بررسی سرویس دهنده SSH در لینوكس
فرض كنید مسئول یك شبكه كامپیوتری هستید و بخشی از شبكه در شهر دیگری مستقر است و شما برای مدیریت سیستمها مجبورید روزانه چندین دفعه با هر سیستم از راه دور ارتباط برقراركنید. برای هر سیستم باید یك عملیات passphrase را انجام دهید و این ، وقت و انرژی زیادی از شما خواهد گرفت. فرمان ssh-agent این امكان را به شما می دهدكه فقط یك بار مجبور باشید به سیستم راه دور متصل شوید و بر روی سیستم مقصد سرویس agent را فعال كنید.
در هنگام نصب لینوكس، اگر دقت كرده باشید ، این امكان را دارید كه سرویس دهنده (ssh secure shell) را فعال كنید. SSH سرویسی برای مدیریت و دسترسی به كامپیوتر یا شبكه از راه دور است.rsh و telnet و ftp دیگر ابزارهای برقراری ارتباط و مدیریت یك سیستم راه دور هستند اما مكانیزهای امنیتی در آن ها استفاده نشده است و به راحتی می توان با شنود كردن ارتباط میان دو كامپیوتر در سطح شبكه ، به اطلاعات بسیار ارزشمندی مانند اسم و رمز كاربری كامپیوتری راه دور دست یافت.SSH یك تونل ارتباطی رمز شده میان دو كامپیوتر به وجود می آورد و داده های به صورت كد شده میان دو كامپیوتر تبادل می شوند و در نتیجه حتی در صورت به دست آوردن اطلاعات تبادل شده میان این دو كامپیوتر ، امكان بهره برداری از آنها وجود ندارد. SSH یك سرویس امنیتی برای مقابله با طیف گسترده ای از حملا ت اینترنتی است. SSH ذاتا یك پروتكل است و استانداردهای یك ارتباط رمز شده برای اداره یك سیستم از راه دور را فراهم می كند.۱SSH اولین نسخه از این پروتكل است كه با اصلاحاتیSSH۲ تبدیل شده است. SSH۲ از امكانات وقابلیت های بیشتری به نسبت نسخه قبلی برخوردار است و دستورات و برنامه های گسترده تری دارد. نسخه رایگان و آزاد این پروتكل ، با نام open SSH توسط گروه سیستم عامل openBSD منتشرمی شود. SSH یك ابزار كاملا خط فرمان است كه فقط در كنسول های متنی قابل استفاده می باشد و برای به كارگیری در سیستم های mac و ویندوز نیز به كنسول خط فرمان نیاز دارد. ارائه راهنمای كاملی از راه اندازی ، پیكربندی و استفاده از سرویس SSH به طور موثر و كارا ، كاری خارج از عهده یك مقاله است وكتابی مفصل و جامع را طلب می كند. هدف این نوشتار شناخت این سرویس امنیتی در كنار قابلیت های آن در سیستم عامل لینوكس و ارائه كلیدهایی به خواننده برای پیگری و مطالعه هدفمند موضوع است.
SSH از دو كلیدعمومی (public) و خصوصی (private) برای احراز هویت و رمز گشایی اطلاعات استفاده می كند. كلید عمومی میان تمامی كاربران به اشتراك گذاشته می شود ، اما هر كاربر فقط یك كلید خصوصی منحصربه فرد داردكه با استفاده از آن، شناسایی و احراز هویت می گردد.۱ SSH از الگوریتم رمزنگاری RSA برای كد كردن اطلاعات استفاده می كند ، ولی علاوه بر از الگوریتم DSA نیز استفاده می كند.پس از نصب و پیكربندیSSH، باید كلیدهای عمومی تولید و میان سیستم ها به اشتراك گذاشته شوند.
برای راه اندازی یك سرویسSSH پس از نصب برنامه ، مراحل كاربه صورت زیرخواهد بود:
۱- تولید كلید های عمومی و خصوصی برای هركاربر.
۲- به اشتراك گذاری كلید عمومی میان تمامی كامپیوترهایی كه می خواهند از سرویس SSH استفاده كنند.
۳- دسترسی به حساب كاربری سیستمی كه باید از راه دور با آن ارتباط داشت.
–keygen-trsa [ [misagh@teamset
بااجرا این دستور از مكانی كه می خواهید فایل های شما در آن جا ذخیره شوند سوال می شود. آرگومان t باعث نشان دادن مراحل كار و نام و مكان فایل می شود. می توانید با كمك صفحات manاز آرگومان های دیگر این فرمان هم كمك بگیرید. پارامترrsa هم به برنامه می گوید كه برای رمز كردن usemame و password از این الگوریتم استفاده شود. اصطلاحا به عملیات رمز نمودن اطلاعات و یا رمز گشایی آن ها passphrase گفته می شود. می توانید از الگوریتم dsa هم در SSH ۲ استفاده كنید. به صورت پیش فرض سیستم ، دایركتوری مخفی ssh را در دایركتوری خانگی شما برای ذخیره فایل ها در نظر می گیرد. (HOME/.ssh$) درssh۱ نامidentity.pub و در SSH۲idrsa.pub برای فایل كلید عمومی انتخاب می شود. در ادامه یك رمز برای كد كردن اسم و رمز كاربری شما و تولید كلید عمومی و خصوصی درخواست می شود. اگر این رمز را وارد نكنید، ممكن است سیستم به صورت پیش فرض یك عدد را انتخاب كند یا مجددا از شما تقاضای یك passphrase كند. بعد از اتمام عملیات، اكنون در دایركتوری HOME/.ssh/idrsa$ یا HOME/.ssh/identity$ می توانید كلید عمومی و خصوصی تولید شده را مشاهده كنید.HOME/.ssh/authorizedkeys $ دایركتوری مهم دیگری است كه در همین شاخه وجود دارد و باید كلید عمومی تمام كاربران در این دایركتوری به اشتراك گذاشته شود. پس از اینكه كلید عمومی ساخته شد، یك كپی از آن را باید در دایركتوری به همین نام ، ولی بر روی كامپیوتری كه می خواهید از راه دور به آن متصل شوید ، كپی كنید. فرمان keygen این قابلیت را دارد كه بتوانید یك passphrase جدید برای خود درست كنید یا آن را تغییر دهید.برای این منظور می توان از آرگومان-p استفاده كرد. اگر تمایل دارید از الگوریتم رمزنگاری dsa در passphrsae استفاده كنید ، در همان فرمان بالا das را به جای rsa به كار ببرید.
كافی است نام شبكه یا ماشینی كه می خواهید از راه دور به آنlogin كنید را مقابل فرمان ssh وارد كنید . به مثال های زیر توجه كنید:
ssh kemel.linuxteam.com
ssh ۶۹۱.۷۱.۱۵۱.۷
ssh rootrobin
دراین فرمان می توان نام ماشین یك كاربر خاص را نیز وارد كرد و پس از وارد پسورد سیستم ، مانند این است كه اكنون در مقابل آن سیستم نشسته اید:
۸ masteam.totule.com-۱client[lient۱۲@masteamclient۱۲]
client@masteam.totule.com&#۰۳۹;s password:
lastlogin:sat may۱۹۱۲:۴۰:۰۳ ۲۰۰۵ form masteam. Totule.com
انتقال فایل با برنامه هایscp وsftp
در یك ارتباط راه دور با SSH می توان فایل را از یك ماشین به ماشین راه دور دیگری انتقال داد. برنامه scp این امكان را تحت یك نشست SSH فراهم می كند. ساختار فرمان به صورت زیر خواهد بود.
Scp name-of source file name –of –distination file
در این دستور همیشه نام كامپیوتر و كاربر پیش از نام دایركتوری یا فایل آورده می شود. همچنین برای كپی كردن یك دایر كتوری ، بایداز آرگومانr استفاده كنید.
اگر بخواهید ازسیستم راه دوری كه به آن login كرده اید فایلی را به سیستم خود منتقل كنید، ابتدا با دستور ssh به سیستم راه دور متصل شوید و در گام بعدی با دستورscp فایل های مورد نظر را به سیستم خود منتقل نمایید.
Scp به تمام نیاز شما پاسخ می دهد.اما گروهی از كاربران با پروتكل FTP آشنایی بیشتری دارند و با تكنیك های این روش انتقال فایل در اینترنت، خو گرفته اند. در SSH۲ ، فراهم آورنده این سرویس sftp است. با این ویژگی كه شما از یك كنسول حفاظت شده برای تبادل اطلاعات و فایل های خود استفاده می كنید.
ssh-agent xterm
این دستور به شما اجازه می دهد تمامی دستورات و فرامین خود را بدون نیاز به احرازهویت برروی سیستم راه دور انجام دهید . هربرنامه ای كه در xterm اجرا شود ، به كلید خصوصی شما دسترسی خواهدداشت وبا مقایسه آن با كلید عمومی به صورت خودكار ، مجوز شما صادر خواهد شد. گفتنی است در نخستین بار كه به سیستم راه دور دسترسی پیدا كردید، قبل از هر عملیاتی باید سرویس agent را فعال كنید تا در دسترسی های بعدی بتوانید از این سرویس استفاده كنید.
درروش دوم می توان با استفاده ازمد eval به اجرای سرویس agent در پس زمینه اقدام كرد:
Ssh
Eval ssh-agent
Sshdconfig فایل پیكربندی سرویس دهنده sshd است كه تنظیمات امنیتی وسیستمی ازجمله تعیین شماره پورت SSH ، شماره نسخه پروتكل SSL ، مدیریت رمزهای و عبور كاربران و كار در بالاترین مجوز دسترسی را دراختیار شمامی گذارد. مهمترین تنظیمات كاربران درفایل ssh/config . قرار داردكه هركاربر می تواند به صورت مستقیم به آن دسترسی وسرویس SSH سیستم خود را به طور دلخواه تنظیم كند. مهمترین پارامترهای این فایل عبارتند از:
▪ Catchmod : برای غیر فعال كردن عملیات پرس وجو
▪ Compression : امكان استفاده از قابلیت فشرده سازی فایل ها
▪ Escapechar : تنظیمات مرتبط با كاراكترهای ویژه در سرویس SSH
▪ Forwardagent : امكان استفاده از سرویس agent
▪ Forwardx۱۱ : امكان برقراری یك نشست با محیط های گرافیكی به صورت امن
▪ Hostname : تنظیم شدن نام حقیقی ماشینی كه به آنlogin می شود
▪ Identityfile : تنظیمات مربوط به فایل های شناسه RSA
▪ passwordAuthentication : فعال كردن رمز عبور در فرایند احراز
ارسال مقاله توسط کاربر محترم سایت : sm1372
/ن
در هنگام نصب لینوكس، اگر دقت كرده باشید ، این امكان را دارید كه سرویس دهنده (ssh secure shell) را فعال كنید. SSH سرویسی برای مدیریت و دسترسی به كامپیوتر یا شبكه از راه دور است.rsh و telnet و ftp دیگر ابزارهای برقراری ارتباط و مدیریت یك سیستم راه دور هستند اما مكانیزهای امنیتی در آن ها استفاده نشده است و به راحتی می توان با شنود كردن ارتباط میان دو كامپیوتر در سطح شبكه ، به اطلاعات بسیار ارزشمندی مانند اسم و رمز كاربری كامپیوتری راه دور دست یافت.SSH یك تونل ارتباطی رمز شده میان دو كامپیوتر به وجود می آورد و داده های به صورت كد شده میان دو كامپیوتر تبادل می شوند و در نتیجه حتی در صورت به دست آوردن اطلاعات تبادل شده میان این دو كامپیوتر ، امكان بهره برداری از آنها وجود ندارد. SSH یك سرویس امنیتی برای مقابله با طیف گسترده ای از حملا ت اینترنتی است. SSH ذاتا یك پروتكل است و استانداردهای یك ارتباط رمز شده برای اداره یك سیستم از راه دور را فراهم می كند.۱SSH اولین نسخه از این پروتكل است كه با اصلاحاتیSSH۲ تبدیل شده است. SSH۲ از امكانات وقابلیت های بیشتری به نسبت نسخه قبلی برخوردار است و دستورات و برنامه های گسترده تری دارد. نسخه رایگان و آزاد این پروتكل ، با نام open SSH توسط گروه سیستم عامل openBSD منتشرمی شود. SSH یك ابزار كاملا خط فرمان است كه فقط در كنسول های متنی قابل استفاده می باشد و برای به كارگیری در سیستم های mac و ویندوز نیز به كنسول خط فرمان نیاز دارد. ارائه راهنمای كاملی از راه اندازی ، پیكربندی و استفاده از سرویس SSH به طور موثر و كارا ، كاری خارج از عهده یك مقاله است وكتابی مفصل و جامع را طلب می كند. هدف این نوشتار شناخت این سرویس امنیتی در كنار قابلیت های آن در سیستم عامل لینوكس و ارائه كلیدهایی به خواننده برای پیگری و مطالعه هدفمند موضوع است.
