Fixer Shell

Pstack Le Shell bloqué ou le SSH est un protocole de réseau qui permet à des données d'être échangées au-dessus d'un fixent le canal entre deux ordinateurs. Le chiffrage fournit la confidentialité et l'intégrité des données. La cryptographie de Public-clef de d'utilisations de SSH au authentifient l'ordinateur à distance et permettent à l'ordinateur à distance d'authentifier l'utilisateur, au besoin.

SSH est typiquement employé pour noter dans une machine distante et pour exécuter des commandes, mais il soutient également le perçant un tunnel , expédiant les ports arbitraires de TCP et les raccordements du X11 ; il peut transférer des dossiers using les protocoles associés du SFTP ou du SCP .

Un serveur de SSH, par défaut, écoute sur le TCP standard gauche 22.

Un programme du client de ssh est typiquement employé pour établir des raccordements à un démon de sshd acceptant les raccordements à distance. Tous les deux sont généralement présents sur la plupart des logiciels d'exploitation modernes , y compris le Mac de OS x , Linux , Solaris et OpenVMS . Le de propriété industrielle, Freeware et versions de la source ouverte de divers niveaux de complexité et de perfection existent.

Histoire

En 1995, le Tatu Ylönen , un chercheur à l'université de technologie de Helsinki , Finlande, a conçu la première version du protocole (maintenant appelé SSH-1 ) incitée par une attaque de mot de passe-reniflement à son réseau universitaire . Le but de SSH était de remplacer le Rlogin plus tôt , telnet et protocoles du rsh , qui n'ont pas fourni la confidentialité forte d'authentification ou de garantie. Ylönen a libéré son exécution comme Freeware en juillet 1995, et l'outil rapidement gagné dans la popularité. Vers la fin de 1995, la base d'utilisateurs de SSH avait devenu 20.000 utilisateurs dans cinquante pays.

En décembre 1995, sécurité des communications fondée par du SSH de Ylönen de pour lancer sur le marché et développer SSH. La version originale du logiciel de SSH a employé de divers morceaux de logiciel gratuit , tel que le libgmp de GNU de , mais versions postérieures libérées par des communications protégées de SSH transformées en de plus en plus le logiciel de propriété industrielle .

En 1996, une version révisée du protocole, le SSH-2 , a été conçue, incompatible avec SSH-1. SSH-2 comporte des améliorations de sécurité et de dispositif au-dessus de SSH-1. Une meilleure sécurité, par exemple, vient par l'échange de clef de Diffie-Hellman de et l'intégrité forte vérifiant par l'intermédiaire dispositifs des codes d'authentification de message de de nouveaux de SSH-2 incluent la capacité de courir tout nombre de sessions de la coquille au-dessus d'un raccordement simple de SSH.

En 1999, les réalisateurs voulant qu'une version de logiciel gratuit soit disponible ont retourné au dégagement 1.12 plus ancien du programme original de ssh, qui était le bout libéré sous un permis de la source ouverte . OSSH de Björn Grönvall a été plus tard développé à partir de ce codebase. Sous peu ensuite, le de réalisateurs d'OpenBSD a bifurqué code de Björn et a effectué le travail étendu là-dessus, créant le OpenSSH , qui s'est transporté avec le dégagement 2. De cette version, un " ; portability" ; la branche a été formée pour mettre en communication OpenSSH à d'autres logiciels d'exploitation.

On l'estime que, à l'extrémité du 2000 , il y avait 2.000 utilisateurs de SSH.

Le en date de 2005 , OpenSSH est l'exécution simple de ssh la plus populaire, venant par défaut dans un grand nombre de logiciels d'exploitation. OSSH en attendant est devenu désuet.

En 2006, le protocole SSH-2 mentionné ci-dessus est devenu une norme d'Internet proposée avec la publication par le " d'IETF ; secsh" ; Groupe de travail de RFCs (voir les références).

