Протокол ssh что это: SSH. Простым языком о сложном
SSH. Простым языком о сложном
SSH (англ. Secure SHell — «безопасная оболочка») – протокол передачи данных, позволяющий производить безопасное и защищенное управление операционной системой и данными. Это сетевой протокол прикладного уровня, который дает возможность шифрования передаваемых данных и паролей. К тому же позволяет передавать любой другой протокол.
Первая версия протокола SSH была разработана аж в 1995 году. С тех пор были обнаружены некоторые слабые места и программа претерпела ряд существенных изменений. Таким образом, уже через год, в 1996 году, в свет вышла вторая версия SSH – 2. Она не совместима с первой версией и, говоря о SSH сегодня, всегда подразумевается SSH – 2. С тех пор SSH не изменила значительно стандарты своей работы и широко используется по сей день.
SSH является сугубо коммерческим продуктом и предоставляется на платной основе. Однако повсеместно доступна и ее бесплатная версия, которая носит название OpenSSH. Не смотря на то, что OpenSSH является лишь одной из версий SSH, она намного чаще используется программистами. Некоторые даже считают, то он более безопасен и удобен в использовании, благодаря своему открытому исходному коду.
Возможности SSH
- Позволяет удаленно работать на компьютере через командную оболочку.
- Позволяет осуществлять шифрование с помощью различных алгоритмов.
- Так как SSH позволяет безопасно передавать практически любой сетевой протокол, это позволяет передавать по шифрованному каналу звуковые и видео файлы.
- Производит сжатие файлов для их последующего шифрования и передачи.
- Защищает передачу данных по каналу и предотвращает возможность включения в установленную сессию и перехватить данные.
Необходимое ПО для работы с SSH
Для работы с SSH необходим SSH-сервер и SSH-клиент.
SSH-сервер принимает соединение от клиентских машин и производит аутентификацию. Аутентификация на SSH производится тремя способами:
- По IP адресу клиента – при этом SSH использует несколько методов проверки. Способ не очень безопасный, так как существует возможность подмены IP адреса.
- По публичному ключу клиента – схема почти такая же, как при проверке IP адреса клиентской машины, только в данном случае проверяется ключ клиента и имя пользователя.
- По паролю клиента – часто используемый метод проверки. Пароль в данном случае передается также в зашифрованном виде.
Основными программными платформами, выступающими в роли SSH-сервера являются:
- BSD: OpenSSH
- Linux: dropbear, lsh-server, openssh-server, ssh
- Windows: freeSSHd, copssh, WinSSHD, KpyM Telnet/SSH Server, MobaSSH, OpenSSH
SSH-клиент используется для непосредственного входа на удаленный сервер и выполнения различных команд:
- Работа с файлами и директориями
- Работа по просмотру или редактированию файлов
- Отслеживание процессов работы
- Работа с архивами
- Работа с базами данных MySQL
SSH-клиенты и их программные оболочки:
- GNU/Linux, BSD: kdessh, lsh-client, openssh-client, putty, ssh, Vinagre
- MS Windows и Windows NT: PuTTY, SecureCRT, ShellGuard, Axessh, ZOC, SSHWindows, ProSSHD, XShell
- MS Windows Mobile: PocketPuTTy, mToken, sshCE, PocketTTY, OpenSSH, PocketConsole
- Mac OS: NiftyTelnet SSH
- Java: MindTerm, AppGate Security Server
- iPhone: i-SSH, ssh (в комплекте с Terminal)
- Android: connectBot
Не смотря на то, что SSH-клиентов очень много, самыми популярными и часто используемыми являются PuTTY и SecureCRT. PuTTY является наиболее предпочтительным, потому что предоставляется на бесплатной основе.
Кому интересно, я для связи с сервером пользуюсь бесплатной программой WinSCP (свободный графический клиент протоколов SFTP и SCP) — PuTTY агент, которым очень удобно работать по протоколу SSH. Подчеркну, если вы не хотите, чтобы ваши сайты подхватили вирус или еще какую-нибудь заразу, лучше сразу начните использовать WinSCP вместо обычных FTP клиентов (FileZilla), так вы сможете быть уверены, что у вас не уведут пароли.
Безопасное использование SSH
Для того чтобы использовать SSH безопасно соз
Алгоритм установления соединения в протоколе SSH / Хабр
(Начальное название статьи «Алгоритм работы протокола SSH» было изменено по рекомендациям Vindicar, Karroplan и других участников хабросообщества)
Периодически читая статьи, посвящённые SSH, обратил внимание, что их авторы порой не имеют понятия, как работает этот протокол. В большинстве случаев они ограничиваются рассмотрением темы генерации ключей и описанием опций основных команд. Даже опытные системные администраторы часто несут полную ахинею при обсуждении вопросов работы SSH, выдавая опусы в стиле: передаваемые данные шифруются открытым SSH-ключом клиента, а расшифровываются закрытым, или: для шифрования данных при передаче используется алгоритм RSA.
Попытаюсь внести немного ясности в работу протокола SSH, а заодно рассмотреть роль алгоритма RSA и ключей авторизации пользователя…
Алгоритм протокола SSH можно разделить на три уровня, каждый из которых располагается над предыдущим: транспорт (открытие защищённого канала), аутентификация, подключение. Для целостности картины я также добавлю уровень установки сетевого соединения, хотя официально этот уровень находится ниже SSH.
1. Установка TCP-соединения
Не буду подробно останавливаться на принципе работы стека TCP/IP, так как эта тема достаточно хорошо задокументирована в Рунете. При необходимости вы легко найдёте информацию.
На этом этапе происходит сетевое подключение клиента к серверу на TCP-порт, указанный в опции Port (по умолчанию: 22) в файле конфигурации сервера /etc/ssh/sshd_config.
2. Открытие защищенного канала
2.1 Обмен идентификационными данными
После установки TCP-соединения, клиент и сервер (далее по тексту – стороны) обмениваются версиями SSH-протокола и другими вспомогательными данными, необходимыми для выяснения совместимости протоколов и для выбора алгоритмов работы.
2.2 Выбор алгоритмов: обмена ключами, шифрования, сжатия и т.п.
При работе SSH используется довольно много алгоритмов, одни из них используются для шифрования, вторые для обмена ключами, третьи для сжатия передаваемых данных и т.п. На этом шаге стороны отсылают друг другу списки поддерживаемых алгоритмов, наибольший приоритет имеют алгоритмы в начале каждого списка. Затем сравнивают алгоритмы в полученных списках с алгоритмами, имеющимися в системе, и выбирают первый совпавший в каждом списке.
Список доступных алгоритмов обмена ключами на стороне клиента (используются для получения сессионного ключа) можно посмотреть командой:
ssh -Q kexСписок доступных в системе симметричных алгоритмов (используются для шифрования канала):
ssh -Q cipherСписок типов ключей для авторизации у клиента:
ssh -Q key-certДополнено по замечанию onix74:
Все используемые в публикации команды актуальны для версии OpenSSH 7.6 из Ubuntu 18.04 LTS.
2.3 Получение сессионного ключа шифрования
Процесс получения сессионного ключа может отличаться в зависимости от версии алгоритма, но в общих чертах сводится к следующему:
Сеансовый ключ создается исключительно на период жизни канала и уничтожается при закрытии соединения.
3. Аутентификация клиента
И только теперь, когда клиент и сервер установили канал для зашифрованной передачи данных, они могут произвести аутентификацию по паролю или ключам.
В общих чертах, аутентификация посредством ключей происходит следующим образом:
- Клиент отсылает серверу имя пользователя (username) и свой публичный ключ.
