faqs.org.ru

 Главная > Программное обеспечение > Программы для Интернет >

Ssh (Secure Shell) FAQ

Секция 1 из 2 - Предыдущая - Следующая

Ssh (Secure Shell)
Frequently asked questions
[Русская редакция]

1. Общие[сопутствующие]-вопросы.

2. Основы Ssh.

3. Где взять и как установить ssh.

4. Приложения Ssh.

5. Проблемы.

6. Разное.


1. Общие[сопутствующие]-вопросы

1.1 Где я могу взять это описание?

Последняя,оригинальная версия[in english] этого документа доступна по адресу http://www.employees.org/~satch/ssh/faq.

Несомненно, интерес представляет домашняя страница SSH http://www.ssh.fi/sshprotocols2.

Этот FAQ был создан на основе оригинального, устаревшего на данный момент FAQ по SSH1 [SSH Protocol-1]: http://www.un i-karlsruhe.de/~ig25/ssh-faq/index.html
(написан Thomas.Koeni g@ciw.uni-karlsruhe.de )

1.2 Куда я могу послать вопросы, поправки и тд, по этому документу?

Пожалуйста шлите их сопровождающему этот FAQ, Steve Acheson (satch@employees.org)


2. Основы Ssh.

2.1 Что такое ssh?

Выдержка из README файла:

Ssh (Secure Shell) это программа для входа в другие компьютеры доступные по сети, для выполнения команд или программ на удаленных компьютерах и для передачи файлов с одного компьютера на другой. Она обеспечивает строгую проверку подлинности и безопасности соединений по незащищенным каналам. И используется как замена rlogin, rsh, и rcp.

Дополнительно, ssh обеспечивает безопасность X-овых соединений и безопасное перенаправление иных, необходимых вам TCP соединений.

2.2 Почему желательно использовать ssh?

Традиционные BSD 'r' - команды (rsh, rlogin, rcp) уязвимы для различных видов хакерских атак. Кроме того, если кто-то имеет "привелигерованный"[root] доступ к машинам сети или возможность физического подключения к сетевым коммуникациям, то это позволит собирать весь проходящий траффик, как входной, так и выходной включая пароли, поскольку TCP/IP является "чистым" протоколом (ssh никогда не посылает пароли в чистом виде).

X Window System имеет тоже достаточное количество "узких" мест в плане безопасности. Но с помощью ssh можно создавать безопасные удаленные X-овые сеансы, которые будут также прозрачны для пользователя как и раньше. Сторонний - косвенный эффект использования ssh при запуске удаленных X-овых клиентских приложений это еще большая простота для пользователя.

При этом можно как и прежде использовать настройки в старых файлах .rhosts и /etc/hosts.equiv, ssh прекрасно их понимает. А если удаленная машина не поддерживает ssh, то сработает "обратный механизм" возврата к rsh, который включен в ssh.

2.3 От каких видов атак ssh защищает?

Ssh защищает от: Другими словами, ssh никогда не доверяет сети; какой-либо "противник" имеющий _определенный_ доступ к сети может лишь _насильно_ разорвать установленное ssh соединение, но никак не расшифровать его, похитить или "обыграть".

Все вышесказанное ВЕРНО лишь при использовании шифрования. Однако Ssh имеет опцию шифрования "none", которая необходима лишь для отладки и ни в коем случае не должна быть использована для обычной работы.

2.4 От каких видов атак ssh не защитит?

Ssh не поможет вам в случае нарушения безопасности вашей машины другими методами. Например, если хакер взломал вашу машину или получил привелигированный-root доступ ИЗНУТРИ, что позволит ему "извратить-перевернуть" и работу ssh тоже.

Если какой-либо недоброжелатель имеет доступ в вашу домашнюю директорию то безопасность так же под вопросом, одной из частых тому причин является, например экспортирование домашней директории по NFS.

2.5 Как он работает?

2.5.1 SSH версия 1.2.x.

Для более обширной информации, прочтите пожалуйста RFC и файл READMEREADME из дистрибутива SSH.

Все коммуникации шифруются с использованием метода IDEA или любым на выбор из следующих: three-key triple-DES, DES, Blowfish. Для обмена ключей шифрования используется RSA метод, данные обмена уничтожаются каждый час(ключи нигде не сохраняются).Каждая машина имеет свой RSA-ключ который используется для проверки достоверности машины при задействии метода "RSA host authentication". Шифрование используетс для предотвращения "IP-Spoofing"; проверка достоверности публичных ключей против "DNS и Routing Spoofing".

RSA-ключи используются для проверки достоверности компьютеров.

Эта статья также включает описание того как ssh работает:

Смотрите также секцию 3.7 Где можно получить помощь? содержащий различные ссылки на материалы в сети по SSH.

2.5.2 SSH версия 2.x (ssh2).

Предложенное RFC доступно в качестве "Internet Draft" с ftp://ftp.ietf.org/internet-drafts/draft-ietf-secsh-architecture-04.txt.


3. Где взять и как установить ssh.

3.1 Какая последняя версия ssh?

Последние оффициальные реализации на данный момент - 1.2.27(ssh1) и 2.0.13(ssh2).

В настоящий момент Ssh работает на Unix-based платформах. И успешно портирован на все "ведущие" Unix ситемы.

3.2 Могу ли я законно использовать ssh?

Реализацию ssh-1.2.27 для OS Unix можно свободно использовать в некоммерческих целях и нельзя продавать как отдельный продукт или часть большого продукта или проекта, иными словами нельзя использовать SSH для извлечения финансовой выгоды без приобретения сепциальной[отдельной] лицензии. Определение "коммерческое использование" в отношении ssh следует воспринимать как извлечение финансовойвыгоды из чего-либо, как например использование ssh для входа на компьютеры заказчика с целью их удаленного администрирования или например, использование в целях безопасного входа к партнерам, продавцам и тд и тп связанных прямо или косвенно коммерческими интересами.

В ходе переписки между "Data Fellows" и ведущим этого FAQ'а были заданы следующие вопросы и соответственно получены ответы:

===============================================================
Чтобы небыло претезий по переводу, оставлен оригинал:

S:  Steve Acheson, FAQ Maintainer
P: Petri Nyman, F-Secure SSH Product Manager for Data Fellows

S>Can a company use the 1.2.26 release of the SSH software freely for
S>internal support and administration without violating the license
S>agreement?
перевод
S>Может ли компания свободно использовать 1.2.26 реализацию SSH
S>в целях внутренней поддержки и администрирования не нарушая при этом
S>соглашения о лицензировании?

P>You can freely use it for internal support and administration of your own
P>equipment located in your premises.
перевод
P>Вы лично можете свободно использовать для внутренней поддержки и
P>администрирования вашего собственного оборудования находящегося
P>в вашей собственности.

S>Does connecting from one machine to another via SSH to
S>read email, do work, etc, violate this agreement?
перевод
S>Нарушает ли соглашение соединение с одной машины на другу по SSH
S>для чтения почты, выполнения работы и тд и тп?

P>No, unless you provide this ability to a third party or connect to a third
P>party's computer to provide a service.
перевод
P>Нет, в том случае если если вы для использования этих сервисов соединяетесь
P>с компьютерами _третьей_стороны_ или предоставляете сервис _третьей_стороне_.

S>Does connecting from a purchased PC client SSH software to a non-licensed
S>SSH server violate the agreement?
перевод
S>Нарушается ли соглашение если соединение установлено между клиентом
S>SSH имеющим лицензию и нелицензированным SSH сервером?

P>No.
перевод
P>Нет.

S>Does connecting to a remote site, that is not company owned, but company
S>administered, via SSH to do administrative work violate the agreement?
перевод
S>Нарушается ли соглашение если устанавливается соединение с компьютером не принадлежащим
S>компании, но ею администрируется, с целью проведения административных работ.

P>Yes. You need a commercial license for that.
перевод
P>Да. Для таких целей необходимо приобрести лицензию.

===============================================================

Unix версии ssh 2.0.13 могут быть использованы ТОЛЬКО в случае персонального использования или в целях обучения (см. license agreement). В случае коммерческого использования необходимо купить лицензию у Data Fellows.

