SSHへの序文はじめに
IETF(Internet Engineering Task Force)により開発されたアプリケーション層に基づいてセキュアなネットワークを構築するには、シェル(SSH)プロトコルを固定します。これは、リモートログインセッションを効果的ネットワークの脆弱性を補うことができ、セキュリティプロトコルを提供するために、およびその他のネットワークサービス(でもWindowsのリモートログインのLinuxサーバの各ファイル転送を使用することができます)のために設計されています。、SSH経由で送信されたすべてのデータを暗号化することができ、DNSスプーフィングを防止し、及びIPスプーフィングすることができます。追加の利点は、データ伝送が圧縮され、それは伝送速度を速めることができるということですがあります。これは、Linuxシステムの標準的な構成となっています。
SSHは、実装の様々な、両方の商用実装があり、ちょうどプロトコルでオープンソース実装が存在します。このホワイトペーパーでは、WindowsでSSHを使用している場合、あなたは別のソフトウェアのPuTTYを使用する必要があり、OpenSSHの自由とオープンソースソフトウェアについて説明します。
SSHよりはSSHの利点は、ネットワーク伝送サービスプログラムがあり、多くのがあります。FTP、POP、およびTelnetはその不安定な性質があり、それらがクリアテキスト、ユーザーアカウントとユーザーパスワードでネットワークを介してデータを転送するので、それは仲介(のman-in-the-middle)攻撃方法に対して脆弱です。コンテンツを伝送することができるSSHは、RSAの暗号化、および圧縮を経由して暗号化され、それが比較的速く、より安全です。
2つの方法でSSH認証:秘密口座の確認と検証、公開鍵と秘密鍵は、第2のアプローチは比較的安全です。
、SSHサービスプログラム
関連するRPMパッケージ:opensshの(下のパッケージ)、opensshの-クライアント、openssh-サーバー
、サーバー側のインストール:yumのインストールのopenssh-サーバー(インストールのopenssh-サーバが自動的にOpenSSHのインストール)
クライアントのインストールは:yumのopensshの-クライアントをインストールします(インストール自動のopenssh-クライアントのOpenSSHをインストールするには)
アンインストール:YUMのopenssh(アンインストールのOpenSSHを削除し、その後、自動的に)のopenssh-serverとのopenssh-クライアントをアンロード
サービスをします。/ usr / sbin / sshdの
サービスポート:TCP / 22
サーバプロファイル: / etc / ssh / sshd_configの
クライアント構成ファイル:/ etc / ssh / ssh_config内
の使用します。ssh -p 22 [email protected]には、/ etc / ssh / ssh_configの中の設定ファイルは、デフォルトのポート番号22であれば、次のことができ、直接sshのルート@ 192.168.10.10
甲斐/開始時から開いていないから、オン/オフ/リブート/ブートのサービス:開始systemctl /停止/再起動/ /無効にsshdを有効にします
SSHサーバの設定ファイル(一部):は、/ etc / ssh / sshd_config
#Port 22 //デフォルトのポート番号は22ポートを変更した場合、コメントを外し #LoginGraceTimeの2メートル//際にSSHログイン、パスワード認証のタイムアウト、デフォルトの2分 はい//ルートとしてログインすることが許可されている#PermitRootLogin #MaxAuthTries 6認証の//最大数 #MaxSessions日10 //ログインセッションが開催されていない 無//空白のパスワードを許可するかどうかを#PermitEmptyPasswordsを PasswordAuthenticationをはい//パスワード認証をオンにします
私たちは、時間の設定を変更する必要があり、最終的な解決策は完全にサービスのsshdの再起動を再起動するラインで直接設定ファイルを変更することです
サービスは、オープン-eのPSであるかどうかを確認するためにSSHコマンド| grepのSSH
第二に、接続パスワード
接続ポートSSHを指定する-pコマンド1234名-p @ 192 168 0 1
次いで、ユーザは、表面に入力されます。
簡単にグラフィカル・ユーザー・インターフェースを接続し、言いません。
第三に、公開鍵ログイン
ホストAには、ssh-keygenのを使用して、保存されたファイル名を入力します(デフォルトでid_rsaと)と、自身の秘密鍵、完了意志の〜/ .ssh /生成された二つの鍵の後:id_rsaと(秘密鍵)とid_rsaと(パブリック).PUB
ローカルホストに保存された個人(id_rsaと)、公開鍵(id_rsa.pub)を自動的にssh-コピー-IDの[email protected]を通過させることになるピアホストBの〜/ .ssh /ディレクトリそして、自動的にauthorized_keysに名前を変更する
だけで入力された使用してSSH [email protected]プライベートログイン:ログインターゲットホストを
特定します:
図1に示すように、ユニットは、鍵ペアを生成します
鍵ペアを生成するためにssh-keygenのコマンドを使用します:
SSH-keygenは-t rsaの#の-tオプションはタイプ、ここで使用される暗号化アルゴリズムを示し、RSA
、その後、nullが提供されていないキーを押して、秘密鍵のパスワードがパスフレーズを要求し設定するために必要とされる(入力ステップごとにプロンプトが表示され、ここを参照してくださいあなたは、公開鍵と秘密鍵ファイルid_rsaとファイルid_rsa.pubが含まれています/ホーム/現在のユーザーディレクトリの下の.sshフォルダが生成され、実装が終了した後、)を設定することができ、秘密鍵のセキュリティを心配していない場合は、それを感じて。
