή χρησιμοποιείται πριν από τον έλεγχο ταυτότητας για τον προσδιορισμό της ταυτότητας του διακομιστή SSH, θα πρέπει να βεβαιωθείτε ότι έχετε ελέγξει το κλειδί πριν συνδεθείτε. Θα δείτε ένα παράθυρο διαλόγου επιβεβαίωσης όπως παρακάτω.
Δεν πρέπει όμως να ανησυχείτε! Συχνά όταν η ασφάλεια είναι ανησυχητική, θα υπάρχει ένα ειδικό μέρος που μπορεί να επιβεβαιωθεί το κλειδί κεντρικού υπολογιστή (παραπάνω δακτυλικό αποτύπωμα ECDSA) Σε εντελώς διαδικτυακές επιχειρήσεις, συχνά θα βρίσκεται σε έναν ιστότοπο ασφαλούς σύνδεσης. Ίσως χρειαστεί (ή να επιλέξετε!) Να τηλεφωνήσετε στο τμήμα πληροφορικής σας για να επιβεβαιώσετε αυτό το κλειδί μέσω τηλεφώνου. Έχω ακούσει ακόμη και ορισμένα μέρη όπου το κλειδί βρίσκεται στο σήμα εργασίας σας ή στην ειδική λίστα "Αριθμοί έκτακτης ανάγκης". Και, εάν έχετε φυσική πρόσβαση στη μηχανή προορισμού, μπορείτε επίσης να ελέγξετε μόνοι σας!
Έλεγχος του κλειδιού κεντρικού υπολογιστή του συστήματός σας
Υπάρχουν 4 τύποι τύπων αλγορίθμων κρυπτογράφησης που χρησιμοποιούνται για την κατασκευή κλειδιών, αλλά η προεπιλογή για το OpenSSH από νωρίτερα αυτό το έτος είναι το ECDSA ( με μερικούς καλούς λόγους ). Θα επικεντρωθούμε σε αυτό σήμερα. Ακολουθεί η εντολή που μπορείτε να εκτελέσετε στον διακομιστή SSH στον οποίο έχετε πρόσβαση:
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l
Η παραγωγή σας θα πρέπει να επιστρέψει κάτι τέτοιο:
256 :а: 62: еа: щц: еч: яй: 2е: аш: яч: 20: 11: дб: яц: 78: цз: чц /етц/сш/сш_хост_ецдса_кей.пуб
Ο πρώτος αριθμός είναι το μήκος bit του κλειδιού, μετά το ίδιο το κλειδί και, τέλος, έχετε το αρχείο στο οποίο είναι αποθηκευμένο. Συγκρίνετε αυτό το μεσαίο τμήμα με αυτό που βλέπετε όταν σας ζητηθεί να συνδεθείτε εξ αποστάσεως. Θα πρέπει να ταιριάζει και είστε έτοιμοι. Εάν όχι, τότε κάτι άλλο θα μπορούσε να συμβαίνει.
Μπορείτε να δείτε όλους τους κεντρικούς υπολογιστές με τους οποίους έχετε συνδεθεί μέσω SSH, κοιτάζοντας το αρχείο σας_γνωστών_hosts. Βρίσκεται συνήθως στη διεύθυνση:
~ / .ssh / known_hosts
Μπορείτε να το ανοίξετε σε οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου. Αν κοιτάξετε, προσπαθήστε να δώσετε προσοχή στον τρόπο αποθήκευσης των κλειδιών. Αποθηκεύονται με το όνομα του κεντρικού υπολογιστή (ή τη διεύθυνση ιστού) και τη διεύθυνση IP του.
Αλλαγή κλειδιών κεντρικού υπολογιστή και προβλημάτων
Υπάρχουν μερικοί λόγοι για τους οποίους αλλάζουν τα πλήκτρα κεντρικού υπολογιστή ή δεν ταιριάζουν με αυτά που έχουν καταγραφεί στο αρχείο σας_γνωστών_υπηρεσιών.
- Το σύστημα επανεγκαταστάθηκε / επαναδιαμορφώθηκε.
- Τα πλήκτρα κεντρικού υπολογιστή άλλαξαν χειροκίνητα λόγω πρωτοκόλλων ασφαλείας.
