Sshd это что простыми словами
Secure Shell (SSH) — широко используемый протокол транспортного уровня для защиты соединений между клиентами и серверами. Это базовый протокол в нашей программе Teleport для защищённого доступа к инфраструктуре. Ниже относительно краткое описание рукопожатия, которое происходит перед установлением безопасного канала между клиентом и сервером и перед началом полного шифрования трафика.
Заключение
SSH (Secure SHell - защищенная оболочка) - сетевой протокол прикладного уровня, предназначеный для безопасного удаленного доступа к UNIX-системам.
Пользователи Windows могут воспользоваться SSH-клиентом вроде PuTTy. Пользователи Linux или MacOS могут использовать SSH напрямую из окна терминала.
Существует три различных технологий шифрования, используемых SSH:
Использование SSH подключения имеет ряд преимуществ:
Безопасная работа на удаленном сервере с использованием командной оболочки;
Использование разных алгоритмов шифрования (симметричного, асимметричного и хеширования);
Возможность безопасного использования любого сетевого протокола, что позволяет передавать по защищенному каналу файлы любого размера.
Использование SSH подключения имеет свой недостаток:
Протокол SSH не имеет средств защиты от действий злоумышленника, получившего root-доступ. Одной из мер предосторожности является ограничение использования режима root без острой необходимости.
Аббревиатуру SSH встречали многие, но не все понимают, что это такое, как им пользоваться и как он настраивается.
SSH — это Secure Shell (безопасная оболочка) ; это специальный протокол для передачи данных в безопасном режиме. Он очень часто применяется для удаленного управления компьютерами и устройствами по сети.
Генерация ключей
Создадим пару ключей:
Программа запустится и спросит, куда сохранять ключи:
Нажмите Enter для сохранения в стандартное место — директорию .ssh/id_rsa в вашей домашней директории.
Программа запросит passphrase. Это вроде пароля для ключа. Можно просто нажать Enter и пропустить этот шаг. Или ввести passphrase — тогда его нужно будет вводить каждый раз, когда используется ключ.
Теперь у вас есть два файла:
- ~/.ssh/id_rsa — приватный ключ. Никогда никому и никуда не передавайте его!
- ~/.ssh/id_rsa.pub — публичный ключ. Спокойно распространяйте его.
В Windows можно использовать ssh-gen в подсистеме Ubuntu for Windows или в командной строке Git for Windows.
Асимметричное шифрование
В отличии от симметричного шифрования, асимметричное использует два отдельных ключа для шифрования и дешифровки. Эти два ключа также известны как приватный и публичный ключи. Вместе они формируют пару публичных-приватных ключей.
Что значит «защищенный»?
Хеширование
Одностороннее хеширование — это еще одна форма криптографии, которая используется в SSH. Такого рода хеширование отличается от двух упомянутых выше тем, что оно не предназначено для дешифровки. Оно создает уникальное значение фиксированной длины для каждого ввода, которое не показывает никакого общего поведения для его раскрытия. Это делает его практически невозможным для обратного преобразования.
Обмен ключами
В процессе обмена ключами (иногда называемого KEX) стороны обмениваются общедоступной информацией и выводят секрет, совместно используемый клиентом и сервером. Этот секрет невозможно обнаружить или получить из общедоступной информации.
Инициализация обмена ключами
Криптографические примитивы должны установить строительные блоки, которые будут использоваться для обмена ключами, а затем полного шифрования данных. В таблице ниже перечислены криптографические примитивы, которые поддерживает Teleport.
Криптографические примитивы Teleport по умолчанию
Инициализация протокола Диффи — Хеллмана на эллиптических кривых
Стоит подчеркнуть, что эта ключевая пара эфемерна: она используется только для обмена ключами, а затем будет удалена. Это чрезвычайно затрудняет проведение класса атак, где злоумышленник пассивно записывает зашифрованный трафик с надеждой украсть закрытый ключ когда-нибудь в будущем (как предусматривает закон Яровой — прим. пер.). Очень трудно украсть то, чего больше не существует. Это свойство называется прямой секретностью (forward secrecy).