- Сервер проверяет в файле /home/username/.ssh/authorized_keys наличие присланного клиентом открытого ключа. Если открытый ключ найден, то сервер генерирует случайное число и шифрует его открытым ключом клиента, после чего результат отправляется клиенту.
- Клиент расшифровывает сообщение своим приватным ключом и отправляет результат серверу.
- Сервер проверяет полученный результат на совпадение с тем числом, которое он изначально зашифровал открытым ключом клиента, и в случае совпадения считает аутентификацию успешной.
4. Уровень подключения
После проведения всех вышеперечисленных процедур, пользователь получает возможность передавать команды серверу или копировать файлы.
На этом уровне обеспечивается: мультиплицирование каналов (возможность работы множества каналов к одному серверу за счет объединения их в один канал), туннелирование и т.п.
От теории к практике
Ну а теперь, думаю, у читателей назрел вполне закономерный вопрос: а зачем нужно знать все эти тонкости работы SSH-протокола, если для повседневной работы достаточно знаний команд создания ключей (ssh-keygen), открытия терминальной сессии (ssh), передачи файлов (scp)?
В качестве ответа, можно вспомнить тему о смене стандартного порта SSH на какой-то другой, которая постоянно становится причиной холивара на Хабре…
В собственной практике я не припомню ни одного смотрящего во внешнюю сеть сервера, который бы ежедневно не подвергался долбёжке на 22-й порт. В ситуации, если SSH у вас работает на стандартном порту (и ничем дополнительно не защищён), даже если аутентификация исключительно по ключам и никакие подборы паролей не пугают, то по причине постоянно валящихся запросов от недобросовестных клиентов сервер всё равно вынужден совершать массу бесполезной работы: устанавливать TCP-соединение, выбирать алгоритмы, генерировать сессионный ключ, отправлять запросы аутентификации, писать лог-файл.
В ситуации же, когда на 22-м порту ничего нет, или порт защищён с помощью iptables (либо надстройками над ним типа fail2ban), то злоумышленник будет дропнут ещё на этапе установки TCP-соединения.
Наиболее интересно описанное выглядит в виде таблицы*
| Конфигурация | Вероятность взлома | Потери от флуда** |
|---|---|---|
| 22 порт, авторизация по паролю, без защиты | высокая | высокие |
| 22 порт, авторизация по ключам, без защиты | средняя*** | высокие |
| 22 порт, авторизация по ключам, защита на основе ограничения неудачных попыток авторизации | низкая | средние**** |
| Нестандартный порт, авторизация по паролю, без защиты | высокая | низкие |
| Нестандартный порт, авторизация по ключам, без защиты | средняя*** | низкие |
| Нестандартный порт, авторизация по ключам, защита на основе ограничения неудачных попыток авторизации | низкая | низкие |
* — значения параметров (высокий, средний, низкий) носят относительный характер и служат только для сравнения показателей.
** — имеется ввиду расход ресурсов сервера (процессор, диск, сетевой канал и т.п.) на обработку лавины запросов, обычно идущих на 22-й порт.
*** — произвести взлом, если для авторизации используются RSA-ключи, очень сложно, однако неограниченное количество попыток авторизации делает это возможным.
**** — количество попыток авторизации ограничено, но серверу всё равно приходится обрабатывать их от большого количества злоумышленников.
Дополнительные материалы
Что такое SSH и sFTP?
С помощью защищенного протокола SSH администраторы подключаются к своим серверам для безопасной работы. Рассмотрим особенности этого протокола подробнее:
Статья в тему:
Как подключиться к серверу по SSH
Что такое SSH-протокол
SSH-протокол (от англ. Secure Shell) — криптографический сетевой протокол, предназначенный для удаленного доступа к операционной системе и осуществления безопасного удаленного управления в рамках незащищенной сети (например, через интернет).
SSH обеспечивает защищённый канал связи между клиентом и сервером, через который можно передавать данные (почтовые, видео, файлы), работать в командной строке, удаленно запускать программы, в том числе графические. SSH-сервер должен быть установлен на удаленной операционной системе. SSH-клиент должен быть запущен на машине, с которой будет осуществляться удаленное подключение.
Основные функции, доступные при использовании SSH-протокола:
- Передача любых данных через защищенное SSH-соединение, включая сжатие данных для последующего шифрования.
- X11 Forwarding — механизм, позволяющий запускать программы UNIX/Linux-сервера в виде графической оболочки, как в Windows (использовать X Window System).
- Переадресация портов — передача шифрованного трафика между портами разных машин.
Безопасность SSH-соединения обеспечивается:
- шифрованием данных одним из существующих алгоритмов
- аутентификацией сервера и клиента одним из нескольких доступных методов
- наличием дополнительных функций протокола, направленных на предупреждение различных хакерских атак
Аутентификация сервера дает защиту от:
- взлома путем подмены IP-адресов (IP-spoofing), когда один удаленный хост посылает пакеты от имени другого удаленного хоста
- подмены DNS-записей (DNS-spoofing), когда подменяется запись на DNS-сервере, в результате чего соединение устанавливается с хостом, который указан в подмененной записи, вместо необходимого
- перехвата открытых паролей и других данных, передаваемых в открытом виде через установленное соединение
На сегодняшний день существуют две версии протокола SSH (SSH-1 и SSH-2), причем вторая версия усовершенствована и расширена по сравнению с первой. Например, вторая версия устойчива к атакам вида MITM («человек посередине», атака посредника). Также существуют две редакции данного протокола: открытая версия (бесплатная) и коммерческая (платная). Бесплатная версия — OpenSSH — встроена во все UNIX-подобные операционные системы в виде стандартных утилит SSH-клиента и SSH-сервера.
Коммерческая реализация SSH-протокола — SSH Communications Security — разработана одноименной организацией. Имеет небольшие отличия от бесплатной версии, такие как доступность коммерческой технической поддержки, наличие инструментов веб-управления и др. Основной набор команд и возможностей практически одинаковый у обоих продуктов.
Для ОС Windows выпущены различные SSH-клиенты и оболочки, самые распространенные из них — это бесплатные PuTTY и WinSCP. Для других операционных систем также существуют свои SSH-клиенты.
Передача данных по SSH-протоколу через небезопасную сеть
Что такое SFTP-протокол
SFTP-протокол (от англ. SSH File Transfer Protocol) – сетевой протокол прикладного уровня, предназначенный для передачи файлов и других действий с ними через имеющееся надежное соединение. Протокол был разработан как расширение SSH-2, предназначенное для операций с файлами по защищенному каналу, однако может работать и с другими протоколами, обеспечивающими безопасное соединение сервера с клиентом. Иными словами, для надежной работы через SFTP-протокол необходимо иметь установленное защищенное соединение (например, SSH), которое проводит аутентификацию клиента и сервера и устанавливает факт их надежности, поскольку сам SFTP-протокол не проводит аутентификацию и не обеспечивает безопасность.
SFTP имеет ряд преимуществ перед своими предшественниками — FTP и SCP — таких, как прерывание передачи файла, удаление, возобновление передачи, связь переданных файлов с основными атрибутами, например, меткой даты/времени, а также более высокая платформонезависимость.
SFTP-протокол реализуется через SFTP-сервер и SFTP-клиент, которые являются подсистемами OpenSSH.
Для чего используются SSH и SFTP протоколы
Чаще всего протоколы SSH и SFTP используются для удаленной работы с операционной системой или переноса большого количества файлов.
