Ssh
از ویکیپدیا، دانشنامهٔ آزاد.
توجه داشته باشید، شما زمانی میتوانید این الگو را بردارید که متن را اصلاح کرده باشید و خواسته برچسب را برآورده کرده باشید.
در آن صورت، چنانچه این برچسب را کسی بردارد، فرد دیگری نمیتواند آن برچسب را دوباره در مقاله بگذارد.
قشر حفاظتی يا SSH يک اتصال شبکه ای است که اجازه می دهد اطلاعات در کانال مطمئن بين دو کامپيوتر مبادله شوند . سيستم محافظتی محرمانگی وصحت و درستی اطلاعات رافراهم می کند SSH از کليد رمز نويسی عمومی برای قانونی کردن کامپيوتر ريموت (خارج) استفاده کرده و اجازه قانونی بودن مصرف کننده را در صورت لزوم به کامپيوتر ريموت (خارج) می دهد SSH به طور عموم برای ثبت يک دستگاه ريموت بکار می رود و دستورات را توليد می کند ، ولی کانال سازی نيز می کند ارتباطات X11 و ورودی های دلخواه TCP را می فرستند ( فوروارد ميکند) ، می تواند اتصالات (پروتوکول)SCP ياSETP مرتبط برای انتقال فايلها بکار ببرد يک شبکه اصلی SSH ،با غفلت، از ورودی 22 استاندارد TCP، می شنود يک برنامه شبکه پيروSSHعموما برای ثبت ارتباطات به يک SSHD ريموت (خارج) تائيد شده به کار می رود هر دو به طور مشترک در بيشتر سيستمهای عملی مدرن نمايانند؛شامل VMSبازو SOLARIS،LINUXوMACOSX. ورژنهای بدون رمز وافزار رايگان واختصاصی پايه های گوناگون و پيچيدگی کامل وجود دارند محتواها 1. تاريخ 2. کاربردهای SSH 3. معماری SSH 4. هشدارهای حفاظتی 5. چگونگی کاربرد کليد رمز نويسی SSH 6. seealso 7. راهنماها 8. اتصالات خروجی تاريخ در سال 1995 ،تاتويولنين، يک محقق از دانشگاه تکنولوژی هلسينکی فنلاند، اولين ورژن پروتوکول را (اتصالات) را (که اکنون SSH-1 ناميده می شود ) طراحی کرد که با کلمه رمز sniffinkattackدر شبکه دانشگاه خود آن را ارتقا داد . هدف sshجايگزينی ثبت قبلی ، تل نت واتصالات rsh بود که رسميت محکم وتضمين مطمئني نداشتند .يولنين دستگاه خود را به عنوان افزار رايگان در جولای 1995 نشان داد و اين ابزار به زودی به دست عموم رسيد . در اواخر 1995 مصرف کنندگان ssh به 20000 نفر در 50 کشور رسيد در دسامبر 1995 ، يولنين حفاظت ارتباطات ssh را برای بازار تجارت بنا کرده وآن راگسترش داد ورژن اصلي نرم افزار ssh قطعات متفاوت نرم افزار رايگان را مثل gnu libgmp به کار برد ولی ورژنهای بعدی با ارتباطات مطمئن ssh ارائه شدند که به صورت نرم افزار اختصاصی رو به افزايش تکميل شدند
در سال 1996 ، يک ورژن اصلاحی پروتوکول (شبکه) ،ssh-2 طراحی شد،با طرح های ssh-2وssh1 هردو پيشرفتهای ظاهری وامنيتی ssh-1،در تضاد بود . حفاظت بهتر برای مثال کليد تبادل هلمن –ديفی و درستی کامل کدهای معتبر پيام به واقعيت پيوست . طرح های جديد ssh-2 شامل توانايی عبور از هر بخش در يک ارتباط مفرد ssh میباشد در سال 1996 توسعه دهندگان سيستم خواهان يک ورژن نرافزار رايگان شدند که قادر به بازگشت به برنامه اصلی ssh 1.2.12 باشد ،که آخرين سند تحت گواهينامه منبع آزاد بود بی جورن گرون وال بعدا از اين مرکز توسعه يافت . بزودی پس از آن توسعه دهندگان bsd باز کد بی جورن را شکستند کار وسيعی روی آن انجام دادند باخلق ssh باز ، که مجهز به2.6 سند bsd باز شد از اين ورژن يک شاخه شبکه ای برای ورود ssh باز به سيستمهای عملی ديگر شکل گرفت تخمين زده شد که در پايان سال 2000 ،2000000 مصرف کننده sshوجود داشتند همچنان که در سال 2005 ،ssh باز تنها دستگاه متداول است ، باسهلنگاری در شمار وسيعی از سيستمهای عملی وارد می شوند. در اين بين ossh مهجور شده است در سال 2006 ، شبکه ssh نام برده با انتشار IETF توسط گروه RFCs به استاندارد اينترنتی پيشنهادی مبدل گشت کاربردهای ssh