Utilisations de SSH

SSH est le plus utilisé généralement :
avec un client de SSH qui soutient les protocoles terminaux , pour l'administration à distance de l'ordinateur serveur de SSH par l'intermédiaire de la console terminale (de caractère-mode)--peut être employé comme alternative à une borne sur un serveur sans tête du ;
En combination avec le SFTP , comme alternative bloquée à ftp qui peut être installé plus facilement sur une petite échelle sans infrastructure de clef publique et certificats du X.509 ;
en combination avec le Rsync au support, copier et le miroir classe efficacement et solidement
en combination avec le SCP , comme alternative bloquée pour le &mdash de transferts de fichier de RCP ; plus employé souvent dans les environnements impliquant Unix
pour l'expédition gauche ou percer un tunnel, fréquemment comme alternative à un véritable VPN . Dans ce type d'utilisation, le raccordement (non-secure) de TCP/IP d'a d'une application externe est réorienté au programme de SSH (client ou serveur), qui l'expédie à l'autre partie de SSH (serveur ou client), qui fait suivre alternativement au raccordement le centre serveur désiré de destination. Le raccordement expédié est chiffré et protégé sur le chemin entre le client de SSH et le serveur seulement. Les utilisations de l'expédition gauche de SSH incluent les serveurs de base de données de accès, serveurs d'email, l'ordinateur de bureau à distance fixant de X11, de Windows et les raccordements du VNC ou même expédiant des parts de dossier de Windows. C'est principalement utile pour percer un tunnel des raccordements par les murs à l'épreuve du feu qui bloqueraient d'habitude ce type de raccordement, et pour les protocoles de chiffrage qui ne sont pas normalement chiffrés (par exemple VNC).
ssh et rdesktop. Trois ordinateurs, l'ordinateur qui courra le rdesktop et le ssh, un ordinateur utilisé pour obtenir l'accès à un réseau à distance, et le bout seront l'ordinateur que vous voulez que le rdesktop montre. " ; ssh - L3389 : mytarget.net : " de 3389 sshtarget. Juste la notation dans l'ordinateur moyen et ne font rien là-dessus. Ouvrir une autre coquille du ssh courant du premier ordinateur et dactylographier le localhost de rdesktop. Cet exemple utilise l'ordinateur moyen pour mettre en communication en avant 3389 à partir de l'ordinateur d'extrémité au premier ordinateur. Si sur Windows, ssh couru using un autre port local, par exemple " ; ssh - L3390 : mydesktop.net : " de 3389 sshserver. Commencer le client de bureau à distance indigène de Windows et dactylographier le localhost : 3390 à l'extérieur dans le " ; mydesktop.net" ;
parfois vous pouvez noter dans une machine de votre centre serveur local, puis ouvrir une session de là à une autre machine, et courir une application de X (par exemple xterm, matlab) sur la dernière machine pour montrer sur votre affichage local. C'est particulièrement utile pour courir des applications de X sur un centre serveur de département de outre du campus mais à ce que vous avez dû se relier par un autre centre serveur de département qui est disponible pour l'ouverture de ssh par le mur à l'épreuve du feu de campus. Essentiellement, vous voulez creuser des rigoles la X-fenêtre par une série d'ouvertures de nouveau au centre serveur auquel vous vous asseyez. La meilleure manière de faire ceci est de se servir du dispositif de X11-forwarding du ssh. Pour unix/Linux à unix/à Linux, forcer une demande de X11-forwarding avec « - l'option de X » (x) profité.com
X11-forwarding pour le multiple traversant accueille le ssh - ssh de → de X hostA.com - ssh de → de X hostB.com s'assurent que le tunnel fonctionne chaque étape de la manière à côté de courir quelque chose comme le xterm sur le centre serveur B puis C. Si ceci ne fonctionne pas - Y peut être nécessaire. ssh - X - ssh de → de Y hostA.com - X - ssh de → de Y hostB.com
avec un client de SSH qui soutient l'expédition gauche dynamique (présentant à d'autres programmes un COGNE ou HTTP « RELIENT » l'interface de procuration), SSH peut même être employé pour passer en revue généralement le Web par un raccordement chiffré de procuration, using le serveur de SSH comme procuration ;
avec un client de SSH qui soutient des demandes d'exec de SSH (fréquemment incluses dans l'autre logiciel, par exemple un programme de surveillance de réseau de ), pour la télésurveillance et la gestion automatisées des serveurs.
en utilisant juste une ouverture normale de ssh sur un serveur, le système de fichiers du SSH peut solidement monter un annuaire sur le serveur comme système de fichiers sur l'ordinateur local.
de plus nouvelles versions d'OpenSSH ont un véritable appui du VPN . Pour des instructions détaillées voir la page d'homme sectionner les réseaux privés virtuels ssh-basés.