Ответ по протоколу Диффи — Хеллмана на эллиптических кривых
Затем сервер генерирует нечто, называемое хэшем обмена H, и подписывает его, генерируя подписанный хэш HS (подробнее на рис. 3). Хэш обмена и его подпись служат нескольким целям:
- Поскольку хэш обмена включает общий секрет, он доказывает, что другая сторона смогла создать общий секрет.
- Цикл подписи/проверки хэша и подписи обмена позволяет клиенту проверить, что сервер владеет закрытым ключом хоста, и поэтому клиент подключен к правильному серверу (если клиент может доверять соответствующему открытому ключу, подробнее об этом позже).
- За счёт подписи хэша вместо подписи входных данных, размер подписываемых данных существенно уменьшается и приводит к более быстрому рукопожатию.
Рис. 2. Генерация хэша обмена H
Как только клиент получил от сервера SSH_MSG_KEX_ECDH_REPLY , у него есть всё необходимое для вычисления секрета K и хэша обмена H .
В последней части обмена ключами клиент извлекает открытый ключ хоста (или сертификат) из SSH_MSG_KEX_ECDH_REPLY и проверяет подпись хэша обмена HS , подтверждающую право собственности на закрытый ключ хоста. Чтобы предотвратить атаки типа «человек в середине» (MitM), после проверки подписи открытый ключ хоста (или сертификат) проверяется по локальной базе известных хостов; если этот ключ (или сертификат) не является доверенным, соединение разрывается.
SSH-клиент предлагает добавить ключ хоста в локальную базу известных хостов. Для OpenSSH это обычно ~/.ssh/known_hosts
Рис. 3. Генерация ответа при обмене ключами ECDH
Что такое протокол SSH на практике
Не всем нужен протокол SSH — это точно. Если вы начинающий веб-мастер с одни м единственным сайтом , т о , скорее всего , применять SSH вам не имеет смысла. Этот протокол начинает служить верой и правдой, когда нужно много файлов передавать между устройствами. Например, вы очень часто обмениваете файлы с виртуальным хостингом по FTP, заливая туда проекты. В этом случае SSH-протокол подойдет как нельзя лучше.
Правда есть один н ю анс : SSH-протокол должен поддерживать хостинг-провайдер, которым вы пользуетесь. Большинство современных хостингов уже поддерживают этот протокол. Если ваш тоже поддерживает, то вы сможете оценить достоинства и скорость SS H п о сравнению с тем же FTP.
Обмен версиями
Рукопожатие начинается с того, что обе стороны посылают друг другу строку с номером версии. В этой части рукопожатия не происходит ничего чрезвычайно захватывающего, но следует отметить, что большинство относительно современных клиентов и серверов поддерживают только SSH 2.0 из-за недостатков в дизайне версии 1.0.
SSH — что это такое
Протокол SSH-1 начал свою историю в 1995 году. Изначально он имел достаточное количество брешей и проблем, поэтому уже в 1996 году была презентована его следующая версия. SSH-1 и SSH-2 — это два разных протокола, которые не являются совместимыми между собой. На сегодняшний день, когда речь идет о SSH, подразумевается SSH-2. Вторая версия протокола до сих пор работает и за это время претерпела небольшие изменения.
Чистый SSH — это коммерческий продукт, который можно использовать только на платной основе. В бесплатном распространении есть одна из версий SSH — это OpenSSH. Именно протокол OpenSSH наиболее популярен среди разработчиков, так как он бесплатен, очень безопасен и распространяется с открытым исходным кодом.
Что нужно, чтобы использовать протокол SSH
SSH-сервер. Именно сервер отвечает за коммуникацию и аутентификацию удаленных компьютеров. Аутентификация на сервере может происходить тремя путями: по IP-адресу клиента, по публичному ключу, по паролю клиента. В качестве SSH-сервера могут выступать следующие программы: OpenSSH, freeSSHd, lsh-server, WinSSHD, MobaSSH и др.
