PDA

توجه ! این یک نسخه آرشیو شده می باشد و در این حالت شما عکسی را مشاهده نمی کنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مديريت سيستم هاي لينوكسي با SshTAHA
07-01-2009, 04:49 PM
مديريت سيستم هاي لينوكسي با Ssh
بررسي سرويس دهنده SSHدر لينوكس
در هنگام نصب لينوكس، اگر دقت كرده باشيد،اين امكان راداريد كه سرويس دهنده(ssh secure shell) رافعال كنيد. SSH سرويسي براي مديريت ودسترسي به كامپيوتر ياشبكه از راه دور است.rsh و telnet و ftpديگر ابزارهاي برقراري ارتباط ومديريت يك سيستم راه دورهستند اما مكانيزهاي امنيتي در آن هااستفاده نشده است و به راحتي مي توان با شنود كردن ارتباط ميان دو كامپيوتر در سطح شبكه ، به اطلاعات بسيار ارزشمندي مانند اسم ورمز كاربري كامپيوتري راه دور دست يافت.SSH يك تونل ارتتاطي رمز شده ميان دو كامپيوتر به وجود مي آورد و داده هاي به صورت كد شده ميان دو كامپيوتر تبادل مي شوندودر نتيجه حتي در صورت به دست آوردن اطلاعات تبادل شده ميان اين دو كامپيوتر، امكان بهره برداري از آنها وجود ندارد. SSH يك سرويس امنيتي براي مقابله باطيف گسترده اي از حملا ت اينترنتي است. SSH ذاتا يك پروتكل است و استانداردهاي يك ارتباط رمز شده براي اداره يك سيستم از راه دور را فراهم مي كند.1SSHاولين نسخه از اين پروتكل است كه با اصلاحاتيSSH2تبديل شده است. SSH2 ازامكانات وقابليت هاي بيشتري به نسبت نسخه قبلي برخوردار است ودستورات وبرنامه هاي گسترده تري دارد.نسخه رايگان وآزاد اين پروتكل، با نام open SSH توسط گروه سيستم عامل openBSD منتشرمي شود.SSH يك ابزار كاملا خط فرمان است كه فقط در كنسول هاي متني قابل استفاده مي باشدو براي به كارگيري درسيستم هاي mac و ويندوزنيز به كنسول خط فرمان نياز دارد.ارائه راهنماي كاملي از راه اندازي ، پيكربندي واستفاده از سرويس SSH به طور موثر وكارا،كاري خارج از عهده يك مقاله است وكتابي مفصل وجامع را طلب مي كند.هد ف اين نوشتار شناخت اين سرويس امنيتي در كنار قابليت هاي آن درسيستم عامل لينوكس وارائه كليدهايي به خواننده براي
پيگري و مطالعه هدفمند موضوع است.شروع كار باSSH

SSH يك برنامه سرويس دهنده/سرويس گيرنده است.بر روي كامپيوتر راه دوري كه بايد به آن متصل شد،برنامه سرويس دهنده sshd نصب مي شود وبرنامه هاي كاربردي بر روي سيستم هاي كاربران يا مدير سيستمي كه مي خواهد از راه دور كامپيوترمورد نظررااداره كند،اجرا مي شوند.همچنين مي تواناز شاخه etc/ssh/ به فايل هاي پيكربندي برنامه دسترسي داشت.sshdconfig فايل پيكربندي سرويس دهنده sshd است.دايركتوري HIME/ssh$ برروي سيستم هركاربرشامل فايل هايي مانندكليدعمومي وفايل هاي پيكربندي خود كاربرمي باشد.دربسياري از توزيع هاي لينوكس هردو سرويس به صورت پيش فرض نصب و تنظيم مي شوند.SSH از پروتكل SSL براي تبادل اطلاعات رمز شده ميان سيستم ها استفاده مي كند. بنابراين براي كار با SSH به نصب openSSL نياز داريد.در صورتي كه اين دو سرويس برروي توزيع لينوكس نصب نباشند، مي توان با دريافت بسته هاي نرم افزاري آن ها، به نصب وپيكربندي اين دوسرويس اقدام نمود.