- Ο διακομιστής OpenSSH ενημερώθηκε και χρησιμοποιεί διαφορετικά πρότυπα λόγω προβλημάτων ασφαλείας.
- Η μίσθωση IP ή DNS άλλαξε. Αυτό σημαίνει συχνά ότι προσπαθείτε να αποκτήσετε πρόσβαση σε διαφορετικό υπολογιστή.
- Το σύστημα διακυβεύτηκε με κάποιο τρόπο έτσι ώστε το κλειδί κεντρικού υπολογιστή άλλαξε.
Πιθανότατα, το ζήτημα είναι ένα από τα πρώτα τρία και μπορείτε να αγνοήσετε την αλλαγή. Εάν η μίσθωση IP / DNS άλλαξε, τότε ενδέχεται να υπάρχει πρόβλημα με τον διακομιστή και ενδέχεται να μεταφερθείτε σε διαφορετικό μηχάνημα. Εάν δεν είστε σίγουροι ποιος είναι ο λόγος για την αλλαγή, τότε πιθανότατα θα πρέπει να υποθέσετε ότι είναι το τελευταίο στη λίστα.
Πώς χειρίζεται το OpenSSH άγνωστους κεντρικούς υπολογιστές
Το OpenSSH έχει μια ρύθμιση για το πώς χειρίζεται άγνωστους κεντρικούς υπολογιστές, που αντικατοπτρίζονται στη μεταβλητή "StrictHostKeyChecking" (χωρίς εισαγωγικά).
Ανάλογα με τη διαμόρφωσή σας, οι συνδέσεις SSH με άγνωστους κεντρικούς υπολογιστές (των οποίων τα κλειδιά δεν υπάρχουν ήδη στο αρχείο των γνωστών_ φιλοξενείων) μπορούν να ακολουθήσουν τρεις τρόπους.
- Το StrictHostKeyChecking έχει οριστεί σε όχι. Το OpenSSH θα συνδεθεί αυτόματα σε οποιονδήποτε διακομιστή SSH ανεξάρτητα από την κατάσταση κλειδιού κεντρικού υπολογιστή. Αυτό δεν είναι ασφαλές και δεν συνιστάται, εκτός εάν προσθέτετε μια δέσμη κεντρικών υπολογιστών μετά από μια επανεγκατάσταση του λειτουργικού σας συστήματος, μετά την οποία θα το αλλάξετε ξανά.
- Το StrictHostKeyChecking είναι έτοιμο να ρωτήσει. Το OpenSSH θα σας δείξει νέα κλειδιά κεντρικού υπολογιστή και θα ζητήσει επιβεβαίωση προτού τα προσθέσετε. Θα αποτρέψει τις συνδέσεις από το να αλλάξουν τα κλειδιά κεντρικού υπολογιστή. Αυτή είναι η προεπιλογή.
- Το StrictHostKeyChecking έχει οριστεί ναι. Το αντίθετο του "όχι", αυτό θα σας εμποδίσει να συνδεθείτε με οποιονδήποτε κεντρικό υπολογιστή που δεν υπάρχει ήδη στο αρχείο σας
Μπορείτε να αλλάξετε αυτήν τη μεταβλητή εύκολα στη γραμμή εντολών χρησιμοποιώντας το ακόλουθο παράδειγμα:
σς -ο 'ΣτρισθοστΚευΧέςκινγ [option]' user@κώστ
Αντικαταστήστε το [option] με "όχι", "ρωτήστε" ή "ναι". Λάβετε υπόψη ότι υπάρχουν μόνο ευθεία εισαγωγικά που περιβάλλουν αυτήν τη μεταβλητή και τη ρύθμισή της. Επίσης, αντικαταστήστε το user @ host με το όνομα χρήστη και το όνομα κεντρικού υπολογιστή του διακομιστή στον οποίο συνδέεστε. Για παράδειγμα:
ssh -o 'StrictHostKeyChecking ask' [email protected]
Αποκλεισμένοι κεντρικοί υπολογιστές λόγω αλλαγής κλειδιών
Εάν διαθέτετε διακομιστή στον οποίο προσπαθείτε να αποκτήσετε πρόσβαση στον οποίο είχε ήδη αλλάξει το κλειδί του, η προεπιλεγμένη διαμόρφωση OpenSSH θα σας εμποδίσει να αποκτήσετε πρόσβαση σε αυτόν. Θα μπορούσατε να αλλάξετε την τιμή StrictHostKeyChecking για αυτόν τον κεντρικό υπολογιστή, αλλά αυτό δεν θα ήταν απολύτως, πλήρως, παρανοϊκά ασφαλές, έτσι; Αντ 'αυτού, μπορούμε απλά να αφαιρέσουμε την προσβλητική τιμή από το αρχείο μας
Αυτό είναι σίγουρα ένα άσχημο πράγμα στην οθόνη σας. Ευτυχώς, ο λόγος μας για αυτό ήταν ένα επανεγκατεστημένο λειτουργικό σύστημα. Λοιπόν, ας κάνουμε μεγέθυνση στη γραμμή που χρειαζόμαστε.
