ДЛИННЫЕ РУКИ ПРАВИЛЬНОЙ ОСИ

Vitls (vitls@chat.ru)

Спецвыпуск Xakep, номер #032, стр. 032-068-3

ПОСТРОИТЬ И НАСТРОИТЬ!

Установка коммерческой версии ssh2 особых проблем не доставляет. Ты скачиваешь архив в удобном для тебя формате, устанавливаешь его и приступаешь к настройке. Процедуру установки свободного openssh тоже расписывать нет особой нужды. Если у тебя есть опыт самостоятельной сборки и установки приложений Linux, openssh тебя не испугает. Опять же большинство дистрибутивов Linux включают openssh в комплект, тебе останется лишь установить его.

Как бы то ни было, при работе с ssh у тебя 100% возникнет ряд вопросов. Отвечаю сразу на несколько. В отличие от telnet при работе ssh соединение зашифровывается сразу после подключения клиента к серверу. Алгоритм шифрования RSA не требует секретности ключа для шифрования. Секретным должен быть ключ для расшифровывания, а он всегда остается на стороне сервера, и перехватить его невозможно.

Для увеличения безопасности соединения можно настроить аутентификацию пользователя на сервере не по системному паролю, а по ключевой фразе. Для этого тебе нужно будет сгенерировать пару ключей: открытый (публичный) и секретный (man ssh-keygen). Открытый ключ можно распространить на те клиентские рабочие места, с которых ты будешь заходить на сервер. И для openssh, и для ssh процедура генерирования и использования ключей практически одинакова. Различия лишь в именованиях файлов и каталогов. Подробнее об этом ты можешь прочесть в моем переводе руководства по ssh по адресу: http://www.linux.ru.net/index.php?module=library&action=show&docid=196&part=1849. Также очень много расписано тут - http://www.opennet.ru/base/sec/lavr-ssh.1.txt.html и тут - http://www.opennet.ru/docs/RUS/ssh_faq/ssh-faqr.html#toc. Оба этих документа расскажут тебе о принципах работы ssh и дадут практический материал.

Успешно установленный и настроенный пакет на сервере даст тебе возможность работать точно так же, как если бы ты использовал telnet. Ощущение того, что ты за клавой, просто потрясающее. На скрине показан процесс соединения с удаленной машиной, на которой работает ssh-сервер.

Так как мой клиент ни разу до этого с этой машиной не соединялся, сервер предложил мне свой открытый ключ и спросил, продолжать ли мне соединение. Ответив "ДА", я сохранил ключ. С этого момента КАЖДЫЙ передаваемый мной байт будет шифроваться этим ключом. Причем клиентская программа это делает сама. Так как у меня нет заранее сгенерированной пары ключей, то мне пришлось на сервере вводить свой системный пароль. Кроме того, на сервере работает коммерческий ssh, а на клиенте - openssh. Такие вот дела.

Надеюсь, что теперь ты в курсе, как можно сидеть дома и безопасно рулить серверами, которые находятся от тебя хрен знает за сколько километров. Учись!

Недостатки в безопасности можно обойти, если шифровать траффик между сервером и клиентом. Спецификации безопасного шелла (secure shell) под названием ssh были опубликованы в соответствующем rfc.