مثالی از کانال سازی يک x11 (x eyes) در ssh . ssh به طور متداول به کار می رود با يک شبکه پيرو ssh که شبکه نهايی را پشتيبانی می کند برای اداره ريموت شبکه اصلی ssh از طريق (کاراکتر-هود) می تواند به عنوان يک انتخاب برای يک شبکه آزاد می باشد در ترکيب با sftp ، به عنوان يک انتخاب مطمئن FTP که می تواند بسيار آسان در يک مقياس کوچک بدون ضمانت X.509 وشالوده کليد عمومی تنظيم شود در ترکيب با rsync برای بازگشت ، کپی وفايلهای آينه ای به طور مؤثرومطمئن. در ترکيب باscp ،به عنوان يک انتخاب مطمئن برای انتقال های rcp – بيشترمواقع در محيطunix به کار می رود برای فرستادن ورودی يا کانال سازی ، به طور متناوب به عنوان يک انتخاب به يک vpn کامل در اين نوع کاربرد ،يک يک ارتباط tcp/ip (نامطمئن )از يک در خواست خروجی هدايت می شود به برنامه ssh (شبکه اصلی يا پيرو)، که آن را به ديگر قسمتهای sshمی فرستد (شبکه اصلی يا پيرو)، که در برگشت ارتباط را به مقصد خواسته شده می فرستد.ارتباط فرستاده شده فقط ما بين شبکه اصلیو پيرو ssh محافظت می شود. کاربرد فرستادن ورودی ssh شامل دستيابی به شبکه اصلی بانک اطلاعات ، خدمات ايميل، حفاظت x11 ،صفحه ريموت ويندوز وارتباطات vnc يا حتی فرستادن فايلهای ويندوز می باشد. اين از آغاز برای کانال سازی ارتباطات در سيستم محافظتی مفيد است که بطور روزمره آنگونه از ارتباطات را مسدود ميکند ، وبرای محافظت از شبکه ها که به طور طبيعی محافظت نمی شوند مثل(vnc ) . ssh وصفحه ريموت .سه کامپيوتر ، کامپيوتری که صفحه ريموت وssh را می گذرد ، يک کاپيوتر که دستيابی به يک شبکه ريموت رادر نظر بگيرد، وآخرين کامپيوتری که شما می خواهيد صفحه ريموت را نمايش دهيد "Ssh-l3389:mytarget.my company.net:3389sshtarget.my company.net." فقط ثبت در کامپيوتر وسطی و کار ديگری روی آن نمی کنيد. قشر ديگری از اولين کامپيوتر باز می کنيدو sshرا می گذرانيد و ميزبان محلی صفحه ريموت را تايپ می کنيد. اين مثال کامپيوتر وسطی را بکار می برد برای فرستادن ورودی 3389 از کامپيوتر آخر به اولين کامپيوتر .اگر در ويندوز ،از ssh عبور کرديد ورودی محلی ديگری را به کار می بريد برای مثال: "Ssh-l3390:mydesktap.my company.net:3389sshserrer.my company.net." باشبکه پيرو دسک تاپ ريموت وندوز ملی شروع کنيد localhost:3390 را تايپ کنيد برای ريموت به "mydesktap.my company.net" بعضی اوقات ممکن است شما از ميزبان محلی خود به يک دستگاه وارد شويد ، بعد از آن جا به دستگاه ديگری ثبت شويد ودر خواست x را عبور کنيد (مثل xterm.matlab ) در دستگاه آخر،برای نشان دادن نمايش محلی خودتان. اين بخصوص برای عبور از در خواست x در بخش ميزبان از (compus) مفيد است ملی بايد به آن بخش ديگر ميزبان وصل شويد که قادر به ثبت ssh در سيستم حفاظتی (campus) باشد ضرورتا ،شما می خواهيد وارد ويندوز x شويد در يک مجموعه ورودي های برگشت به ميزبان که در آنها هستيد. بهترين راه برای اينکار ، استفاده کردن از طرح فوروارد کردن sshx11 می باشد برای unix/linuxبهunix/linux ،در خواست فورواردx11 را با آپشن x (حروف بزرگX ) Ssh-xhost.com فوروارد x11 برای ميزبانهای چندتايی Ssh-xhost a.com ssh-xhost b.com ssh-xhost c .com مطمئن شويد که کانال همه مرحله ها را با عبور از مثلا xterm با ميزبان b سپسc ،درست انجام داده است . اگر اين کارنکرد حرف y ممکن است نياز باشد: Ssh-x-y host a .com ssh-x-y host b ,com ssh-x-y hosta c .com با يک شبکه پيرو ssh که وروديهای متغير را پشتيبانی می کند (به برنامه