Например, клиент берет в аренду сервер или какую-то часть серверного пространства. Возникает необходимость переносить туда уже имеющиеся данные клиента, например, сайт или почтовые файлы. Провайдер должен обеспечить надежность и быстроту обмена данными с его сервером, особенно если речь идет о больших объемах информации и ее высокой конфиденциальности. В этом случае на удаленной машине (в данном случае — виртуальном сервере) устанавливается SSH-сервер (со встроенным SFTP-протоколом), а на клиентском компьютере — SSH-клиент. Создается SSH-туннель, и обмен данными между клиентом и удаленным сервером осуществляется через надежное соединение со всеми преимуществами протокола, описанными выше.
Также SSH может использоваться для удаленной работы по защищенному соединению с различными сервисами провайдера, такими как программное обеспечение, операционные системы и т.д.
Как работает SSH
По протоколу SSH работает набор программ, служащих для выполнения различных действий на удаленной операционной системе. Например, программа sshd обеспечивает серверную функциональность SSH, она должна быть запущена на SSH-сервере. Программа ssh запускается на SSH-клиенте и позволяет устанавливать соединение с удаленным хостом, регистрироваться на нем, работать с удаленной машиной через SSH-соединение.
Для запуска тех или иных программ SSH-протокола существуют специальные команды с набором различных опций. Эти команды могут отличаться в зависимости от используемой клиентской операционной системы и оболочки SSH-клиента. Команды запускаются либо из командной строки, если речь идет о UNIX-подобных системах, либо посредством графического интерфейса в соответствующих SSH-оболочках.
SSH: базовая информация | ATLEX.Ru
Сетевой протокол Secure Shell (сокращенно SSH) используется для обмена информацией между двумя компьютерами по зашифрованному каналу с высокой степенью безопасности соединения, а также имеет ряд других возможностей.
По своим функциональным особенностям и конфигурации SSH имеет отдаленное сходство с такими протоколами, как telnet и rlogin. Его основным отличием от аналогов является шифрование всего передаваемого трафика, а не отдельных его фрагментов.
Важной особенностью SSH специалисты считают расширенные возможности данного протокола, в частности, его способность передачи любого сетевого протокола через специализированный шифрованный канал связи. Благодаря этому у пользователя появляется не просто возможность удаленно работать на личном ПК, но и передавать текстовые, графические, аудио- и видеопотоки по защищенному шифрованному каналу.
Для максимального удобства пользователя и более быстрой загрузки передаваемой информации протокол также оснащен функцией компрессии данных, реализуемой непосредственно перед процедурой шифрования.
Версии SSH-протокола
В настоящий момент известны две рабочие версии протокола SSH:
SSHv1. Версия 1995 года, сейчас фактически не используется из-за наличия серьезных недостатков в реализации, наиболее подвержена взлому виртуальными злоумышленниками.
Так, например, в культовом фильме «Матрица: Перезагрузка» показана вполне достоверная с технической точки зрения сцена, в которой Тринити взламывает электростанцию. С помощью программы Nmap она находит открытый порт SSH (22 — порт, на котором по умолчанию работает серверная часть SSH), затем запускает эксплойт SSHNuke. Через уязвимость первой версии протокола SSHv1 CRC32 она получает права суперпользователя (root), меняет пароль на свой и отключает электростанцию.
SSHv2. Запущена спустя год после первой версии и является современной модификацией сетевого протокола, устойчивой к агрессивным атакам «man-in-the-middle», благодаря которой злоумышленники не смогут «прослушивать» трафик пользователя.
Еще один уровень защиты второй версии — максимальная степень устойчивости к несанкционированному доступу путем «серединного» подсоединения (например, session hijacking), а также к приему подмены серверных имен (DNS spoofing).
Из вышеизложенного можно сделать вывод, что использование сетевого протокола SSH-2 является единственно приемлемым с точки зрения безопасности и сохранности конфиденциальной информации.
Архитектура протокола SSH
Протокол SSH включает в себя 3 уровня:
- протокол транспортного уровня — используется для аутентификации сервера при запуске системы и для обеспечения конфиденциальности и целостности данных. Реализация технологии происходит поверх соединения TCP/IP;
- протокол аутентификации — предназначен для обеспечения аутентификации пользователя для сервера при его первичном запросе;
- протокол соединения — используется для обеспечения работы отдельных логических каналов поверх единого SSH-соединения.
Как работает протокол SSH
Подключение к удаленному компьютеру по SSH происходит с помощью командного интерпретатора (shell). Во время SSH-сессии все команды, введенные на вашем локальном устройстве (SSH-клиент), будут отправляться через зашифрованный туннель и выполняться на удаленной машине (SSH-сервере). Для этого на ней должно быть запущено специальное ПО — SSH daemon, прослушивающее конкретный сетевой порт, производящее аутентификацию пользователя и предоставляющее ему доступ при удачной авторизации.
Для работы SSH-протокола на локальном компьютере должен быть установлен SSH-клиент, имеющий информацию для успешной аутентификации и авторизации. По умолчанию клиент SSH (обычно это OpenSSH) установлен в большинстве дистрибутивов Linux и других UNIX-подобных систем, но для Windows требуется установить отдельное приложение. Наиболее популярное — Putty, имеющее интерфейс командной оболочки Linux.
Аутентификация происходит либо с использованием пароля, либо с помощью специального SSH-ключа. Доступ по паролю считается небезопасным методом из-за возможности автоматического подбора, поэтому специалисты рекомендуют более безопасный способ — создание SSH-ключей.
Пара из открытого и закрытого ключа создается с помощью утилит puttygen (если используется Putty) или ssh-keygen (если используется OpenSSH). Открытый ключ хранится на сервере, а закрытый — на устройстве пользователя.
Параметры безопасности
Помимо использования ключей для более безопасной работы рекомендуется также изменить и ряд других настроек некоторых параметров серверной части протокола.
Во-первых, подключение с правами суперпользователя (root) и подключение с пустым паролем должны быть запрещены.
Во-вторых, настоятельно рекомендуется изменить стандартный 22 порт SSH-сервера на любой нестандартный. Также хорошей защитой от злоумышленников является закрытие порта (port knocking) — технология, при которой все порты сервера закрыты для подключения, а доступ осуществляется путем установленной последовательности пересылки IP-пакетов.
В-третьих, следует определить сетевые адреса, а также конкретных пользователей или групп пользователей, которым разрешено подключение, и запретить доступ заведомо неблагонадежным адресам, а также некоторым пользователям и группам пользователей.
Этими параметрами настройка безопасного SSH-подключения не ограничивается, здесь приведены лишь базовые сведения. Существует еще множество настроек, предназначенных для того чтобы сделать протокол SSH по-настоящему безопасным методом подключения к удаленному серверу (например, арендованному или размещенному в дата-центре, VPS/VDS, виртуальной машине в облаке и т.п.) через небезопасную среду (Интернет).
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Что такое SSH – Hexlet Guides
Содержание
- Что значит «протокол»?
- Что значит «защищенный»?
- Зачем это нужно?
- Как подключаться по SSH?
- Fingerprint
- Подключение по паролю
- Подключение по ключу, без пароля
- Генерация ключей
- Загрузка публичного ключа на сервер
- ssh-agent
- Форвардинг (проброс) ключей
- Дополнительные ссылки
SSH — защищенный протокол для удаленного доступа к компьютерам. Через SSH можно выполнять операции в командной строке компьютера, который физически находится в другом месте.
Иными словами, SSH — это дистанционная командная строка. Визуально вы работаете на своем компьютере, но в реальности — на другом.
Что значит «протокол»?