2、リモートホストに公開鍵をコピー
リモートホストに公開鍵をコピーするにはssh-コピー-idコマンドを使用します。〜/ .ssh / authorized_keyドキュメントのssh-コピー-idには、リモートホストの公開鍵を書き込みます
SSH-コピー-IDの[email protected]
ここでは、Googleのクラウドにログインするリモートユーザーの一例です
四、SSHアプリケーション
1、我々は+プログラムがリモートホストで動作し続ける断線ssh接続時に実行中のプログラムを実行する必要があるnohupを使用することができます。nohupはすなわちなし(中断されていない)ハングアップ。
2、SCAPは、ファイルを転送するホスト間ように、入れて取得し、
3、ローカルポートをバインドします
SSH -D 8080 $ホストの@ユーザー
SSHはローカル8080ポートを監視するために、ソケットを作成します。データは、ポート8080に送信されると、自動的にリモートホストに宛て、SSH接続の上にそれを転送します。8080は非暗号化されたポートであることが判明した場合を想像し、今で暗号化されたポートになります。
例のグレープフルーツの皮:
時には、結合ローカルポートが十分ではありません指すように「ポートフォワーディング」ポイントを形成するように、あなたはまた、ターゲットホストのデータ転送を指定する必要があります。後で区別するために「リモートポート転送を、」私たちはそれを入れて、「ローカルポートフォワーディング」(ローカルフォワーディング)。
リモートホストはhost2、ローカルホストがHOST1であることを前提としています。様々な理由のために、それは2つのホスト間で通信することはできません。しかし、HOST3添加は、フロント二つのホストが同時に通信することができます。したがって、それは自然な発想もHOST1のhost2の上、host3ということで、あるあります。
私たちは、注文HOST1に次のように行わ:
$ 2121 SSH -L:ホスト2:21はhost3のある
コマンドパラメータLは、3つの値の合計を受け、すなわち、「ローカルポート:ターゲット・ホスト:ポートターゲットホスト」、それらの間のコロンで区切られました、。このコマンド手段は、SSHはローカルポート2121を結合し、その後、(FTPを実行しているホスト2を想定し、デフォルトのポートは21である)ターゲットホストのホスト2のポート21に転送するすべてのデータをHOST3指定指定されています。
結果として、限り、我々は、ホスト2のポートに接続された21に相当する2121のHOST1ポートを、接続しました。
FTPのローカルホストの$:2121
「SSHトンネル」「ローカルポートフォワーディング」ので、host1とhost3の間の秘密のトンネルデータ転送の形成が、それはまたとして知られている場合
ここで興味深い例です。
$ Sshの-L 5900:localhostを:
5900はHOST3 それは5900ポート5900ポート製本機によるHOST3を示す(ターゲットホストがHOST3相対的な用語であるため、本明細書にローカルホスト、HOST3を意味します)。
別の例は、ポートフォワーディング、SSHログインHOST2てHOST3されます。
$ Sshの-L 9001:ホスト2:22 HOST3
このとき、機械のsshのポート限りログインhost2のと同等の9001を、ログに記録します。
$ Sshの-p 9001 localhostを
上記は、ログインポートを指定するには、-pパラメータを表しています。
出错处理:SSHは:ホスト名192.168を解決できませんでした* *:。。***:名前または知られていないサービス
解像度:ポートは直接IPを使用することはできません指定:ポート番号は、それを解決するために-pパラメータを使用します。
(グレープフルーツ果皮から)4、リモートポートフォワーディング
ポートフォワーディングリモート
「ローカルポートフォワーディング」は結合ローカルポートを転送する意味ので、次に「リモートポートフォワーディング」(遠隔転送)もちろん、リモート・ポートをバインドするために転送されます。
次に例を見ては、上記のhost1とhost2の間の通信ではありません、あなたは前方HOST3使用する必要があります。しかしながら、特殊な状況が発生し、HOST3は、ネットワーク内のマシンであり、ネットワークの外部ネットワーク内にはネットワークの外HOST1を接続することができ、その逆はないが、HOST3 HOST1 ROMなどを用いることができます。このとき、「ローカルポートフォワーディング」どのように行うために、使用することはできませんか?
HOST3もHOST1、その後、SSHのホスト1との接続を確立して、HOST3からその上にhost1のこの接続を使用することができますので、解決策は、あります。
私たちは、HOST3で次のコマンドを実行します。
$のSSHの-R 2121:ホスト2:HOST1 21
Rパラメータはまた、3つの値は受け入れる「:ターゲットホスト:リモートホストポート。ターゲットホストポート」このコマンド手段は、その後、ホスト2のポート21に転送HOST3経由ですべてのデータを、独自のhost1のモニタポート2121を作ることです。HOST3には、host1がリモートホストであるので、このような状況が呼び出される「結合リモートポート。」
結合後、我々はHOST2のHOST1に接続することができます:
$ FTPのはlocalhost:2121
ここでは、「リモートポートフォワーディング」の前提条件、host1とhost3という2つのホストがSSHDとsshクライアントを持っていることに留意しなければなりません。