های ديگر نشان می دهد يک واسط جايگزين socks http connect، Ssh حتما می تواند برای گسترش شبکه مفيد می باشد در يک ارتباط جايگزين مطمئن با استفاده از شبکه اصلی ssh به عنوان جايگزين. با شبکه پيرو ssh که درخواستهای توليد شده ssh را پشتيبانی می کند (بطور متناوب در برنامه های ديگر قرار داده شده برای مثال برای برنامه نمايش شبکه)، برای نمايش ريموت خودکار واداره شبکه های اصلی. کاربرد ورود طبيعی ssh در يک شبکه اصلی، سيستم فايل ssh بطور مطمئن يک هدايت کننده شبکه اصلی را به عنوان يک سيستم فايل در کامپيوتر محلی بسنجد ورژن های جديد تر ssh باز يک پشتيبان vpn دارند. برای راهنمايی های دقيق صفحه انسان بخش شبکه های خصوصی مجازی را مشاهده کنيد معماری ssh
نمودار بسته دوتايی ssh-2
شبکه ssh-2 يک معماری داخلی تميز است (درrfc4251 ) با لايه های بخوبی مجزا شده . اينها هستند: لايه انتقال (rfc-4253 ). اين لايه کليد انتقال اوليه واعتبار شبکه اصلی را به عهده داشته ومحافظت و صحت و درستی و اعتبار را تنظيم می کند. آن به لايه های بالاتر به عنوان واسطه برای فرستادن ودريافت بسته های موضوع 768و32 بايت (هر کدام توسط دستگاه ميتوانند تائيد شوند). لايه انتقال همچنين برای کليد تبادل ، +تنظيم می شود، معمولا پس از 1 گيگا بايت از اطلاعات فرستاده می شود يا پس از 1 ساعت می گذرد، هرکدام که زودتر است اعتبار لايه مصرف کننده (rfc4252 ). اين لايه اعتبار شبکه پيرو را تامين می کند وشماری از روش های قانونی رافراهم می کند . اعتبار شبکه پيرو يک واقعيت متداول است که به وسيله مصرف کننده ها سوء تعبير شده : وقتی شخص وادار می شود که کلمه رمز بسازد، اين تلقين شبکه پيرو ssh است، نه شبکه اصلی. به ندرت به درخواست های رسمی شبکه پيرو جواب می دهد . به طور وسيع روش های قانونی مصرف کننده به شرح زير است: ((کلمه عبور)): يک روش برای ورود مستقيم قانونی کلمه رمز ، شامل يک امکان اجازه تعويض يک کلمه رمز . اين روش توسط همه برنامه ها ارائه نمی شود . ((کلمه عمومی)) : روش برای رسميت کليد عمومی ، معمولا در نهايت جفت کليدهای rsa يا dsa را حمايت می کند، با دستگاه های ديگر نيز اعتبارهای x.509 را پشتيبانی می کند. ((صفحه کليد واسطه )) (rfc 4256 ) : روش قابل تغيير در جايی که شبکه اصلی بيشتر از يک يا دو اشاره می فرستد برای ورود اطلاعات و نمايش شبکه پيرو و برگشت جوابها توسط مصرف کننده . برای ايجاد کلمه رمز معتبر يک زمانه مثل s/key يا id مطمئن. توسط بعضی از ترکيبات ssh باز بکار می روند زمانی که ram ميزبان قانونی رامشخص می کند برای اينکه بطور موثر کلمه عبور قانونی را بسازد ، گاهی اوقات منجر به ناتوانی ورود با يک شبکه پيرو ميشود که فقط از روش قانونی ((کلمه عبور)) آشکار حمايت می کند روشهای قانونی GSSAPI که يک طرح قابل توسعه رابرای انجام اعتبار ssh فراهم می سازد، با استفاده از دستگاه های خروجی مثل kerberos5 يا ntlm ، که نشانه مفرد بر روی صلاحيت بخشهای ssh فراهم می کند. اين روشها معمولا به وسيله دستگاه های تبليغاتی ssh برای استفاده در سازمان ها نشان داده می شود ، اگر چه ssh باز يک دستگاه در حال کار GSSAPI دارد لايه های ارتباطی (rfc4254 ) . اين لايه مفهوم کانال ها ، درخواستهای کانال و درخواست های جهانی را که در خدمات ssh استفاده می شود، تعريف ميکند. يک ارتباط تنهای ssh ، همزمان ميتواند چند کانال را هدايت ميکند ، هر کدام اطلاعات را در دو جهت منتقل ميکند. در خواستهای کانالها برای فرستادن اطلاعات خاص بکار ميرود ، مانند عوض کردن اندازه پنجره نهايی يا کد خروجی يک فرايند شبکه اصلی . درخواستهای