Более ранние версии ssh имеют менее ограниченную лицензию; читайте об этом в файле COPYING сопровождающем дистрибутив каждой версии.

В некоторых странах, особенно Франции, России, Ираке и Пакистане, вовсе запрещено использование шифрования без особого на то разрешения.

Если находитесь в USA, то должны осозновать что любая попытка экспортировать ssh за пределы штатов будет рассматриваться как уголовно-наказуемая, сюда же относится и попытка размещения на ftp серверах находящихся за пределами USA, не взирая на то что сам SSH был написан за пределами USA и с использованием лишь свободно доступных материалов. Для получения более полной информации обращайтесь в ведомство "Defence Trade Controls".

Алгоритмы RSA и IDEA, которые используются в ssh, имею самостоятельные патентные права в разных странах, включая US. Вместо них можно воспользоваться библиотекой RSAREF, однако законность использования в некомерческих целях ssh в US в таком случае, может восприниматься двояко. Вам может понадобиться приобретение лицензии для коммерческого использования IDEA; однако ssh будет прекрасно работать будучи сконфигурирован и без него.

Для более подробной информации читайте файл COPYING из дистрибутива ssh.

3.3 Что можно сказать о коммерческом использовании ssh?

Некомерческое использование версии ssh 1.2.x было совершенно свободно в Unix среде и почти определенно останется таковым в будущем.

Использование версии ssh 2.x было существенно ограничено.

Tatu Ylonen, автор ssh, организовал компанию "SSH Communications Security Oy" которая обеспечивает коммерческую поддержку и лицензирование ssh. Эта компания работает совместно с "Data Fellows", которая занимается продажей ssh лицензий. Более полную информацию можно найти на http://www.datafellows.com/ и http://www.ssh.fi/.

3.4 Где можно взять ssh?

Центральный адрес распространения ssh ftp://ftp.cs.hut.fi/pub/ssh/.

Официальная версия имеет PGP-подпись с ключом ID

DCB9AE01 1995/04/24 Ssh distribution key <ylo@cs.hut.fi>
Key fingerprint =  C8 90 C8 5A 08 F0 F5 FD  61 AF E6 FF CF D4 29 D9
Ssh также доступен через анонимный доступ по ftp со следующих адресов:
Australia:
ftp://coombs.anu.edu.au/pub/security/ssh
Chile:
ftp://ftp.inf.utfsm.cl/pub/security/ssh
Finland:
ftp://ftp.funet.fi/pub/unix/security/login/ssh
Germany:
ftp://ftp.cert.dfn.de/pub/tools/net/ssh
Hungary:
ftp://ftp.kfki.hu/pub/packages/security/ssh
Ireland:
ftp://odyssey.ucc.ie/pub/ssh
Poland:
ftp://ftp.agh.edu.pl/pub/security/ssh
Portugal:
ftp://ftp.ci.uminho.pt/pub/security/ssh
Russia:
ftp://ftp.kiae.su/unix/crypto
Slovenia:
ftp://ftp.arnes.si/security/ssh
United Kingdom:
ftp://ftp.exweb.com/pub/security/ssh
United States:
ftp://ftp.net.ohio-state.edu/pub/security/ssh
United States:
ftp://ftp.gw.com/pub/unix/ssh
На некоторых из зеркал _центрального_архива_, могут отсутствовать некоторые из snapshots[экспериментальные] версий ssh.

3.5 Как установить ssh?

Возьмите файл дистрибутива с ближайшего к вам зеркала, затем распакуйте его
gzip -c -d ssh-1.2.27.tar.gz | tar xvf -
после чего перейдите в директорию ssh-1.2.27, прочитайте файл INSTALL, и следуя рекомендациям установите SSH.

3.6 Может ли установить ssh "непривелигированный" пользователь в OS Unix?

Если вы запустили сервер - sshd, как пользователь отличный от root, вы получите доступ - login только для того пользователя от которого был запущен сам sshd.

Если вы установили клиентскую часть без setuid root, то это не помешает вам соединяться и входить на удаленные сервера, НО вы не сможете использовать форму .rhosts проверки подлинности входящего.