شروع كار با SSH
SSH از دو كلیدعمومی (public) و خصوصی (private) برای احراز هویت و رمز گشایی اطلاعات استفاده می كند. كلید عمومی میان تمامی كاربران به اشتراك گذاشته می شود ، اما هر كاربر فقط یك كلید خصوصی منحصربه فرد داردكه با استفاده از آن، شناسایی و احراز هویت می گردد.۱ SSH از الگوریتم رمزنگاری RSA برای كد كردن اطلاعات استفاده می كند ، ولی علاوه بر از الگوریتم DSA نیز استفاده می كند.پس از نصب و پیكربندیSSH، باید كلیدهای عمومی تولید و میان سیستم ها به اشتراك گذاشته شوند.
برای راه اندازی یك سرویسSSH پس از نصب برنامه ، مراحل كاربه صورت زیرخواهد بود:
۱- تولید كلید های عمومی و خصوصی برای هركاربر.
۲- به اشتراك گذاری كلید عمومی میان تمامی كامپیوترهایی كه می خواهند از سرویس SSH استفاده كنند.
۳- دسترسی به حساب كاربری سیستمی كه باید از راه دور با آن ارتباط داشت.
تولید كلید های RSA
–keygen-trsa [ [misagh@teamset
بااجرا این دستور از مكانی كه می خواهید فایل های شما در آن جا ذخیره شوند سوال می شود. آرگومان t باعث نشان دادن مراحل كار و نام و مكان فایل می شود. می توانید با كمك صفحات manاز آرگومان های دیگر این فرمان هم كمك بگیرید. پارامترrsa هم به برنامه می گوید كه برای رمز كردن usemame و password از این الگوریتم استفاده شود. اصطلاحا به عملیات رمز نمودن اطلاعات و یا رمز گشایی آن ها passphrase گفته می شود. می توانید از الگوریتم dsa هم در SSH ۲ استفاده كنید. به صورت پیش فرض سیستم ، دایركتوری مخفی ssh را در دایركتوری خانگی شما برای ذخیره فایل ها در نظر می گیرد. (HOME/.ssh$) درssh۱ نامidentity.pub و در SSH۲idrsa.pub برای فایل كلید عمومی انتخاب می شود. در ادامه یك رمز برای كد كردن اسم و رمز كاربری شما و تولید كلید عمومی و خصوصی درخواست می شود. اگر این رمز را وارد نكنید، ممكن است سیستم به صورت پیش فرض یك عدد را انتخاب كند یا مجددا از شما تقاضای یك passphrase كند. بعد از اتمام عملیات، اكنون در دایركتوری HOME/.ssh/idrsa$ یا HOME/.ssh/identity$ می توانید كلید عمومی و خصوصی تولید شده را مشاهده كنید.HOME/.ssh/authorizedkeys $ دایركتوری مهم دیگری است كه در همین شاخه وجود دارد و باید كلید عمومی تمام كاربران در این دایركتوری به اشتراك گذاشته شود. پس از اینكه كلید عمومی ساخته شد، یك كپی از آن را باید در دایركتوری به همین نام ، ولی بر روی كامپیوتری كه می خواهید از راه دور به آن متصل شوید ، كپی كنید. فرمان keygen این قابلیت را دارد كه بتوانید یك passphrase جدید برای خود درست كنید یا آن را تغییر دهید.برای این منظور می توان از آرگومان-p استفاده كرد. اگر تمایل دارید از الگوریتم رمزنگاری dsa در passphrsae استفاده كنید ، در همان فرمان بالا das را به جای rsa به كار ببرید.
برقراری یك نشست SSH با سرویس راه دور
كافی است نام شبكه یا ماشینی كه می خواهید از راه دور به آنlogin كنید را مقابل فرمان ssh وارد كنید . به مثال های زیر توجه كنید:
ssh kemel.linuxteam.com
ssh ۶۹۱.۷۱.۱۵۱.۷
ssh rootrobin
دراین فرمان می توان نام ماشین یك كاربر خاص را نیز وارد كرد و پس از وارد پسورد سیستم ، مانند این است كه اكنون در مقابل آن سیستم نشسته اید:
۸ masteam.totule.com-۱client[lient۱۲@masteamclient۱۲]
client@masteam.totule.com&#۰۳۹;s password:
lastlogin:sat may۱۹۱۲:۴۰:۰۳ ۲۰۰۵ form masteam. Totule.com
[lient۸@mateam client]
logout [client۸@mateamclient۸]
انتقال فایل با برنامه هایscp وsftp
در یك ارتباط راه دور با SSH می توان فایل را از یك ماشین به ماشین راه دور دیگری انتقال داد. برنامه scp این امكان را تحت یك نشست SSH فراهم می كند. ساختار فرمان به صورت زیر خواهد بود.
Scp name-of source file name –of –distination file
scp myfileclient۸[client۲۱ masteam client۲۱]
در این دستور همیشه نام كامپیوتر و كاربر پیش از نام دایركتوری یا فایل آورده می شود. همچنین برای كپی كردن یك دایر كتوری ، بایداز آرگومانr استفاده كنید.
scp r reportsclinet۸masteam.totule[clinet۲۱masteam clinet۲۱]
اگر بخواهید ازسیستم راه دوری كه به آن login كرده اید فایلی را به سیستم خود منتقل كنید، ابتدا با دستور ssh به سیستم راه دور متصل شوید و در گام بعدی با دستورscp فایل های مورد نظر را به سیستم خود منتقل نمایید.
Scp به تمام نیاز شما پاسخ می دهد.اما گروهی از كاربران با پروتكل FTP آشنایی بیشتری دارند و با تكنیك های این روش انتقال فایل در اینترنت، خو گرفته اند. در SSH۲ ، فراهم آورنده این سرویس sftp است. با این ویژگی كه شما از یك كنسول حفاظت شده برای تبادل اطلاعات و فایل های خود استفاده می كنید.
جلوگیری از تكرار
ssh-agent xterm
این دستور به شما اجازه می دهد تمامی دستورات و فرامین خود را بدون نیاز به احرازهویت برروی سیستم راه دور انجام دهید . هربرنامه ای كه در xterm اجرا شود ، به كلید خصوصی شما دسترسی خواهدداشت وبا مقایسه آن با كلید عمومی به صورت خودكار ، مجوز شما صادر خواهد شد. گفتنی است در نخستین بار كه به سیستم راه دور دسترسی پیدا كردید، قبل از هر عملیاتی باید سرویس agent را فعال كنید تا در دسترسی های بعدی بتوانید از این سرویس استفاده كنید.
درروش دوم می توان با استفاده ازمد eval به اجرای سرویس agent در پس زمینه اقدام كرد:
Ssh
Eval ssh-agent
پیكربندی
Sshdconfig فایل پیكربندی سرویس دهنده sshd است كه تنظیمات امنیتی وسیستمی ازجمله تعیین شماره پورت SSH ، شماره نسخه پروتكل SSL ، مدیریت رمزهای و عبور كاربران و كار در بالاترین مجوز دسترسی را دراختیار شمامی گذارد. مهمترین تنظیمات كاربران درفایل ssh/config . قرار داردكه هركاربر می تواند به صورت مستقیم به آن دسترسی وسرویس SSH سیستم خود را به طور دلخواه تنظیم كند. مهمترین پارامترهای این فایل عبارتند از:
▪ Catchmod : برای غیر فعال كردن عملیات پرس وجو
▪ Compression : امكان استفاده از قابلیت فشرده سازی فایل ها
▪ Escapechar : تنظیمات مرتبط با كاراكترهای ویژه در سرویس SSH
▪ Forwardagent : امكان استفاده از سرویس agent
▪ Forwardx۱۱ : امكان برقراری یك نشست با محیط های گرافیكی به صورت امن
▪ Hostname : تنظیم شدن نام حقیقی ماشینی كه به آنlogin می شود
▪ Identityfile : تنظیمات مربوط به فایل های شناسه RSA
▪ passwordAuthentication : فعال كردن رمز عبور در فرایند احراز
ارسال مقاله توسط کاربر محترم سایت : sm1372
/ن