شبکه پيرو ssh يک ورودی شبکه اصلی فرستاده می شود با استفاده درخواست جهانی . گونه های کانال استاندارد شامل: ((قشر )) برای قشرهای نهايی، sftp و درخواستهای توليد (exec) (شامل انتقالات scp ) ((tcpip – مستقيم )) برای شبکه پيرو به اصلی ، ارتباطات فوروارد. ((tcpip – فوروارد)) برای شبکه اصلی به پيرو ، ارتباطات فوروارد . اين معماری باز انعطاف پذيری قابل توجهی را فراهم می کند که ssh اجازه مي دهد برای يک مقصد نهايی در حوزه قشر محافظتی استفاده شود . قانون مندی لايه انتقال قابل مقايسه با tls است رسميت لايه انتقال به تنهايی با tls قابل انتقال است : لايه قانونی مصرف کننده باروشهای قانونی مرسوم در سطح بالايی قابل گسترش ميباشد : و لايه ارتباطی توانايی اين را دارد که بخشهای ثانويه چند تايی را به يک ارتباط تنهای ssh تبديل کند ، يک طرح که قابل مقايسه باbeep است ودر tls قابل دسترس نيست هشدارهای امنيتی از آن جايی که ssh-1 نقص های طراحی ذاتی دارد که آن را آسيب مي کند، برای مثال: انسان در حمله ميانی، اکنون بطور عمومی کهنه است و بايد به طور آشکاربا ناتوانی برگشت به ssh-1 ، اجتناب شود .در حالی که بيشتر شبکه های اصلی مدرن وشبکه های پيرو از ssh-2 پشتيبانی می کنند، بعضی از سازمان ها هنوز نرم افزار بدون حمايت از ssh-2 را بکار می برند وبنابراين ssh-1 هميشه نمی تواند اجتناب شود. در همه ورژنهای ssh وشناسايی کليدهای عمومی ناشناخته مهم است قبل از معتبر شناختن آنها. تاييد کليد عمومی مهاجم تاثير از کلمه عبور منتقل شده آشکار گرفته و انسان را در حمله ميانی قرار می دهد
مانند هر شبکه قانونی،ssh می تواند خط حفاظتی از طرف شرکتها يا دولت به شمار بيايد که به مشتري هايشان اعتماد ندارند و می خواهند اطلاعات را استراق سمع کنند. به علاوه ssh در طرح های کانال سازی ساخته شده که برای مصرف کننده ها دستيابی به اطلاعات وسيع ويا بنيان يک نتقطه ورود غير مجاز داخلی در اتصال ssh نسبت به شبکه های ديگر. چگونگی کاربرد کليد رمزنويسی عمومی (با مقايسه) عنوان اصلی :کليد رمز عمومی
نخست،يک جفت کليد رمز نويسی توليد می شود . يکی کليد خصوصی است،ديگری کليد عمومی.
به عنوان مقايسه،آنها مثل کليد خصوصی هماهنگ و قفل عمومی به نظر می آيند. قفل عمومی روی دستگاه ريموت نصب می شود و به وسيله مصرف کننده های قانونی ssh به کار می روند که کليد خصوصي هماهنگ را بکار ميبرند . به عنوان يک مصرف کننده سيستم، شما نبايد اهميت بدهيد که چه کسی قفل را مي بيند يا کپي می کند (مثل کليد عمومی) ،از آن جايی که فقط کليد خصوصی محافظ به آن می خورد. کليد خصوصی بخشی است که راز را در جعبه مطمئن خودش نگه می دارد که فقط با کلمه رمز باز می شود . زمانی که مصرف کننده می خواهد به سيستم ريموت دست يابد ،او جعبه مطمئن را باز می کند با کلمه رمز وکليد اختصاصی را برای رسمی کردن خودش به کار می بردبا قفل کامپيوتر ريموت . نه کلمه عبور ونه کليد اختصلصی دستگاه مصرف کننده را ترک نمی کنند. به هر حال، مصرف کننده نياز دارد به دستگاه محلی اعتماد کند که عبارت رمز را پاک نکند ويا کليد اختصاصی را کپي نکند ، دامی که بيرون از جعبه مطمئن است.
[ویرایش] منابع
- Daniel J. Barrett, Richard E. Silverman, and Robert G. Byrnes — SSH: The Secure Shell (The Definitive Guide), O'Reilly 2005 (2nd edition). ISBN 0-596-00895-3 [1].
- Michael Stahnke — Pro OpenSSH, Apress 2005 ISBN 1-59059-476-2 [2].
- "ANNOUNCEMENT: Ssh (Secure Shell) Remote Login Program", comp.security.unix, 12 July 1995. Original announcement of Ssh by Tatu Ylönen