SSH-клиент. Это программное обеспечение , которое нужно для интеграции с SSH-сервером и для выполнения на нем различных действий. Например: взаимодействие с различными файлами, редактирование файлов, контроль процесса функционирования SSH, архивирование файлов, взаимодействие с базами данных. В качестве SSH-клиентов могут выступать: Vinagre, ZOC, lsh-client, SecureCRT, SSHWindows, OpenSSH, Xshell, i-SSH, PuTTY и мн . д р.
На что способен SSH
можно подключат ь ся к удаленному компьютеру и работать с ним через командную строку;
возможно осуществить шифрование данных, применяя различные алгоритмы;
он передает любые данные по зашифрованному каналу, в том числе и аудио - или виде оф айлы;
может сжать файлы для их дальнейшего шифрования и транспортировки по сети;
обеспечивает надежную транспортировку данных и предотвращает несанкционированное подключение к каналу передачи информаци и с целью ее перехвата.
Как подключаться по SSH?
Для подключения к удаленной машине по SSH нужен клиент — специальная программа. В *nix-подобных системах (Linux, macOS) клиент обычно установлен в системе по умолчанию, и достаточно открыть терминал.
Для подключения нужно указать адрес сервера и, опционально, имя пользователя и порт. Вот как выглядит команда при использовании консольного клиента (в терминале):
Например, для подключения к серверу 52.307.149.244 в аккаунт ivan нужно ввести:
Если не указывать порт, то будет использован порт SSH по умолчанию — 22 . Используемый порт задается при настройке SSH-сервера, программы, которая запущена на удаленном компьютере и ожидает подключения извне.
Новые ключи
Перед тем, как начать массовое шифрование данных, остался последний нюанс. Обе стороны должны создать шесть ключей: два для шифрования, два вектора инициализации (IV) и два для целостности. Вы можете спросить, зачем так много дополнительных ключей? Разве не достаточно общего секрета K? Нет, не достаточно.
Во-первых, почему нужны отдельные ключи для шифрования, целостности и IV. Одна из причин связана с историческим развитием протоколов, таких как TLS и SSH, а именно с согласованием криптографических примитивов. В некоторых выбранных криптографических примитивах повторное использование ключа не представляет проблемы. Но, как верно объясняет Хенрик Хеллстрём, при неправильном выборе примитивов (например, AES-256-CBC для шифрования и и AES-256-CBC-MAC для аутентификации) последствия могут быть катастрофическими. Следует отметить, что разработчики протоколов постепенно отказываются от такой гибкости, чтобы сделать протоколы более простыми и безопасными.
Далее, зачем используются ключи каждого типа.
Слева направо. (1) Открытый текст в виде изображения. (2) Криптограмма, полученная шифрованием в режиме ECB. (3) Криптограмма, полученная шифрованием в режиме, отличном от ECB. Изображение представляет собой псевдослучайную последовательность пикселей
Использование (и взлом) векторов IV — интересная тема сама по себе, о которой написал Филиппо Вальсорда.
Наконец, почему ключи идут в парах? Как отметил Томас Порнин, если используется только один ключ целостности, злоумышленник может воспроизвести клиенту отправленную ему запись, и он будет считать её действительной. Со спаренными ключами целостности (у сервера и клиента), клиент выполнит проверку целостности шифротекста и такой трюк не сработает.
Теперь с пониманием того, зачем нужны эти ключи, давайте посмотрим, как они генерируются, согласно RFC:
- Начальный вектор IV от клиента к серверу: HASH(K || H || «A» || session_id)
- Начальный вектор IV от сервера к клиенту: HASH(K || H || «B» || session_id)
- Ключ шифрования от клиента к серверу: HASH(K || H || «C» || session_id)
- Ключ шифрования от сервера к клиенту: HASH(K || H || «D» || session_id)
- Ключ контроля целостности от клиента к серверу: HASH(K || H || «E» || session_id)
- Ключ контроля целостности от сервера к клиенту: HASH(K || H || «F» || session_id)
Здесь используется алгоритм хэширования SHA в зависимости от алгоритма обмена ключами, а символ || подразумевает конкатенацию, то есть сцепление.
