The page has not been checked
| Назва: | Secure Shell |
|---|---|
| Узровень (памадэлі OSI): | Прыкладны |
| Сямейства: | TCP/IP |
| Порт/ID: | 22/TCP |
| Прызначэнне пратаколу: | Аддалены доступ |
| Спецыфікацыя: | RFC 4251 |
| Асноўныя рэалізацыі (кліенты): | OpenSSH,PuTTY,SecureCRT |
| Асноўныя рэалізацыі (серверы): | OpenSSH |
SSH (англ.:SecureShell — «надзейная абалонка») —сеціўны пратакол прыкладнога ўзроўню, дазваляе здзяйсняцьаддаленае кіраваннеаперацыйнай сістэмай ітунэляваннеTCP-злучэнняў (напрыклад, для перадачы файлаў). Падобны функцыйнасцю да пратаколаўTelnet іrlogin, але, у адрозненні ад іх,шыфруе ўвесьтрафік, уключаючы і перадаваныяпаролі. SSH дапускае выбар разнастайныхалгарытмаў шыфравання. SSH-кліенты і SSH-серверы даступны для большасці сеціўных аперацыйных сістэм.
SSH дазваляе бяспечна перадаваць у неабароненым асяроддзі практычна любы іншысеціўны пратакол. Такім чынам, можна не толькі аддалена кіраваць камп'ютарам празкамандную абалонку, але і перадаваць шыфраваным каналам гукавы струмень ці відэа (напрыклад звэб-камеры)[1]. Таксама SSH можа ўжывацьсцісканне перадаваных звестак для наступнага іх шыфравання, што зручна для аддаленага запуску кліентаўX Window System.
Большасцьхостынг-правайдараў за пэўную плату прадстаўляюць кліентам доступ да іххатняга каталога праз SSH. Гэта можа быць зручна як для працы праз камандны радок, так і для аддаленага запуску праграм (у тым ліку графічных).
Першая версія пратакола, SSH-1, была распрацавана ў1995 годзе даследчыкамТату Улёнэнам зТэхналагічнага ўніверсітэту Хельсінкі (Фінляндыя). SSH-1 быў напісаны дзеля забеспячэння большай канфідэнцыяльнасці, чым пратаколы rlogin, telnet і rsh. У1996 годзе была распрацавана больш надзейная версія пратакола, SSH-2, несумяшчальная з SSH-1. Пратакол набыў яшчэ большую папулярнасць, і на2000 год у яго было каля двух мільёнаў карыстальнікаў. У цяперашні час пад тэрмінам «SSH» звычайна маецца на ўвазе менавіта SSH-2, бо першая версія пратаколу з-за істотных недахопаў зараз амаль не выкарыстоўваецца.
У2006 годзе пратакол быў зацверджаны рабочай групайIETF у якасці Інтэрнэт‐стандарту.
Аднак у некаторых краінах (Францыя,Расія,Ірак іПакістан) патрабуецца спецыяльны дазвол у адпаведных структурах для выкарыстання пэўных метадаў шыфравання, уключаючы SSH.
Распаўсюджаны дзве рэалізацыі SSH: прыватная камерцыйная і вольная бясплатная. Вольная рэалізацыя завецца OpenSSH. На 2006 год 80 % камп'ютараў сеціваІнтэрнэт карысталася менавіта OpenSSH. Прыватная рэалізацыя распрацоўваецца арганізацыяй SSH Communications Security, якая з'яўляецца стоадсоткавым падраздзяленнем карпарацыі Tectia[2], яна бясплатная для некамерцыйнага ўжывання. Гэтыя рэалізацыі змяшчаюць практычна аднолькавы набор каманд.
Пратакол SSH-1, у адрозненне ад пратаколаtelnet, устойлівы да атакі праслухоўвання трафіку («sniffing»), але няўстойлівы да атак «чалавек пасярэдзіне». Пратакол SSH-2 таксама ўстойлівы да атак праз далучэнне ўсярэдзіне (англ.:session hijacking), бо немагчыма далучыцца ва ўжо ўсталяваную сесію ці перахапіць яе.
Дзеля прадухілення атакі «чалавек пасярэдзіне» пры далучэнні дахоста, ключ якога яшчэ невядомы кліенту, кліенцкаеПЗ паказвае карыстальніку «адбітак ключа» (англ.:key fingerprint). Пажадана дасканала спраўдзіць паказаны кліенцкім ПЗ «адбітак ключа» з адбіткам ключа сервера, атрыманым праз надзейныя каналы сувязі альбо асабіста.
Падтрымка SSH рэалізавана ва ўсіхUNIX‑падобных сістэмах, і ў большасці з іх сярод стандартныхутыліт прысутнічаюць кліент і сервер ssh. Існуе мноства рэалізацый SSH-кліентаў і для не-UNIX АС. Вялікую папулярнасць пратакол набыў пасля паўсюднага развіццяаналізатараў трафіку і спосабаў парушэння працы лакальных сетак, як альтэрнатыва ненадзейнаму пратаколуTelnet для кіравання важнымі вузламі.
Для работы праз SSH патрэбны SSH-сервер і SSH-кліент. Сервер праслухоўвае злучэнні ад кліенцкіх машын і пры ўсталяванні сувязі здзяйсняеаўтэнтыфікацыю, пасля чаго пачынае абслугоўванне кліента. Кліенцкая праграма ўжываецца для ўваходу на аддаленую машыну і выканання каманд.
Для злучэння сервер і кліент павінны стварыць пары ключоў — адкрытых і закрытых — і абмяняцца адкрытымі ключамі.Звычайна ўжываецца таксама і пароль.
Каманда далучэння да лакальнага SSH-сервера з каманднага радка GNU/Linux альбоFreeBSD для карыстальніка pacify (сервер слухае нестандартны порт 30000):
$ ssh -p 30000 pacify@127.0.0.1
Генераванне пары ключоў (у UNIX-падобных АС) здзяйсняецца камандай
$ ssh-keygen
Генераванне пары SSH-2 RSA-ключоў даўжынёй 4096 біт праграмай puttygen у UNIX‐падобных АС:
$ puttygen -t rsa -b 4096 -o sample
Некаторыя кліенты, напрыклад, PuTTY, маюць таксамаграфічны інтэрфейс карыстальніка.
Для карыстання SSH у Python існуюць такія модулі, як python-paramiko і python-twisted-conch.
SSH-тунэль — гэта сеткавае злучэнне, створанае праз SSH-злучэнне і ўжыванае для шыфравання тунэляваных даных. Выкарыстоўваецца дзеля таго, каб схаваць перадачу даных у Інтэрнэце (аналагічнае прызначэнне маеIPsec). Пры перасылцы праз SSH-тунэль зыходны трафік любога пратаколу шыфруецца на адным канцы SSH-злучэння і расшыфроўваецца на другім.
Практычная рэалізацыя можа выконвацца некалькімі спосабамі:
$ssh-L4430:jabber.example.com:443somehostУ дадзеным выпадку Jabber-кліент наладжваецца на далучэнне да порта 4430 сервераlocalhost (калі ssh-кліент запушчаны на той жа машыне, што і Jabber-кліент).
Для стварэння ssh-тунэля патрэбна машына з запушчаным ssh-серверам і доступам да jabber.example.com. Такая канфігурацыя можа ўжывацца ў выпадку, калі з лакальнай машыны доступ да jabber.example.com зачынены файрволам, але ёсць доступ да пэўнага ssh-сервера, у якога абмежаванні доступу ў Інтэрнэт адсутнічаюць.
SSH — гэта пратакол прыкладнога ўзроўню. SSH-сервер звычайна чакае злучэння на TCP-порт 22. Спецыфікацыя пратакола SSH-2 змяшчаецца ўRFC 4251. Для аўтэнтыфікацыі сервера ў SSH ужываецца пратакол аўтэнтыфікацыі бакоў на аснове алгарытмаўэлектронна-лічбавага подпісуRSA альбоDSA. Для аўтэнтыфікацыі кліента таксама можа выкарыстоўвацца ЭЛП RSA альбо DSA, але дапускаецца таксама аўтэнтыфікацыя з дапамогай паролю (рэжым зваротнай сумяшчальнасці зTelnet) і нават ip-адраса хоста (рэжым зваротнай сумяшчальнасці зrlogin). Аўтэнтыфікацыя паролем найбольш распаўсюджана; яна бяспечная, бо пароль перадаецца праз шыфраваны віртуальны канал. Аўтэнтыфікаыя ip-адрасам небяспечная, гэтую магчымасць часцей за ўсю выключаюць. Для стварэння агульнага сакрэту (сеансавага ключа) ужываеццаалгарытм Дыфі — Хелмана (DH). Для шыфравання перадаванай інфармацыі ўжываеццасіметрычнае шыфраванне, алгарытмыAES,Blowfish ці3DES. Цэльнасць перадаванай інфармацыі спраўджваецца празCRC32 у SSH1 ціHMAC-SHA1/HMAC-MD5 у SSH2.
Для сціскання шыфраванай інфармацыі можа ўжывацца алгарытм LempelZiv (LZ77), які забяспечвае такі ж узровень сціскання, як і архіватарZIP. Сцісканне SSH уключаецца толькі праз запыт кліента, і на практыцы ўжываецца рэдка.
 | |
|---|---|
| Нарматыўны кантроль |