Ορίστε. Δείτε πώς αναφέρει το αρχείο που πρέπει να επεξεργαστούμε; Μας δίνει ακόμη και τον αριθμό γραμμής! Ας ανοίξουμε λοιπόν αυτό το αρχείο στο Nano:
Εδώ είναι το προσβλητικό κλειδί μας, στη γραμμή 1. Το μόνο που χρειάζεται να κάνουμε είναι να πατήσετε Ctrl + K για να κόψετε ολόκληρη τη γραμμή.
Αυτό είναι πολύ καλύτερο! Έτσι, τώρα πατάμε Ctrl + O για να γράψουμε (αποθηκεύουμε) το αρχείο και μετά Ctrl + X για έξοδο.
Τώρα λαμβάνουμε μια ωραία προτροπή, στην οποία μπορούμε απλώς να απαντήσουμε με "ναι".
Δημιουργία νέων κλειδιών κεντρικού υπολογιστή
Για το ρεκόρ, δεν υπάρχει πραγματικά πολύς λόγος για να αλλάξετε καθόλου το κεντρικό σας πλήκτρο, αλλά αν βρείτε ποτέ την ανάγκη, μπορείτε να το κάνετε εύκολα.
Πρώτα, αλλάξτε στον κατάλληλο κατάλογο συστήματος:
cd / etc / ssh /
Αυτό συμβαίνει συνήθως όπου τα παγκόσμια πλήκτρα κεντρικού υπολογιστή, αν και κάποια διανομές τα έχουν τοποθετήσει αλλού. Σε περίπτωση αμφιβολίας ελέγξτε την τεκμηρίωσή σας!
Στη συνέχεια, θα διαγράψουμε όλα τα παλιά κλειδιά.
sudo rm / etc / ssh / ssh_host_ *
Εναλλακτικά, μπορεί να θέλετε να τα μετακινήσετε σε έναν ασφαλή κατάλογο αντιγράφων ασφαλείας. Απλά μια σκέψη!
Στη συνέχεια, μπορούμε να πούμε στον διακομιστή OpenSSH να αναδιαμορφώσει τον εαυτό του:
sudo dpkg-reconfigure openssh-server
Θα δείτε μια προτροπή ενώ ο υπολογιστής σας δημιουργεί τα νέα του κλειδιά. Τα-ντα!
Τώρα που γνωρίζετε πώς το SSH λειτουργεί λίγο καλύτερα, θα πρέπει να είστε σε θέση να βγείτε από σκληρά σημεία. Η προειδοποίηση / σφάλμα "Απομακρυσμένη αναγνώριση κεντρικού υπολογιστή έχει αλλάξει" είναι κάτι που απομακρύνει πολλούς χρήστες, ακόμη και εκείνους που είναι εξοικειωμένοι με τη γραμμή εντολών.
Για πόντους μπόνους, μπορείτε να κάνετε check out Τρόπος απομακρυσμένης αντιγραφής αρχείων μέσω SSH χωρίς εισαγωγή του κωδικού πρόσβασης . Εκεί, θα μάθετε λίγα περισσότερα για τα άλλα είδη αλγορίθμων κρυπτογράφησης και πώς να χρησιμοποιήσετε βασικά αρχεία για πρόσθετη ασφάλεια.