جدول1
SSH از دو كليدعمومي(public) وخصوصي (private) براي احرازهويت و رمز گشايي اطلاعات استفاده مي كند. كليد عمومي ميان تمامي كاربران به اشتراك گذاشته مي شود،اما هر كاربر فقط يك كليد خصوصي منحصربه فرد داردكه با استفاده از آن،شناسايي واحرازهويت مي گردد.1 SSH ازالگوريتم رمزنگاريRSA براي كد كردن اطلاعات استفاده مي كند،ولي علاوه براز الگوريتم DSA نيز استفاده مي كند.پس از نصب وپيكربنديSSH، بايد كليدهاي عمومي توليد و ميان سيستم هابه اشتراك كذاشته شوند.
براي راه اندازي يك سرويسSSH پس ازنصب برنامه،مراحل كاربه صورت زيرخواهد بود:
1- توليد كليد هاي عمومي و خصوصي براي هركاربر.
2- به اشتراك گذاري كليد عمومي ميان تمامي كامپيوترهايي كه مي خواهند از سرويسSSH استفاده كنند.
3- دسترسي به حساب كاربري سيستمي كه بايد از راه دور با آن ارتباط داشت.

توليد كليد هاي RSA
پس از نصب سرويس SSH، در اولين گام بايد كليد عمومي وخصوصي ساخته شود.در2 SSH اين امكان وجود دارد كه از هر دو الگوريتم رمزنگاريrsa و dsa براي ساخت كليدها استفاده شود،ولي در1 SSH فقط الگوريتمrsa به كار برده مي شود.براي توليد كليدهايrsa يا dsaازفرمان sshkeygenدر حساب ريشه استفاده مي كنيم
$ssh –keygen-trsa [ [misagh@teamset
بااجرا اين دستوراز مكاني كه مي خواهيد فايل هاي شما در آن جا ذخيره شوند سوال مي شود.آرگومان t باعث نشان دادن مراحل كار ونام ومكان فايل مي شود.مي توانيد با كمك صفحات manاز آرگومان هاي ديگر اين فرمان هم كمك بگيريد. پارامترrsa هم به برنامه مي گويد كه براي رمز كردنusemame وpasswordاز اين الگوريتم استفاده شود.اصطلاحا به عمليات رمز نمودن اطلاعات ويا رمز گشايي آن هاpassphrase گفته مي شود.مي توانيداز الگوريتمdsa هم در SSH2استفاده كنيد. به صورت پيش فرض سيستم، دايركتوري مخفيssh رادر دايركتوري خانگي شما براي ذخيره فايل هادرنظر مي گيرد. (HOME/.ssh$) درssh1 نامidentity.pub ودرSSH2idrsa.pub براي فايل كليد عمومي انتخاب مي شود. در ادامه يك رمز براي كد كردن اسم ورمز كاربري شما و توليد كليد عمومي و خصوصي درخواست مي شود.اگر اين رمز را وارد نكنيد،ممكن است سيستم به صورت پيش فرض يك عدد را انتخاب كند يا مجددا از شما تقاضاي يكpassphrase كند. بعداز اتمام عمليات،اكنون در دايركتوري HOME/.ssh/idrsa$ ياHOME/.ssh/identity$ مي توانيد كليدعمومي وخصوصي توليد شده را مشاهده كنيد.HOME/.ssh/authorizedkeys$ دايركتوري مهم ديگري است كه درهمين شاخه وجود دارد وبايد كليد عمومي تمام كاربران در اين دايركتوري به اشتراك گذاشته شود. پس ازاينكه كليد عمومي ساخته شد،يك كپي ازآن را بايد در دايركتوري به همين نام، ولي برروي كامپيوتري كه مي خواهيد از راه دوربه آن متصل شويد، كپي كنيد. فرمانkeygen اين قابليت را دارد كه بتوانيد يك passphrase جديد براي خود درست كنيد يا آن را تغيير دهيد.براي اين منظور مي توان از آرگومان-p استفاده كرد.اگر تمايل داريد از الگوريتم رمزنگاري dsa درpassphrsae استفاده كنيد، درهمان فرمان بالا das را به جايrsa به كار ببريد.