Вы можете запустить sshd из под своего account'а применив опцию -p для использования ssh на непривелигерованном порту (>1024), чтобы иметь возможность соединения с других машин по заданному порту ssh -p. Данный метод, как было замечено выше, позволяет производить соединения только под тем пользователем, под которым был запущен собственно sshd, и как правило демон не перестартует после перезагрузки машины.

Вы сами должны решать какой метод использовать в зависимости от ситуации.

3.7 Где можно получить помощь?

Для начала полностью прочитайте этот документ :-) и то что доступно на основной странице ssh http://www.ssh.fi/sshprotocols2/.

Для пользователей очнь полезно будет введение на http://www.tac.nyc.ny.us/~kim/ssh/.

Автор этого опуса тоже имеет несколько статей об SSH опубликованных в Sunworld журнале.

Введение в SSH, достижения, и тд и тп:

Конфигурирование, установка, и тд и тп:


Если эти ресурсы не помогут, вы можете послать вопрос в группу новостей Usenet comp.security.ssh или отправить свой вопрос в список рассылки пользователей ssh ssh@clinet.fi Для подписки отошлите письмо на majordomo@clinet.fi c

subscribe ssh

в теле письма.

Перед подпиской вы можете поискать ответ на ваш вопрос в архиве на

3.8 Существуют ли версии ssh для Non-Unix операционных систем?

последнее обновление: 1999-07-11

ниже список ssh клиентов и серверов.

  1. каждая строка содержит ссылку на клиента.
  2. список упорядочен по os.
  3. основные распространители не вкючены.
  4. спасибо всем кто прислал дополнения/изменения.

win32

cygnus win32 ( http://sourceware.cygnus.com/cygwin/ )

beos

wince

palm pilot

java

os2

macintosh

openvms

Порт для OS/2 можно взять с ftp://ftp.cs.hut.fi/pub/ssh/os2//">ftp://ftp.cs.hut.fi/pub/ssh/os2/.

Существует список рассылки для версии OS/2. Для подписки отправьте письмо на majordomo@clinet.fi с

subscribe ssh-os2
в теле сообщения.  

3.9 Что можно сказать об администрировании ssh?

Основной проблемой администрирования ssh является управление "host keys"[ключами машин]. Чтобы разрешить клиенту доступ на удаленную машину с использованием проверки на подлинность через "RSA host key", серверу необходимо знать публичные ключи клиентов.

Их можно собирать автоматически, каждую ночь, используя имеющийся в дистрибутиве скрипт написанный на Perl'е make-ssh-known-hosts.pl или с помощью быстрой утилиты ssh-keyscan, доступной с ftp://cag.lcs.mit.edu/pub/dm/ или ftp://ftp.cs.hut.fi/ssh/contrib/.

Thomas Konig написал скрипт разбирающий и анализирующий вывод вышеуказанных утилит, проверяя наличие новых ключей, сообщая о тех host'ах которые сменили свои ключи (дабы предотвратить атаки) и в завершение создавая новый файл ключей. Этот скрипт доступен с http://www.uni-karlsruhe.de/~ig25/ssh-faq/comp-host-list.

На основе этих утилит вы можете написать свои для постоянной проверки public keys. Когда на новых машинах заработает ssh или произойдет изменение ключей на уже работающих, возможно вы захотите высылать уведомления или связаться с хозяевами этих машин напрямую чтобы предупредить возможные атаки хакеров.

3.10 Что известно о других версиях UnixSSH Servers?

Существует список рассылки посвященный дискуссии развития GPL'd SSH сервера и клиента.

http://www.net.lut.ac.uk/psst/

Существенное что из этого родилось это lsh, полностью соответствующий IETF (закрытый на сколько это возможно) sec-sh (SSHv2) клиент сервер.

Попробуйте найти lsh здесь:  http://www.lysator.liu.se/~nisse/archive/

Секция 1 из 2 - Предыдущая - Следующая

Вернуться в раздел "Программы для Интернет" - Обсудить эту статью на Форуме
Главная - Поиск по сайту - О проекте - Форум - Обратная связь

© faqs.org.ru