Architecture de SSH

Le protocole SSH-2 a une architecture interne propre (définie dans RFC 4251) avec des couches bien-séparées. Ceux-ci sont :
La couche du transport de (RFC 4253). Cette couche manipule l'échange et l'authentification de serveur principaux initiaux et a installé la vérification de chiffrage, de compression et d'intégrité. Elle expose à la couche supérieure une interface pour envoyer et recevoir des paquets de jusqu'à 32.768 bytes chacun de plaintext (davantage peut être permis par l'exécution). La couche transport assure également principal re-échangent, habituellement après que 1 gigaoctet de données ait été transféré ou après 1 heure a passé, celui qui est plus tôt.
La couche de l'authentification d'utilisateur de (RFC 4252). Cette couche manipule l'authentification de client et fournit un certain nombre de méthodes d'authentification. L'authentification est client-conduit par , un fait généralement mal compris par des utilisateurs ; quand un est incité pour un mot de passe, ce peut être l'incitation de client de SSH, pas le serveur. Le serveur répond simplement aux demandes de l'authentification de client. Les méthodes d'authentification employées couramment d'utilisateur incluent ce qui suit :
" ; password" ; : une méthode pour l'authentification de mot de passe franche, y compris un service permettant à un mot de passe d'être changé. Cette méthode n'est pas appliquée par tous les programmes.
" ; publickey" ; : une méthode pour le public clef-a basé l'authentification, habituellement soutenant au moins le DSA ou les keypairs de la RSA , avec d'autres réalisations soutenant également des certificats du X.
" ; clavier-interactive" ; (RFC 4256) : une méthode souple où le serveur envoie un ou plusieurs messages de sollicitation pour présenter l'information et le client les montre et renvoie des réponses verrouiller-dans par l'utilisateur. Utilisé pour fournir l'authentification jetable du mot de passe telle que le S/Key ou le SecurID . Utilisé par quelques configurations d'OpenSSH quand le PAM est le fournisseur fondamental d'authentification de centre serveur pour fournir effectivement l'authentification de mot de passe, menant parfois à l'incapacité d'ouvrir une session avec un client qui soutient juste le " plat ; password" ; méthode d'authentification.
Les méthodes d'authentification du GSSAPI qui fournissent un arrangement extensible pour effectuer l'authentification de SSH using les mécanismes externes tels que Kerberos 5 ou NTLM , fournissant le simple se connectent des possibilités de aux sessions de SSH. Ces méthodes sont habituellement appliquées par des réalisations commerciales de SSH pour l'usage dans les organismes, bien qu'OpenSSH ait une exécution fonctionnante de GSSAPI.
La couche du raccordement de (RFC 4254). Cette couche définit le concept des canaux, demandes de canal et demandes globales using lesquelles des services de SSH sont fournis. Un raccordement simple de SSH peut accueillir les canaux multiples simultanément, chaque données de transfert dans les deux directions. Des demandes de la Manche sont utilisées comme moyen de transmettre par relais des données spécifiques de canal hors bande, telles que la taille changée d'une fenêtre terminale ou le code de sortie d'un processus de serveur-côté. Le client de SSH invite un port de serveur-côté pour être expédié using une demande globale. Les types de canal standard incluent :
" ; shell" ; pour les coquilles terminales, demandes de SFTP et d'exec (transferts y compris de SCP)
" ; diriger-tcpip" ; pour le client-à-serveur raccordements expédiés
" ; expédié-tcpip" ; pour le serveur-à-client raccordements expédiés

Cette architecture ouverte fournit la flexibilité considérable, permettant à SSH d'être employé pour une série de buts au delà de coquille bloquée. La fonctionnalité seule de la couche transport est comparable au TLS ; la couche d'authentification d'utilisateur est fortement extensible avec des méthodes d'authentification faites sur commande ; et la couche de raccordement fournit la capacité de multiplexer beaucoup de sessions secondaires dans un raccordement simple de SSH, un dispositif comparable au SIGNAL SONORE et non disponible dans le TLS .