برقراري يك نشست SSH با سرويس راه دور
براي راه اندازي سرويس دهندهSSH برروي يك سيستم، از دستورزيراستفاده مي شود:etc/init.d/ssh start/برنامه هاي كاربردي زيادي تحت سرويسSSH قابل اجرا هستند. مهمترين آن ها خود برنامهSSH است، با استفاده ازاين برنامه مي توان با يك كامپيوتر راه دور (كامپيوتري خارج از يك شبكهlan ) به يك كامپيوتر شبكه متصل شد و رامين و دستورات خود را در شبكه اجرا كرد ودر اصطلاح ازراه دور به يك كامپيوترlogin كرد. براي آن كه بتوانيدبه يك كامپيوترراه دوردسترسي داشته باشيد، نياز است برروي كامپيوتر مقصد، سرويس دهندهssh فعال باشد وكليدعمومي شما نيزبه اشتراك گذاشته شده باشد. برنامهSSH اين مكان را مي دهد كه وارد ترمينال سيستم راه دور شويد.درست مانند آن كه الان در مقابل آن سيستم ايستاده ايد ومي خواهيد دستورات خود را اجرا كنيد. يا از طريق كنسولX window بتوانيد با محيط هاي گرافيكي سيستم كار كنيد. شكل كلي فرمانSSH به صورت زير مي باشد: ssh hostname
كافي است نام شبكه يا ماشيني كه مي خواهيداز راه دور به آنlogin كنيد را مقابل فرمانssh وارد كنيد.به مثال هاي زير توجه كنيد:
ssh kemel.linuxteam.com
ssh 691.71.151.7
ssh rootrobin
دراين فرمان مي توان نام ماشين يك كاربر خاص را نيز وارد كرد وپس از وارد پسورد سيستم ،مانند اين است كه اكنون در مقابل آن سيستم نشسته ايد:
8 $ssh masteam.totule.com-1client[lient12@masteamclient12]
client@masteam.totule.com (client@masteam.totule.com)'s password:
lastlogin:sat may1912http://pnu-club.com/imported/2009/07/1.gif03 2005 form masteam. Totule.com
$ [lient8@mateam client]
براي خاتمه ارتباط با ماشين راه دور، از فرمان logout استفاده مي شود.
$ logout [client8@mateamclient8]
Connection to mastteam closed
انتقال فايل با برنامه هايscp وsftp
در يك ارتباط راه دور با SSH مي توان فايل راازيك ماشين به ماشين راه دور ديگري انتقال داد. برنامه scp اين امكان را تحت يك نشست SSH فراهم مي كند. ساختارفرمان به صورت زير خواهد بود.
Scp name-of source file name –of –distination file
$ scp myfileclient8[client21 masteam client21]
masteam.totule.com:/lib/myfile
دراين دستورهميشه نام كامپيوتروكاربر پيش از نام دايركتوري يا فايل آورده مي شود.همچنين براي كپي كردن يك داير كتوري ، بايداز آرگومانr استفاده كنيد.
$ scp r reportsclinet8masteam.totule[clinet21masteam clinet21]
.com:/lib/myfile

اگر بخواهيد ازسيستم راه دوري كه به آن login كرده ايد فايلي را به سيستم خود منتقل كنيد، ابتدا با دستور ssh به سيستم راه دور متصل شويد ودر گام بعدي با دستورscp فايل هاي مورد نظر را به سيستم خود منتقل نماييد.
Scp به تمام نياز شما پاسخ مي دهد.اما گروهي از كاربران با پروتكل FTP آشنايي بيشتري دارند وبا تكنيك هاي اين روش انتقال فايل در اينترنت،خو گرفته اند.درSSH2 ،فراهم آورنده اين سرويس sftp است. با اين ويژگي كه شما از يك كنسول حفاظت شده براي تبادل اطلاعات وفايل هاي خود استفاده مي كنيد.
جلوگيري از تكرار
فرض كنيد مسئول يك شبكه كامپيوتري هستيد و بخشي از شبكه در شهر ديگري مستقر است وشمابراي مديريت سيستم ها مجبوريد روزانه چندين دفعه با هر سيستم از راه دورارتباط برقراركنيد. براي هر سيستم بايد يك عملياتpassphrase را انجام دهيدواين،وقت وانرژي زيادي از شما خواهدگرفت. فرمان ssh-agent اين امكانرابه شمما مي دهدكه فقط يك بار مجبورباشيد به سيستم راه دور متصل شويدوبر روي سيستم مقصد سرويسagent را فعال كنيد.در مراجعات بعدي فقط كافي استكه شما دستورات خود را بدون login كردن به سيستم انجام دهيد. پروسه agent كليد خصوصي شما را درحافظه خود نگهداري مي كند تا در ارتباط هاي بعدي ، خود سرويس دهنده عمليات احرازهويت را انجام دهد. به دوطريق مي توان ازسرويس agent استفاده كرد.دراولين حالت با استفاده از مد ssh-agent دستورات وعمليات خود را انجام مي دهيد. مثلا فرض كنيد مي خواهيد به كنسول خط فرمان سيستم راه دوردسترسي داشته باشيدوفرامين خود را در آن تايپ واجرا كنيد :
ssh-agent xterm
اين دستور به شما اجازه مي دهد تمامي دستورات وفرامين خود را بدون نياز به احرازهويت برروي سيستم راه دور انجام دهيد .هربرنامه اي كه درxterm اجرا شود، به كليدخصوصي شما دسترسي خواهدداشت وبا مقايسه آن با كليد عمومي به صورت خودكار، مجوز شما صادرخواهدشد. گفتني است در نخستين بار كه به سيستم راه دور دسترسي پيدا كرديد، قبل ازهرعملياتي بايد سرويس agent را فعال كنيد تا در دسترسي هاي بعدي بتوانيدازاين سرويس استفاده كنيد.
درروش دوم مي توان با استفاده ازمد eval به اجراي سرويسagent در پس زمينه اقدام كرد:
Ssh
Eval ssh-agent $

پيكربندي
از بين فايل هاي ودايركتوري هاي سرويسSSH ، شما بيشتر با فايل هاي sshdconfig وssh/config . كارخواهيدداشت وبايد گزينه هاي آن ها را تنظيم كنيد.
Sshdconfig فايل پيكربندي سرويس دهنده sshd است كه تنظيمات امنيتي وسيستمي ازجمله تعيين شماره پورتSSH ، شماره نسخه پروتكلSSL ،مديريت رمزهاي وعبور كاربران وكاردر بالاترين مجوز دسترسي را دراختيار شمامي گذارد. مهمترين تنظيمات كاربران درفايلssh/config . قرارداردكه هركاربر مي تواندبه صورت مستقيم به آن دسترسي وسرويس SSH سيستم خود را به طوردلخواه تنظيم كند. مهمترين پارامترهاي اين فايل عبارتند از:
Catchmod : براي غير فعال كردن عمليات پرس وجو
Compression : امكان استفاده از قابليت فشرده سازي فايل ها
Escapechar : تنظيمات مرتبط با كاراكترهاي ويژه در سرويسSSH
Forwardagent :امكان استفاده از سرويسagent
Forwardx11 :امكان برقراري يك نشست بامحيط هاي گرافيكي به صورت امن
Hostname : تنظيم شدن نام حقيقي ماشيني كه به آنlogin مي شود
Identityfile : تنظيمات مربوط به فايل هاي شناسهRSA
passwordAuthentication : فعال كردن رمزعبوردرفرايند احراز هويت.
---------------------
منبع:مجله شبكه
شماره 56