Протокол — это набор соглашений, правил, по которым разные программы могут обмениваться информацией. SSH — это набор правил, который известен и вашему компьютеру, и физически отдаленному компьютеру.
Пример: вы вводите команду удаления файла, и эта команда передается на другой компьютер и выполняется там. Ответ (или сообщение об ошибке) возвращается и показывается на вашем компьютере.
Что значит «защищенный»?
Вся информация передается в зашифрованном виде. Подобно тому, как некоторые сайты работают по HTTPS, шифруя информацию. Например, ваш онлайн-банкинг обязательно должен работать по защищенному соединению. В таком случае даже если всю информацию перехватывает злоумышленник, он не сможет расшифровать её.
Зачем это нужно?
Не всегда есть возможность физически находиться у компьютера, с которым нужно работать. Например, если вы хотите создать свой сайт, то он будет размещен на компьютере хостинг-провайдера. Этот компьютер может находиться на другом конце света. Вам нужен способ запускать команды на этом компьютере не выходя из своего дома.
Как подключаться по SSH?
Для подключения к удаленной машине по SSH нужен клиент — специальная программа. В *nix-подобных системах (Linux, macOS) клиент обычно установлен в системе по умолчанию, и достаточно открыть терминал. В Windows нужно скачать сторонний клиент, например, Putty.
Для подключения нужно указать адрес сервера и, опционально, имя пользователя и порт. Вот как выглядит команда при использовании консольного клиента (в терминале):
ssh username@remote_host -p port
Например, для подключения к серверу 52.307.149.244 в аккаунт ivan нужно ввести:
Если не указывать порт, то будет использован порт SSH по умолчанию — 22. Используемый порт задается при настройке SSH-сервера, программы, которая запущена на удаленном компьютере и ожидает подключения извне.
В графическом клиенте вроде Putty нужно ввести ту же информацию в соответствующие поля:
Fingerprint
При первом подключении появится сообщение:
The authenticity of host '52.307.149.244 (52.307.149.244)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)? yes
Введите yes в первый раз.
Это нужно для повышения безопасности. При настройке SSH-сервера создается уникальная комбинация символов — fingerprint («отпечатки пальцев»). Ваш компьютер запоминает эту комбинацию и сверяет ее при каждом новом соединении. Если кто-то переустановит SSH-сервер, или всю операционную систему, или вообще заменит удаленный компьютер, сохранив его адрес, то при следующем соединении вы узнаете об этом, потому что изменится fingerprint.
Если fingerprint не меняется, то такое сообщение не будет появляться.
Подключение по паролю
Простейший вариант — подключение по паролю. После ввода команды ssh система запросит пароль:
[email protected]'s password:
Пароль придется вводить каждый раз.
Подключение по ключу, без пароля
Для удобного подключения по SSH (и многим другим сервисам) без ввода пароля можно использовать ключи.
Нужно создать пару ключей: приватный (закрытый) ключ и публичный (открытый) ключ. Приватный ключ нужно хранить и никогда никому не показывать. Публичный ключ можно показывать всем и распространять свободно.
Эти ключи связаны друг с другом таким образом, что зашифровав информацию одним ключом, расшифровать ее можно только другим. Например, если ваш друг зашифрует письмо вашим публичным ключом, то прочитать его сможете только вы, потому что для этого нужен ваш приватный ключ. И наоборот: если вы зашифруете что-то своим приватным ключом, то расшифровать его можно только вашим публичным ключом. Так как публичный ключ доступен всем, любой может расшифровать это сообщение. Но он может быть уверен, что сообщение пришло именно от вас. В этом заключается идея цифровой подписи.
Генерация ключей
Создадим пару ключей:
Программа запустится и спросит, куда сохранять ключи:
Generating public/private rsa key pair.
Enter file in which to save the key (/home/demo/.ssh/id_rsa):
Нажмите Enter для сохранения в стандартное место — директорию .ssh/id_rsa в вашей домашней директории.
Программа запросит passphrase. Это вроде пароля для ключа. Можно просто нажать Enter и пропустить этот шаг. Или ввести passphrase — тогда его нужно будет вводить каждый раз, когда используется ключ.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Ключи созданы:
Your identification has been saved in /home/demo/.ssh/id_rsa.
Your public key has beenЧто такое SSH-технология | SSH в хостинге
Что такое SSH?
SSH является технологией, предназначенной для удаленного исполнения команд, а также для входа через сеть на другой компьютер. Используя SSH можно загружать и копировать файлы между компьютерами, но чаще всего она используется для безопасной передачи файлов сайта между вашим компьютером и сервером хостинг-провайдера.
Secure Shell — так расшифровывается аббревиатура SSH. Благодаря использованию этой технологии достигается надежная авторизация и безопасная передача информации по открытым каналам связи. SSH успешно заменяет такие протоколы, как telnet, rlogin, rcp и rsh. Т.к. применение перечисленных технологий связано с некоторыми проблемами безопасности:
- Передача данных по сети осуществляется в открытом виде, поэтому любой пользователь компьютера, подключенного к этой сети, может перехватить эти данные. Проблема безопасности усугубляется еще и тем, что пароли также передаются в открытом (незашифрованном) виде.
- Также авторизация с использованием IP-адресов (rlogin) и паролей (telnet и FTP) весьма уязвима с точки зрения безопасности. SSH отлично справляется с перечисленными выше задачами. Даже учитывая то, что вход в другой компьютер осуществляется с помощью введения пароля. Этот пароль не может быть перехвачен, так как его передача осуществляется в зашифрованном виде.
Принцип работы SSH
Чтобы более четко понять, как работает SSH, нам поможет наглядный пример. Для этого мы будем использовать аналогию на примере всем известного Штирлица.
Допустим Штирлицу необходимо передать в Центр важные данные, но старый шифр уже известен врагам. Что же предпринять в этой ситуации? Самым оптимальным вариантом может быть организация встречи для передачи Штирлицу нового шифра (то есть создать новый код). Однако если встреча невозможна, то остается только открытый канал связи, который могут прослушивать враги. Но и эту ситуацию можно решить.
В середине 1970-х годов учеными-математиками был разработан алгоритм RSA. Используя его, можно применять в криптографии «публичные ключи». Суть этого алгоритма состоит в том, что существует два криптоключа: один используется для зашифровки, а второй применяется для расшифровки. «Публичным ключом» называется код для зашифровки, так как он не является секретным и его можно свободно передавать. В отличии от ключей для зашифровки, ключи для расшифровки являются секретными, (ещё их называю приватными) и это значит, что расшифровать сообщение сможет только владелец этого ключа.
Действие алгоритма RSA основано на невозможности получения из публичного ключа приватного ключа, который необходим для расшифровки. Поэтому, если бы действие знаменитой киноленты «Семнадцать мгновений весны» происходило сейчас, Центру было бы достаточно отправить Штирлицу новый публичный ключ, а Мюллеру не удалось бы расшифровать их сообщения, сколько бы он не пытался.
Какой лучше выбрать SSH клиент?
Чтобы использовать Secure Shell-дос
Рукопожатие SSH простыми словами / Блог компании Дата-центр «Миран» / Хабр
Secure Shell (SSH) — широко используемый протокол транспортного уровня для защиты соединений между клиентами и серверами. Это базовый протокол в нашей программе Teleport для защищённого доступа к инфраструктуре. Ниже относительно краткое описание рукопожатия, которое происходит перед установлением безопасного канала между клиентом и сервером и перед началом полного шифрования трафика.
Обмен версиями
Рукопожатие начинается с того, что обе стороны посылают друг другу строку с номером версии. В этой части рукопожатия не происходит ничего чрезвычайно захватывающего, но следует отметить, что большинство относительно современных клиентов и серверов поддерживают только SSH 2.0 из-за недостатков в дизайне версии 1.0.