Attentions de sécurité

Puisque SSH-1 a les pailles de conception inhérentes aux lesquelles rendre lui vulnérables, par exemple, les attaques Homme-dans-le-moyennes il généralement est maintenant considéré désuet et devrait être évité par chute explicitement de neutralisation à SSH-1. Tandis que la plupart des serveurs et clients modernes soutiennent SSH-2, quelques organismes emploient toujours le logiciel sans l'appui pour SSH-2, et SSH-1 ne peut pas toujours être évité ainsi.

Dans toutes les versions de SSH, il est important de vérifier des clefs publiques inconnues avant de les accepter comme valide. L'acceptation de la clef publique d'un attaquant comme clef publique valide a l'effet de révéler le mot de passe transmis et de permettre l'homme dans les attaques moyennes.

Comme avec n'importe quel protocole chiffré, SSH peut être considéré un risque pour la sécurité par des compagnies ou les gouvernements qui ne font pas confiance à leurs utilisateurs et ne souhaitent pas écouter clandestinement leurs communications. En outre SSH a construit dans les dispositifs de perçage d'un tunnel qui le facilitent pour que les utilisateurs réalisent le passage de grands volumes d'information ou pour établissent un point d'entrée pour l'accès centripète non autorisé au-dessus d'un lien de SSH qu'avec d'autres protocoles.

Comment SSH emploie la cryptographie de public-clef (avec l'analogie)

voient également :

la cryptographie de Public-clef de

D'abord, une paire de clefs cryptographiques est produite. On est la clef privée, l'autre est la clef publique. Comme analogie , ils peuvent être considérés comme privé-clef assortie et cadenas public . Le cadenas public est ce qui est installé sur la machine distante et est employé par le ssh pour authentifier les utilisateurs qui emploient la clef privée assortie. En tant qu'utilisateur du système, vous ne vous inquiétez pas qui peut voir ou copier le cadenas (IE la clef publique), puisque seulement la clef privée secrète l'adapte. La clef privée est la pièce que vous gardez le secret à l'intérieur d'une boîte bloquée qui peut seulement être ouverte avec le correct Passphrase . Quand l'utilisateur veut accéder à un système à distance, il ouvre la boîte bloquée avec son passphrase, et emploie la privé-clef pour l'authentifier avec le cadenas sur l'ordinateur à distance. Ni le passphrase ni privé congé de clef la machine de l'utilisateur. Cependant, l'utilisateur doit toujours faire confiance à la machine locale pour ne pas érafler son passphrase ou pour ne pas copier sa privé-clef tandis qu'elle est hors de la boîte bloquée.

Voir également

Comparaison de des clients de SSH
AbsoluteTelnet - un périodique tabulé, commuté, SSH, telnet , et client du SFTP
Le VNC peut être percé un tunnel par SSH pour accéder solidement à une machine distante qui est derrière un mur à l'épreuve du feu
Le Cygwin permet à beaucoup de programmes de Linux/BSD de fonctionner sur Windows, y compris le client d'OpenSSH et le serveur
Tire-bouchon - un outil de qui permet à un utilisateur de courir SSH au-dessus des proxy server du HTTPS * sécurité de couche transport de
Identification
WinSCP
Mastic - client libre de de publication périodique, de telnet et de SSH
TeraTerm - client libre de publication périodique, de telnet et de SSH
SSHFS - protocole bloqué pour partager des dossiers au-dessus de SSH
Dropbear - logiciel libre du client SSH-2 et de serveur utile pour les systèmes inclus

Random links: