Linux
Шрифт:
• -e символ | ^символ | none – определяет escape-символ вместо тильды; попе обеспечивает прозрачную передачу данных;
• -f – перейти в фоновый режим после запроса пароля или парольной фразы;
• -F имя-конфигурационного-файла – разрешает использовать указанный файл в качестве конфигурационного;
• -g – разрешать удаленному хосту подсоединяться к локальным перенаправленным портам;
• -i имя-файла – определяет файл, хранящий RSA/DSA-приватный ключ;
• -k – запретить перенаправление Kerberos;
• -l имя-пользователя – от имени какого пользователя устанавливается соединение;
• -m список-алгоритмов-обеспечения-целостности-соединения – определяет алгоритмы подсчета контрольной суммы;
• -n – направить /dev/null на stdin и перейти в фоновый режим;
• -р порт – соединиться с указанным хостом на удаленном хосте;
• -P – использовать непривилегированный порт для исходящего соединения, чтобы обойти ограничения сетевого экрана;
• -R локальный-порт: хост: удаленный-порт –
• -s – запуск подсистемы на сервере – например, sftp; имя подсистемы задается последним параметром;
• -t – требовать выделения псевдо-tty;
• -T – не выделять псевдо-tty;
• -х – запретить перенаправление XII;
• -X – разрешить перенаправление XII;
• -1 – использовать только SSHl-протокол;
• -2 – использовать только SSI-12-протокол;
• -4 – использовать IPv4;
• -6 – использовать IPv6.
Программы, входящие в пакет OpenSSH
Помимо клиента и сервера, в пакет OpenSSH входят программы, предназначенные для генерации ключей, аутентификации, и программы, призванные заменить набор r-команд.
Программа ssh-keygen
Программа ssh-keygen предназначена для генерации, преобразования и управления ключами. По умолчанию генерирует RSA-ключ. При генерации запрашивается парольная фраза. Забытую парольную фразу восстановить невозможно. Число битов по умолчанию – 1024. Имя файла для хранения публичного ключа образуется из имени файла для частного ключа добавлением суффикса. pub. Ключ хоста должен иметь пустую парольную фразу.
Возможные строки запуска:
• генерирует ключ по указанному пользователем алгоритму:
ssh-keygen [-t rsal|dsa|rsa] [-b бит] [-N парольная-фраза] [-C комментарий] [-f имя-файла-записи] [-q]
• изменить комментарий:
ssh-keygen -c [-Р парольная-фраза] [-С комментарий] [-f файл-с-ключами]
• читает приватный или публичный ключ в форматах OpenSSH и преобразует его в формат SECSH для экспорта в другие реализации SSH:
ssh-keygen -e [-f файл-с-ключами]
• читает приватный или публичный ключ в формате SSH2 или SECSH и преобразует его в формат OpenSSH:
ssh-keygen -i [-f файл-с-ключами]
• позволяет изменить парольную фразу:
ssh-keygen -р [-Р старая-парольная-фраза] [-N новая-парольная-фраза] [-f файл-с-ключами]
• читает приватный ключ OpenSSH DSA и выдает публичный ключ OpenSSH DSA:
ssh-keygen -y [-f файл-с-ключами] Программа ssh-agent
Программа ssh-agent позволяет производить RSA/DSA-аутентификацию. Запускается в начале сессии и устанавливает переменные окружения, с помощью которых остальные программы могут использовать ее для автоматической аутентификации SSH. Параметрами являются имя команды и ее аргументы, ssh-agent завершается при завершении команды. Если имя команды не указано, то ssh-agent запускается в фоновом режиме, а на stdout (стандартный выход, обычно текстовый терминал) выдаются команды экспортирования необходимых переменных окружения.
Опции командной строки ssh-agent:
• -c – позволяет выдавать на stdout команды в стиле csh;
• -s – позволяет выдавать на stdout команды в стиле sh;
• -k – завершить работу агента – по переменной ssh_agent_pid.
Программа ssh-addЭта программа используется для добавления приватных ключей. Программа ssh-add запрашивает парольную фразу, расшифровывает приватный ключ и посылает его ssh-agent. Если терминал недоступен, но определена переменная display, то для ввода парольной фразы используется программа, определенная переменной ssh_askpass. Таким образом, парольная фраза запрашивается только один раз за сеанс, а не при каждом вызове ssh/scp/sftp.
Опции командной строки ssh-add:
• имя файла с приватным ключом; по умолчанию используется ~/.ssh/identity;
• -L – выдает публичные ключи, хранящиеся в ssh-add;
• -d – удалить приватный ключ;
• -D – удалить все ключи.
Программа sftpПрограмма sftp (secure FTP) является клиентом для sftp-сервера, который должен быть описан в опции Subsystem в конфигурационном файле sshd.
Программа sftp позволяет пересылать файлы в режиме, подобном FTP-протоколу, однако осуществляет все операции поверх защищенного транспорта SSH. К сожалению, данный вариант FTP пока не получил широкого распространения.
Опции командной строки:
• [user@]имя-хоста[: dir/] – задает, аналогично FTP, имя пользователя, хост, к которому производится подключение, и каталог подключения;
• -b имя-файла – позволяет читать команды из файла вместо стандартного устройства ввода;
• -C – разрешает использовать сжатие пересылаемых файлов;
• -F имя-конфигурационного-файла-ssh – указывает, какой конфигурационный файл использовать;
• -о опция – передается SSH;
Интерактивные команды, используемые sftp, аналогичны FTP-командам:
• bye – разорвать соединение;
• cd путь – сменить каталог;
• lcd путь – сменить каталог;
• chgrp gid имя-файла – изменить групповой идентификатор файла на указанный в команде;
• chmod mode имя-файла – изменить атрибуты файла;
• chown uid имя-файла – изменить владельца файла;
• exit – выйти;
• get [-Р] имя-удаленного-файла [имя-локального-файла] –
• help – позволяет получить справку по командам;
• lls [опции-Is [имя-файла]] – получить список файлов;
• lpwd – пароль;
• mkdir имя – создать каталог;
• put [-Р] имя-локального-файла [имя-удаленного-файла] – выгрузить на сервер файл; ключ -р позволяет сохранить права и время создания и модификации передаваемого файла;
• pwd – пароль;
• quit – выйти;
• rename старое-имя новое-имя – переименовать файл;
• rmdir имя – удалить каталог;
• rm имя-файла – удалить файл;
• symlink старое-имя новое-имя – создать символическую ссылку.
Программа scp Программа scp является аналогом программы гер и осуществляет копирование файлов между хостами, причем оба могут быть удаленными. Способы аутентификации аналогичны SSH. Вызывает SSH для организации канала передачи данных. Имя файла записывается в виде:[[user@]host: ]file
Опции командной строки:
• -c алгоритм-шифрования – передается SSH;
• -i имя-файла – файл с приватным ключом, передается в SSH;
• -о опция – передается SSH;
• -р – сохраняет время модификации, использования и права доступа к файлу;
• -r – позволяет рекурсивно копировать весь каталог;
• -B – пакетный режим – не запрашивать пароль или парольную фразу;
• -C – разрешает производить сжатие при передаче файла;
• -F конфигурационный-файл – определяет альтернативный конфигурационный файл;
• -P port – задает порт сервера;
• -S программа – разрешает использовать указанную программу вместо SSH;
• -4 – использовать IPv4;
• -6 – использовать IPv6.
Программа ssh-keyscanПрограмма ssh-keyscan позволяет собрать публичные ключи хостов, имена хостов задаются в качестве параметров или в файле. Опрос производится параллельно. Опции командной строки:
• -t тип-ключа – задает тип шифрования ключа (rsal, rsa, dsa);
• -T секунд – определяет тайм-аут;
• -f имя-файла – определяет файл, в котором каждая строка содержит имя или адрес хоста;
• -4 – использовать IPv4;
• -6 – использовать IPv6;
• -р удаленный-порт – определяет порт.
Ссылки
• RFC 854. Описание протокола Telnet.
• www.bog.pp.ru/work/ssh.html —Bog BOS: SSH и OpenSSH: принципы работы, установка и настройка.
• www.ssh.com – сайт коммерческой реализации SSH.
• www.openssh.com – сайт некоммерческой реализации SSH.
• www.tigerlair.com/ssh/faq/ – SSH FAQ.
• lib.ru/LABIRINT/telnet.htm – доступ к ресурсам Интернета в режиме удаленного терминала.
• www.mnet.uz/citforum/internet/services/index.shtml— Храмцов П. Б. Администрирование сети и сервисов Internet. Учебное пособие.Глава 29 Firewall
Эта глава посвящена одному из аспектов сетевой безопасности, а конкретно – защите сети от вторжения извне и изнутри. Для защиты локальной сети используется комплекс программного обеспечения, в литературе известный как firewall (брандмауэр), или межсетевой экран. Брандмауэр позволяет «отгородить» систему (или сеть) от жестокого внешнего мира. Он используется для предотвращения получения посторонними данных (или ресурсов) защищаемой сети, а также для контроля за внешними ресурсами, к которым имеют доступ пользователи вашей сети. Конечно, стопроцентной защищенности от проникновения извне или нарушения работоспособности вашей сети или сервисов не даст ни одна система, однако использование брандмауэра (при правильной его конфигурации) может сильно усложнить взломщику задачу.
Чаще всего брандмауэр – это программы маршрутизации и фильтрации сетевых пакетов. Такие программы позволяют определить, можно ли пропустить данный пакет и если можно, то отправить его точно по назначению. Для того чтобы брандмауэр мог сделать это, ему необходимо определить набор правил фильтрации. Главная цель брандмауэра – контроль удаленного доступа извне или изнутри защищаемой сети или компьютера.
Брандмауэр позволяет лишь частично решить проблемы, связанные с обеспечением безопасного функционирования вашей сети. Как бы хорошо он ни был настроен, если вы вовремя не обновили программный пакет, в котором была найдена уязвимость, или кто-то узнал ваши логин и пароль – ждите больших неприятностей. Основная задача брандмауэра – разрешать функционирование только тем службам, которым было явно разрешено работать в вашей сети или защищаемом компьютере. В результате мы получаем маленькую дверцу, через которую в уютный внутренний мирок могут попасть только те гости, которых пропустила ваша охрана, а список этих гостей рекомендуется сузить до минимального.
Основными компонентами брандмауэра являются:
• политика безопасности сети;
• механизм аутентификации;
• механизм фильтрации пакетов.
О практической реализации этих компонентов мы поговорим несколько позже, а пока разберемся, какие бывают брандмауэры.
Совет
Мы настоятельно рекомендуем ознакомиться с книгой Роберта Зиглера "Брандмауэры в Linux", в которой очень подробно и доходчиво объясняется конфигурирование брандмауэров.