Обмен ключами
В процессе обмена ключами (иногда называемого KEX) стороны обмениваются общедоступной информацией и выводят секрет, совместно используемый клиентом и сервером. Этот секрет невозможно обнаружить или получить из общедоступной информации.
Инициализация обмена ключами
Обмен ключами начинается с того, что обе стороны посылают друг другу сообщение SSH_MSG_KEX_INIT со списком поддерживаемых криптографических примитивов и их предпочтительным порядком.
Криптографические примитивы должны установить строительные блоки, которые будут использоваться для обмена ключами, а затем полного шифрования данных. В таблице ниже перечислены криптографические примитивы, которые поддерживает Teleport.
Криптографические примитивы Teleport по умолчанию
Инициализация протокола Диффи — Хеллмана на эллиптических кривых
Поскольку обе стороны используют один и тот же алгоритм для выбора криптографических примитивов из списка поддерживаемых, после инициализации можно немедленно начать обмен ключами. Teleport поддерживает только протокол эллиптических кривых Диффи-Хеллмана (Elliptic Curve Diffie-Hellman, ECDH), так что обмен ключами начинается с того, что клиент генерирует эфемерную пару ключей (закрытый и связанный с ним открытый ключ) и отправляет серверу свой открытый ключ в сообщении SSH_MSG_KEX_ECDH_INIT.
Стоит подчеркнуть, что эта ключевая пара эфемерна: она используется только для обмена ключами, а затем будет удалена. Это чрезвычайно затрудняет проведение класса атак, где злоумышленник пассивно записывает зашифрованный трафик с надеждой украсть закрытый ключ когда-нибудь в будущем (как предусматривает закон Яровой — прим. пер.). Очень трудно украсть то, чего больше не существует. Это свойство называется прямой секретностью (forward secrecy).
Рис. 1. Генерация сообщения инициализации обмена ключами
Ответ по протоколу Диффи — Хеллмана на эллиптических кривых
Сервер ждёт сообщение SSH_MSG_KEX_ECDH_INIT, а при получении генерирует собственную эфемерную пару ключей. С помощью открытого ключа клиента и собственной пары ключей сервер может сгенерировать общий секрет K.
Затем сервер генерирует нечто, называемое хэшем обмена H, и подписывает его, генерируя подписанный хэш HS (подробнее на рис. 3). Хэш обмена и его подпись служат нескольким целям:
- Поскольку хэш обмена включает общий секрет, он доказывает, что другая сторона смогла создать общий секрет.
- Цикл подписи/проверки хэша и подписи обмена позволяет клиенту проверить, что сервер владеет закрытым ключом хоста, и поэтому клиент подключен к правильному серверу (если клиент может доверять соответствующему открытому ключу, подробнее об этом позже).
- За счёт подписи хэша вместо подписи входных данных, размер подписываемых данных существенно уменьшается и приводит к более быстрому рукопожатию.
Хэш обмена генерируется путём взятия хэша (SHA256, SHA384 или SHA512, в зависимости от алгоритма обмена ключами) следующих полей:
- Мэджики
M. Версия клиента, версия сервера, сообщение клиентаSSH_MSG_KEXINIT, сообщение сервераSSH_MSG_KEXINIT. - Открытый ключ (или сертификат) хоста сервера
HPub. Это значение (и соответствующий ему закрытый ключ HPriv) обычно генерируется во время инициализации процесса, а не для каждого рукопожатия. - Клиентский открытый ключ
А - Серверный открытый ключ
B - Общий секрет
K
С этой информацией сервер может сконструировать сообщение SSH_MSG_KEX_ECDH_REPLY, применив эфемерный открытый ключа сервера B, открытый ключ хоста сервера HPub и подпись на хэше обмена HS. См. рис. 4 для более подробной информации.
Рис. 2. Генерация хэша обмена H
Как только клиент получил от сервера SSH_MSG_KEX_ECDH_REPLY, у него есть всё необходимое для вычисления секрета K и хэша обмена H.
В последней части обмена ключами клиент извлекает открытый ключ хоста (или сертификат) из SSH_MSG_KEX_ECDH_REPLY и проверяет подпись хэша обмена HS, подтверждающую право собственности на закрытый ключ хоста. Чтобы предотвратить атаки типа «человек в середине» (MitM), после проверки подписи открытый ключ хоста (или сертификат) проверяется по локальной базе известных хостов; если этот ключ (или сертификат) не является доверенным, соединение разрывается.
The authenticity of host 10.10.10.10 (10.10.10.10)' can't be established. ECDSA key fingerprint is SHA256:pnPn3SxExHtVGNdzbV0cRzUrtNhqZv+Pwdq/qGQPZO3. Are you sure you want to continue connecting (yes/no)?
SSH-клиент предлагает добавить ключ хоста в локальную базу известных хостов. Для OpenSSH это обычно ~/.ssh/known_hosts
Такое сообщение означает, что представленного ключа нет в вашей локальной базе данных известных хостов. Хороший способ избежать таких сообщений — использовать вместо ключей сертификаты SSH (что Teleport делает по умолчанию), которые позволяют вам просто хранить сертификат удостоверяющего центра в локальной базе известных хостов, а затем проверять все хосты, подписанные этим УЦ.
Рис. 3. Генерация ответа при обмене ключами ECDH
Новые ключи
Перед тем, как начать массовое шифрование данных, остался последний нюанс. Обе стороны должны создать шесть ключей: два для шифрования, два вектора инициализации (IV) и два для целостности. Вы можете спросить, зачем так много дополнительных ключей? Разве не достаточно общего секрета K? Нет, не достаточно.
Во-первых, почему нужны отдельные ключи для шифрования, целостности и IV. Одна из причин связана с историческим развитием протоколов, таких как TLS и SSH, а именно с согласованием криптографических примитивов. В некоторых выбранных криптографических примитивах повторное использование ключа не представляет проблемы. Но, как верно объясняет Хенрик Хеллстрём, при неправильном выборе примитивов (например, AES-256-CBC для шифрования и и AES-256-CBC-MAC для аутентификации) последствия могут быть катастрофическими. Следует отметить, что разработчики протоколов постепенно отказываются от такой гибкости, чтобы сделать протоколы более простыми и безопасными.
Далее, зачем используются ключи каждого типа.
Ключи шифрования обеспечивают конфиденциальность данных и применяются с симметричным шифром для шифрования и дешифрования сообщения.
Ключи целостности обычно используются с кодом проверки подлинности сообщения (MAC), чтобы гарантировать аутентичность шифротекста. В отсутствие проверки целостности злоумышленник может изменить шифротекст, который передаётся по открытым каналам, и вы расшифруете поддельное сообщение. Такая схема обычно называется Encrypt-then-MAC.
Следует отметить, что современные шифры AEAD (аутентифицированное шифрование с присоединёнными данными, когда часть сообщения шифруется, часть остаётся открытой, и всё сообщение целиком аутентифицировано) вроде [email protected] и [email protected] фактически не используют производный ключ целостности для MAC, а выполняют аутентификацию внутри своей конструкции.
Векторы инициализации (IV) обычно представляют собой случайные числа, используемые в качестве входных данных для симметричного шифра. Их цель состоит в том, чтобы гарантировать, что одно и то же сообщение, зашифрованное дважды, не приведёт к одному и тому же шифротексту. Необходимость такой процедуры отлично демонстрирует знаменитое изображение с пингвином Туксом, зашифрованное в режиме электронной кодовой книги (ECB).