Как только вычислены эти значения, обе стороны посылают SSH_MSG_NEWKEYS , чтобы сообщить другой стороне, что обмен ключами завершён, а все будущие коммуникации должны происходить с использованием новых ключей, созданных выше.
Рис. 4:. Генерация начального вектора IV. Генерация для других ключей происходит по той же схеме, если заменить A и B на C, D, E и F, соответственно
Возможности SSH
Как безопасно применять SSH
нужно исключить удаленный доступ с рут-правами к серверу или клиенту;
обязательно нужно менять стандартный порт для SSH;
нужно пользоваться длинными RSA-ключами;
необходимо контролировать IP-адреса , которым разрешен доступ к клиенту и серверу;
контролировать ошибки аутентификации, чтобы вовремя определить брут-форс;
инсталлировать дополнительные системы защиты;
применять специальные ловушки, которые подделывают SSH-сервер.
ssh-agent
При работе с ключами возможны две неудобные ситуации:
- Если при создании ключа вы указали passphrase (пароль для ключа), то вам придется вводить пароль при каждом подключении.
- Если у вас есть несколько ключей для разных целей, то при соединении по ssh придется указывать нужный ключ вручную
ssh-agent решает эти проблемы. Этот агент аутентификации (authentication agent) работает на фоне в *nix-системах. В зависимости от системы, вам, возможно, придется установить и настроить его автозапуск самостоятельно.
Если добавить ключ к агенту, то:
- для него больше не будет спрашиваться passphrase
- не нужно будет вводить ключ вручную — он будет автоматически использован при соответствующем подключении
ssh-add /home/demo/.ssh/id_rsa добавит ключ id_rsa в запущенный в системе агент. Если у него есть passphrase, то агент попросит ввести его.
Если запустить ssh-add без аргументов, то будут добавлены ключи ~/.ssh/id_rsa, ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 и ~/.ssh/identity.
Список добавленных в агент ключей можно посмотреть командой ssh-add -L :
ssh-agent привязан к сессии. Поэтому, например, если перезагрузить компьютер, то ключи нужно будет добавлять в агент заново.
Как использовать
Пользователи Windows могут воспользоваться SSH-клиентом вроде PuTTy.
Пользователи Linux или MacOS могут использовать SSH напрямую из окна терминала.
SSH команда состоит из 3 отдельных частей:
Симметричное шифрование
Подключение по SSH по ключу, без пароля
Для удобного подключения по SSH (и многим другим сервисам) без ввода пароля можно использовать ключи.
Нужно создать пару ключей: приватный (закрытый) ключ и публичный (открытый) ключ. Приватный ключ нужно хранить и никогда никому не показывать. Публичный ключ можно показывать всем и распространять свободно.
Что значит «протокол»?
Протокол — это набор соглашений, правил, по которым разные программы могут обмениваться информацией. SSH — это набор правил, который известен и вашему компьютеру, и физически отдаленному компьютеру.
Недостатки
Использование SSH подключения имеет свой недостаток:
Протокол SSH не имеет средств защиты от действий злоумышленника, получившего root-доступ. Одной из мер предосторожности является ограничение использования режима root без острой необходимости
Подключение по SSH по паролю
Простейший вариант — подключение по паролю. После ввода команды ssh система запросит пароль:
Пароль придется вводить каждый раз.
Заключение
Теперь вы знаете, что такое SSH. Это удобный протокол для обмена информацией между удаленными устройствами, который позволяет дистанционно редактировать файлы с одного компьютера на другом. Идеальная пара для применения протокола SSH — это ваш компьютер и виртуальный хостинг, куда вы заливаете проекты.
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.
Иными словами, SSH — это дистанционная командная строка. Визуально вы работаете на своем компьютере, но в реальности — на другом.