Слева направо. (1) Открытый текст в виде изображения. (2) Криптограмма, полученная шифрованием в режиме ECB. (3) Криптограмма, полученная шифрованием в режиме, отличном от ECB. Изображение представляет собой псевдослучайную последовательность пикселей
Использование (и взлом) векторов IV — интересная тема сама по себе, о которой написал Филиппо Вальсорда.
Наконец, почему ключи идут в парах? Как отметил Томас Порнин, если используется только один ключ целостности, злоумышленник может воспроизвести клиенту отправленную ему запись, и он будет считать её действительной. Со спаренными ключами целостности (у сервера и клиента), клиент выполнит проверку целостности шифротекста и такой трюк не сработает.
Теперь с пониманием того, зачем нужны эти ключи, давайте посмотрим, как они генерируются, согласно RFC:
- Начальный вектор IV от клиента к серверу:
HASH(K || H || «A» || session_id)
- Начальный вектор IV от сервера к клиенту:
HASH(K || H || «B» || session_id)
- Ключ шифрования от клиента к серверу:
HASH(K || H || «C» || session_id)
- Ключ шифрования от сервера к клиенту:
HASH(K || H || «D» || session_id)
- Ключ контроля целостности от клиента к серверу:
HASH(K || H || «E» || session_id)
- Ключ контроля целостности от сервера к клиенту:
HASH(K || H || «F» || session_id)
Здесь используется алгоритм хэширования SHA{256, 384 или 512} в зависимости от алгоритма обмена ключами, а символ || подразумевает конкатенацию, то есть сцепление.
Как только вычислены эти значения, обе стороны посылают SSH_MSG_NEWKEYS, чтобы сообщить другой стороне, что обмен ключами завершён, а все будущие коммуникации должны происходить с использованием новых ключей, созданных выше.
Рис. 4:. Генерация начального вектора IV. Генерация для других ключей происходит по той же схеме, если заменить A и B на C, D, E и F, соответственно
Заключение
На этом этапе обе стороны согласовали криптографические примитивы, обменялись секретами и сгенерировали материал ключей для выбранных примитивов. Теперь между клиентом и сервером может быть установлен безопасный канал, который обеспечит конфиденциальность и целостность.
Вот как рукопожатие SSH устанавливает безопасное соединение между клиентами и серверами.
Протокол SSH — безопасный удаленный вход и передача файлов
Эта страница посвящена протоколу SSH. Для компании, стоящей за этим, см. Безопасность коммуникаций SSH. Для использования команды Linux ssh см. Использование команды ssh. Для клиентов, серверов и технической информации SSH см. Домашнюю страницу SSH (Secure Shell).
Протокол SSH (также называемый Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Он предоставляет несколько альтернативных вариантов строгой аутентификации и защищает безопасность и целостность связи с помощью надежного шифрования.Это безопасная альтернатива незащищенным протоколам входа в систему (таким как telnet, rlogin) и небезопасным методам передачи файлов (например, FTP).
Типичное использование протокола SSH
Протокол используется в корпоративных сетях для:
обеспечения безопасного доступа для пользователей и автоматизированных процессов
интерактивной и автоматической передачи файлов
удаленной выдачи команд
для управления сетевой инфраструктурой и другими критически важными компонентами системы.
Как работает протокол SSH
Протокол работает в модели клиент-сервер, что означает, что соединение устанавливается клиентом SSH, подключающимся к серверу SSH. Клиент SSH управляет процессом установки соединения и использует криптографию с открытым ключом для проверки подлинности сервера SSH. После фазы настройки протокол SSH использует сильные симметричные алгоритмы шифрования и хеширования для обеспечения конфиденциальности и целостности данных, которыми обмениваются клиент и сервер.
На рисунке ниже представлена упрощенная процедура установки защищенного соединения оболочки.
Строгая аутентификация с ключами SSH
Есть несколько вариантов, которые можно использовать для аутентификации пользователя. Наиболее распространены пароли и аутентификация с открытым ключом.
Метод аутентификации с открытым ключом в основном используется для автоматизации, а иногда и системными администраторами для единой регистрации. Оказалось, что его используют гораздо шире, чем мы когда-либо предполагали.Идея состоит в том, чтобы иметь пару криптографических ключей — открытый ключ и закрытый ключ — и настроить открытый ключ на сервере для авторизации доступа и предоставления доступа к серверу любому, у кого есть копия закрытого ключа. Ключи, используемые для аутентификации, называются ключами SSH. Аутентификация с открытым ключом также используется со смарт-картами, такими как карты CAC и PIV, используемые правительством США.
Основное использование аутентификации на основе ключей — обеспечение безопасной автоматизации. Автоматическая безопасная передача файлов оболочки используется для беспрепятственной интеграции приложений, а также для автоматизированных систем и управления конфигурацией.
Мы обнаружили, что у крупных организаций гораздо больше ключей SSH, чем они думают, и управление ключами SSH стало очень важным. Ключи SSH предоставляют доступ так же, как имена пользователей и пароли. Для них требуются аналогичные процессы инициализации и завершения.
В некоторых случаях мы обнаружили несколько миллионов ключей SSH, разрешающих доступ к производственным серверам в клиентских средах, при этом 90% ключей фактически не использовались и представляли доступ, который был предоставлен, но никогда не прекращался.Обеспечение надлежащих политик, процессов и аудита также для использования SSH критически важно для правильного управления идентификацией и доступом. В традиционных проектах управления идентификационной информацией не учитывается до 90% всех учетных данных, игнорируя ключи SSH. Мы предоставляем услуги и инструменты для реализации управления ключами SSH.
SSH обеспечивает надежное шифрование и защиту целостности
После установления соединения между клиентом SSH и сервером передаваемые данные шифруются в соответствии с параметрами, согласованными в настройке.Во время согласования клиент и сервер согласовывают используемый алгоритм симметричного шифрования и генерируют ключ шифрования, который будет использоваться. Трафик между взаимодействующими сторонами защищен с помощью стандартных алгоритмов надежного шифрования (таких как AES (Advanced Encryption Standard)), а протокол SSH также включает механизм, который обеспечивает целостность передаваемых данных с помощью стандартных алгоритмов хеширования (таких как SHA -2 (стандартный алгоритм хеширования)).
Стандарт IETF SSH и подробная техническая документация
Основной протокол
Когда протокол SSH стал популярным, Тату Илонен передал его в IETF для стандартизации.Теперь это интернет-стандарт, описанный в следующих документах:
RFC 4251 — Архитектура протокола Secure Shell (SSH).
RFC 4253 — Протокол транспортного уровня Secure Shell (SSH)
RFC 4252 — Протокол аутентификации Secure Shell (SSH)
RFC 4254 — протокол соединения Secure Shell (SSH)
Протокол передачи файлов SFTP
SFTP (протокол передачи файлов SSH), вероятно, является наиболее широко используемым сегодня протоколом безопасной передачи файлов. Он работает через SSH и в настоящее время задокументирован в draft-ietf-secsh-filexfer-02
Формат файла открытого ключа
Формат файла открытого ключа не является формальным стандартом (это информационный документ), но многие реализации поддерживают его. формат.RFC 4716 — Формат файла открытого ключа Secure Shell (SSH)
Как цитировать SSH
Чтобы цитировать SSH в исследовательской статье, используйте следующее:
Тату Илонен: SSH - Безопасные подключения для входа в систему через Интернет.
Pro .
SSH (Secure Shell) Домашняя страница
Это стартовая страница для протокола SSH (Secure Shell), программного обеспечения и связанной информации. SSH — это программный пакет, который обеспечивает безопасное системное администрирование и передачу файлов по незащищенным сетям. Он используется почти в каждом центре обработки данных и на каждом крупном предприятии.
Эта страница была создана изобретателем SSH Тату Илоненом (twitter: @tjssh). Он написал ssh-1.x и ssh-2.x и до сих пор работает над смежными темами. Реализация OpenSSH с открытым исходным кодом основана на его бесплатной версии.
Протокол SSH
Протокол SSH использует шифрование для защиты соединения между клиентом и сервером. Вся проверка подлинности пользователя, команды, вывод и передача файлов зашифрованы для защиты от атак в сети. Подробнее о том, как работает протокол SSH, см. На странице протокола. Чтобы понять протокол передачи файлов SSH, см. Страницу SFTP.
Скачать клиентское программное обеспечение
Здесь вы можете найти ссылки для загрузки различных бесплатных реализаций SSH.Мы предлагаем различные бесплатные реализации SSH для загрузки и даем ссылки на коммерческие реализации.
Список реализаций SSH
Мы перечисляем здесь различные реализации SSH. Не стесняйтесь отправлять дополнительные реализации для этой страницы. Для многих реализаций мы предлагаем обзор, инструкции по установке, руководство и / или инструкции на этом сайте.
Запуск и настройка SSH
В этом разделе содержатся ссылки на темы, посвященные использованию, настройке и администрированию SSH.
Безопасность SSH и атаки против него
Считается, что протокол SSH защищен от криптографических атак в сети, при условии, что ключи и учетные данные правильно управляются. Однако мы не рекомендуем использовать обмен ключами diffie-hellman-group1-sha1 . Он использует 768-битную группу Диффи-Хеллмана, которую сегодня могут взломать правительства. Группы большего размера, вероятно, подходят. В последних версиях OpenSSH эта группа отключена по умолчанию. См. Sshd_config для настройки того, какие обмены ключами использовать.
Автоматизация с помощью ключей SSH, но управление ими
Ключи SSH могут использоваться для автоматизации доступа к серверам. Они обычно используются в сценариях, системах резервного копирования, инструментах управления конфигурацией, а также разработчиками и системными администраторами. Они также обеспечивают единый вход, позволяя пользователю перемещаться между своими учетными записями без необходимости каждый раз вводить пароль. Это работает даже за пределами организации и очень удобно.
Однако неуправляемые ключи SSH могут стать серьезным риском для крупных организаций.
PrivX On-Demand Access Manager можно использовать в качестве альтернативы для ключей SSH, полностью устраняя необходимость в постоянных ключах и паролях на серверах.
История протокола SSH
Протокол Secure Shell был первоначально разработан Тату Илоненом в 1995 году в ответ на инцидент взлома в сети финского университета. Сниффер паролей был установлен на сервере, подключенном непосредственно к магистрали, и когда он был обнаружен, в его базе данных были тысячи имен пользователей и паролей, в том числе несколько от компании Илонена.
Этот инцидент побудил Илонена изучить криптографию и разработать решение, которое он мог бы использовать для безопасного удаленного входа в систему через Интернет. Его друзья предложили дополнительные функции, и три месяца спустя, в июле 1995 года, Илонен опубликовал первую версию с открытым исходным кодом. Он стал OpenSSH. Позже он взял протокол для стандартизации в IETF и разработал протокол передачи файлов SSH (SFTP). Он основал SSH Communications Security Corp в декабре 1995 года для коммерческой поддержки протокола.
Илонен по-прежнему работает над темами, связанными с Secure Shell, в частности над управлением ключами, а также над более широкими темами кибербезопасности.
Сегодня этот протокол используется для управления более чем половиной мировых веб-серверов и практически каждым компьютером Unix или Linux как локально, так и в облаке. Специалисты по информационной безопасности и системные администраторы используют его для настройки, управления, обслуживания и эксплуатации большинства межсетевых экранов, маршрутизаторов, коммутаторов и серверов в миллионах критически важных сетей и сред нашего цифрового мира.Он также встроен во многие решения для передачи файлов и управления системами.
Новый протокол заменил несколько устаревших инструментов и протоколов, включая telnet, ftp, FTP / S, rlogin, rsh и rcp.
.
Что такое SSH ?. Введение в Secure Shell | by Mariam Jaludi
Знакомство с Secure Shell
SSH, или Secure Shell, представляет собой сетевой протокол, который позволяет одному компьютеру безопасно подключаться к другому компьютеру через незащищенную сеть, такую как Интернет, за счет общего соглашения о способах связи . SSH — это протокол прикладного уровня, который является 7-м уровнем модели OSI.
SSH действительно полезен, потому что вам не нужно иметь физический доступ к другой машине; вы можете просто подключиться к нему через Интернет.Это позволяет нам управлять серверами удаленно.
SSH впервые появился в середине 90-х годов и был разработан как замена Telnet, который также является протоколом прикладного уровня, который передает данные без шифрования. Без шифрования данные передаются через Интернет в виде обычного текста. Любой, у кого был перехватчик пакетов между вами и удаленной машиной, мог видеть все данные, которые вы передавали, и все, что вы делали.
Видны данные, передаваемые в виде обычного текста.
Шифрование — это способ скрыть часть данных, чтобы ее нельзя было прочитать, если вы не знаете, как декодировать или расшифровать данные.SSH был создан как безопасный способ связи, который шифрует данные через туннель, чтобы злоумышленники не могли получить данные во время передачи. С SSH вы все еще можете видеть, что данные передаются и сколько данных передается, но вы не можете видеть, что это за данные.
Зашифрованные данные не могут быть прочитаны посредником.
SSH обычно реализуется с использованием модели клиент-сервер . Один компьютер называется SSH-клиентом , а другой работает как SSH-сервер или хост .
HTTPS , или защищенный протокол передачи гипертекста, также является другим протоколом, который шифрует данные. Так в чем же разница между SSH и HTTPS? HTTPS позволяет веб-браузерам связываться с серверами для отображения веб-сайтов. SSH позволяет оболочкам обеспечивать обмен данными или связь между двумя устройствами, а не только браузерами и сервером. Оболочки позволяют общаться с операционными системами.
Когда вы подключаетесь к серверу SSH, вы попадаете в оболочку. Эта оболочка может быть оболочкой терминала Linux или оболочкой командной строки Windows, где вы можете выполнять команды на компьютере, к которому вы подключены.Когда вы используете терминал или командную строку, вы общаетесь со своей операционной системой. С помощью SSH вы также можете общаться с удаленными операционными системами.
Что можно передавать с помощью SSH?
SSH может использоваться для передачи:
- данных
- Команды
- Текст
- Файлы (Использование SFTP: протокол безопасной передачи файлов, в основном зашифрованная версия FTP, что делает атаки типа «человек посередине» невозможно)
SSH разбивает данные на серии пакетов.Как и в любой пакетной передаче, в начале есть несколько полей.
Пакет
Вверху Длина пакета сообщает вам, насколько велик пакет. После этого у вас есть еще один байт, Padding Amount , который сообщает вам, сколько есть заполнения. Тогда у вас есть данные, Payload . После полезной нагрузки у вас есть Padding . Это заполнение представляет собой случайные байты, которые ничего не означают, но зашифрованы вместе с полезной нагрузкой, чтобы усложнить обнаружение данных, потому что вы добавили эти случайные дополнительные данные.Наконец, у вас есть код аутентификации сообщения , чтобы вы могли быть уверены, что данные не были подделаны.
Полезная нагрузка также может быть сжата с использованием стандартных алгоритмов сжатия. Затем зашифровывается весь пакет, за исключением длины и кода аутентификации.
Зашифрованный пакет
Затем пакет отправляется на сервер. Сервер расшифровывает пакет и распаковывает полезную нагрузку, чтобы извлечь данные. Тот же процесс выполняется для каждого пакета, отправленного через соединение.
Для обеспечения безопасности SSH в SSH используются три различных метода обработки данных в разных точках передачи. В SSH используются три метода:
- Симметричное шифрование
- Асимметричное шифрование
- Хеширование
Симметричное шифрование
Симметричное шифрование — это тип шифрования, при котором один ключ может использоваться для шифрования сообщений, отправляемых адресату, а также для дешифрования. сообщения, полученные в месте назначения.Эта схема шифрования также известна как шифрование с общим секретом или шифрование с общим ключом .
Схема 1: Симметричное шифрование
Оба устройства используют один и тот же ключ для шифрования данных, которые они отправляют, и дешифрования данных, которые они получают. Секретный ключ специфичен для каждого сеанса SSH. Это тип шифрования, который используется для шифрования всего SSH-соединения, чтобы не дать атакам типа «злоумышленник посередине» прочитать данные, поскольку у них нет этого секретного ключа.
Одна из возникающих проблем — начальный обмен ключами. Если третья сторона прослушивает во время обмена ключами, теперь они будут знать ключ и смогут расшифровать все наши сообщения. Один из способов предотвратить это — использовать алгоритм обмена ключами.
A Алгоритм обмена ключами — это безопасный способ обмена секретными ключами без перехвата. Это осуществляется двумя компьютерами, которые обмениваются общедоступными данными, а затем независимо обрабатывают эти данные для получения секретного ключа. Для реализации алгоритма обмена ключами нам необходимо асимметричное шифрование.
Асимметричное шифрование
Асимметричное шифрование — это шифрование с использованием двух отдельных ключей для шифрования и дешифрования, открытого и закрытого ключей. Открытый ключ может быть передан кому угодно, но закрытый ключ никогда не передается. Открытый ключ и закрытый ключ образуют пару ключей . Сообщение, зашифрованное с помощью открытого ключа машины, можно расшифровать только с помощью ее закрытого ключа. Открытый ключ хранится на сервере SSH, а закрытый ключ хранится локально на клиенте SSH.
Схема 2: Асимметричное шифрование
Если я дам вам свой открытый ключ, вы можете отправить мне сообщение, зашифровав его с помощью моего открытого ключа. Затем я смогу прочитать его, расшифровав его с помощью моего закрытого ключа.
Схема 3: Обмен ключами асимметричного шифрования
Даже если третьему лицу удастся получить открытый ключ, оно не сможет расшифровать никакие сообщения, потому что у него нет закрытого ключа. Пока закрытый ключ никогда не пересылается и находится в безопасности на вашем устройстве, ваши сообщения нельзя расшифровать.
SSH использует асимметричное шифрование в нескольких местах, например, в алгоритме обмена ключами, который используется для настройки симметричного шифрования. Асимметричное шифрование также используется в качестве ключа, который можно использовать для подключения к серверу по SSH без использования пароля. Мы обмениваемся алгоритмом для генерации ключей (желтые ключи на диаграмме 1), используемых для шифрования и дешифрования сообщений.
Оба устройства генерируют временные открытый и закрытый ключи и совместно используют свои соответствующие открытые ключи. Затем они независимо друг от друга генерируют новый симметричный ключ, который оба устройства будут использовать для шифрования и дешифрования сообщений.Это генерация выполняется с использованием обмена ключами Диффи-Хеллмана .
В начале обмена ключами Диффи-Хеллмана два устройства должны согласовать несколько параметров, которые они будут использовать для обмена ключами:
- Генератор
g - Простое число
n
Каждое устройство будет использовать g вместе со своими закрытыми ключами для генерации открытого ключа.
Если вы хотите узнать математику, лежащую в основе Диффи Хеллмана, посмотрите это видео.
После установления безопасного симметричного обмена данными сервер использует открытый ключ клиента для генерации запроса и передает его клиенту для аутентификации. Если клиент может успешно расшифровать запрос, что означает, что он содержит закрытый ключ, необходимый для соединения, начинается сеанс SSH.
Хеширование
Хеширование — это еще одна форма криптографии, используемая для безопасных соединений оболочки. Хеширование позволяет создавать подпись или сводку набора информации.Это односторонний процесс, и хешированные данные никогда не предназначены для дешифрования. Но чем это полезно?
Если третьему лицу удается обмануть клиента и хост, они могут вмешиваться в сообщения. SSH использует HMAC ( хеш-коды проверки подлинности сообщений ). HMAC обеспечивают получение отправленных сообщений в полной и неизмененной форме.
При использовании хэш-функции каждое передаваемое сообщение должно содержать нечто, называемое MAC. Этот MAC представляет собой хэш, созданный из симметричного ключа, порядкового номера пакета и содержимого отправленного сообщения.Использование этих трех элементов в качестве входных данных в хеш-функции, и эта хеш-функция будет выводить какой-то кусок строки, не имеющий смысла. Эта строка, или подпись , отправляется на хост.
Теперь, как хост проверяет, не было ли подделано сообщение?
Поскольку хост имеет одинаковую информацию (симметричный ключ, порядковый номер пакета и содержимое сообщения), они могут использовать одну и ту же хэш-функцию для генерации хэша. Если сгенерированный хэш совпадает с полученным, это проверяет подпись клиента.
Это работает, потому что, если данные изменяются каким-либо образом, даже если что-то такое маленькое, как заглавная буква, хеш будет совершенно другим.
.
SSH: объяснение Secure Shell, SSH-клиента и SSH-сервера
Первым шагом является то, что SSH-сервер и клиент аутентифицируют себя друг для друга. Сервер отправляет клиенту сертификат , чтобы убедиться, что это правильный сервер. При установлении контакта существует риск, что третья сторона встанет между двумя участниками и, следовательно, перехватит соединение. Поскольку сам сертификат также зашифрован, его нельзя имитировать. Как только клиент узнает правильный сертификат, третьи лица не смогут связаться с соответствующим сервером.
Однако после аутентификации сервера клиент также должен идентифицировать себя как авторизованный для доступа к серверу. Для этого можно использовать пароль. Это (или его зашифрованное хеш-значение) хранится на сервере. В результате пользователи должны вводить свой пароль каждый раз при входе на другой сервер в течение одного и того же сеанса. По этой причине существует альтернативный метод аутентификации на стороне клиента с использованием открытого ключа пары ключей и закрытого ключа.
Закрытый ключ создается индивидуально для вашего компьютера и защищается парольной фразой, которая должна быть длиннее обычного пароля.Закрытый ключ хранится исключительно на вашем компьютере и всегда остается в секрете. Если вы хотите установить соединение SSH, просто введите парольную фразу, и вы получите доступ к закрытому ключу.
На сервере также есть открытые ключи (как и на самом клиенте). Сервер создает криптографическую проблему с помощью своего открытого ключа и отправляет его клиенту. Затем сервер расшифровывает проблему с помощью собственного закрытого ключа, отправляет решение и сообщает серверу, что ему разрешено установить легитимное соединение.
Во время сеанса вам нужно только один раз ввести парольную фразу для подключения к любому количеству серверов. В конце сеанса пользователи должны выйти из системы со своих локальных компьютеров, чтобы гарантировать, что никакая третья сторона с физическим доступом к локальному компьютеру может подключиться к серверу.
.