Преимущества
Использование SSH подключения имеет ряд преимуществ:
Безопасная работа на удаленном сервере с использованием командной оболочки;
Использование разных алгоритмов шифрования (симметричного, асимметричного и хеширования);
Возможность безопасного использования любого сетевого протокола, что позволяет передавать по защищенному каналу файлы любого размера.
Главным преимуществом SSH является использование шифрования для защиты передачи данных между хостом и клиентом. Хост — это удаленный сервер к которому ты хочешь получить доступ, тогда как клиент — это компьютер с которого ты пытаешься получить доступ к хосту.
Для чего нужен SSH?
Не всегда есть возможность физически находиться у компьютера, с которым нужно работать. Например, если вы хотите создать свой сайт, то он будет размещен на компьютере хостинг-провайдера. Этот компьютер может находиться на другом конце света. Вам нужен способ запускать команды на этом компьютере не выходя из своего дома.
Технологий шифрования
Существует три различных технологий шифрования, используемых SSH:
Форвардинг (проброс) ключей
Если вы подключились к удаленному серверу X, и с него хотите подключиться к другому серверу Y, например, чтобы сделать git pull с GitHub’а, то придется держать копию ваших ключей на сервере X.
Утилита ssh с флагом -A позволяет «пробросить» ключи с подключаемой машины в удаленную:
Ключи, добавленные к агенту аутентификации (ssh-agent) станут доступными на удаленном сервере. При этом файлы-ключи физически не будут находиться на сервере.
SSH (англ. Secure SHell — «безопасная оболочка») – протокол передачи данных, позволяющий производить безопасное и защищенное управление операционной системой и данными. Это сетевой протокол прикладного уровня, который дает возможность шифрования передаваемых данных и паролей. К тому же позволяет передавать любой другой протокол.
Первая версия протокола SSH была разработана аж в 1995 году. С тех пор были обнаружены некоторые слабые места и программа претерпела ряд существенных изменений. Таким образом, уже через год, в 1996 году, в свет вышла вторая версия SSH – 2. Она не совместима с первой версией и, говоря о SSH сегодня, всегда подразумевается SSH – 2. С тех пор SSH не изменила значительно стандарты своей работы и широко используется по сей день.
SSH является сугубо коммерческим продуктом и предоставляется на платной основе. Однако повсеместно доступна и ее бесплатная версия, которая носит название OpenSSH. Не смотря на то, что OpenSSH является лишь одной из версий SSH, она намного чаще используется программистами. Некоторые даже считают, то он более безопасен и удобен в использовании, благодаря своему открытому исходному коду.
Fingerprint
Введите yes в первый раз.
Это нужно для повышения безопасности. При настройке SSH-сервера создается уникальная комбинация символов — fingerprint («отпечатки пальцев»). Ваш компьютер запоминает эту комбинацию и сверяет ее при каждом новом соединении. Если кто-то переустановит SSH-сервер, или всю операционную систему, или вообще заменит удаленный компьютер, сохранив его адрес, то при следующем соединении вы узнаете об этом, потому что изменится fingerprint.
Загрузка публичного ключа на сервер
Нужно добавить публичный ключ на сервер в файл ~/.ssh/authorized_keys. Самый простой способ — запустить на локальной машине команду для копирования ключа:
Другой способ — подключиться по паролю, открыть в редакторе файл ~/.ssh/authorized_keys и добавить в конец текст из вашего файла ~/.ssh/id_rsa.pub.
Теперь при подключении пароль запрашиваться не будет 1 .
После включения соединений по ключу рекомендуется отключить подключение по паролю.
Необходимое ПО для работы с SSH
Для работы с SSH необходим SSH-сервер и SSH-клиент.
SSH-сервер принимает соединение от клиентских машин и производит аутентификацию. Аутентификация на SSH производится тремя способами:
Основными программными платформами, выступающими в роли SSH-сервера являются:
SSH-клиент используется для непосредственного входа на удаленный сервер и выполнения различных команд:
SSH-клиенты и их программные оболочки:
Не смотря на то, что SSH-клиентов очень много, самыми популярными и часто используемыми являются PuTTY и SecureCRT. PuTTY является наиболее предпочтительным, потому что предоставляется на бесплатной основе.
Кому интересно, я для связи с сервером пользуюсь бесплатной программой WinSCP (свободный графический клиент протоколов SFTP и SCP) - PuTTY агент, которым очень удобно работать по протоколу SSH. Подчеркну, если вы не хотите, чтобы ваши сайты подхватили вирус или еще какую-нибудь заразу, лучше сразу начните использовать WinSCP вместо обычных FTP клиентов (FileZilla), так вы сможете быть уверены, что у вас не уведут пароли.
Хостинг SSH
К сожалению, сегодня не все хостинг компании осуществляют поддержку SSH. Если вы обладатель одного единственного сайта в интернете и еще плохо понимаете, что такое SSH и зачем он нужен, то возможно вы не сильно в нем нуждаетесь. А если вы уже опытный пользователь, который частенько просиживает штаны за компьютером, пока сервер осуществлял обмен файлами через FTP, то, скорее всего, вы мечтали о SSH всю свою ftp-обменную жизнь.
На самом деле – это очень удобная штука и вы вскоре сами в этом убедитесь. Наступит время, когда вам необходимо будет перенести свой проект или несколько проектов с локального сервера на сервер хостинг-провайдера, либо с сервера одного хостинг-провайдера на сервер другого хостинг-провайдера. Вот здесь вам и поможет SSH.
К тому же SSH позволяет редактировать файлы на сервере и удалять их одним щелчком.
Именно это делает хостинг с возможностью использования SSH таким желанным. При выборе хостинг провайдера обратите внимание на этот немаловажный критерий. Поверьте, это поможет вам сэкономить кучу времени и нервов, и к тому же обезопасит ваши данные от потери.
Американский хостинг, который поддерживает SSH:
Посмотрите видео, в котором показывается бытовое применение ssh. Из него вы узнаете, как быстро установить связь по wi-fi между вашим компьютером на Windows и iPhone. Нужно всего лишь две программы. Ну впрочем, смотрим видео (на английском).
Популярные обзоры хостинга
Если Вы ищете хостинг для своего сайта, то перед Вами популярные обзоры американского хостинга.
Поделитесь статьей с друзьями или сохраните в закладки
Безопасное использование SSH
Для того чтобы использовать SSH безопасно создается так называемый SSH – туннель. Он создается на основе SSH и обеспечивает безопасность передачи данных по интернет каналам, шифруя их на одном конце туннеля и расшифровывая на другом.
Необходимо соблюдать несколько правил пользования SSH, чтобы обезопасить свои данные:
Заключение
На этом этапе обе стороны согласовали криптографические примитивы, обменялись секретами и сгенерировали материал ключей для выбранных примитивов. Теперь между клиентом и сервером может быть установлен безопасный канал, который обеспечит конфиденциальность и целостность.
Вот как рукопожатие SSH устанавливает безопасное соединение между клиентами и серверами.
SSH (Secure SHell - защищенная оболочка) — сетевой протокол прикладного уровня, предназначеный для безопасного удаленного доступа к UNIX-системам. Данный протокол эффективен тем, что шифрует всю передаваемую информацию по сети. По умолчанию, используется 22-й порт. В основном он нужен для удаленного управления данными пользователя на сервере, запуска служебных команд, работы в консольном режиме с базами данных.
Базовые SSH команды
ls - Показать содержимое каталога (список названий файлов);
cd - Сменить каталог (перейти в другой);
mkdir - Создать новую папку (каталог);
touch - Создать новый файл;
rm - Удалить файл;
cat - Показать содержимое файла;
pwd - Показать текущий каталог (полный путь к этому каталогу);
cp - Копировать файл/папку;
mv - Переместить файл/папку;
grep - Поиск конкретной фразы в файле;
find - Поиск файлов и папок;
vi \ nano - Текстовые редакторы;
history - Показать 50 последних использованных команд;
clear - Очистить окно терминала.
Как видишь, это просто базовые команды терминала.
Читайте также: