SSHポートを設定して使用するには？ ステップバイステップガイド

セキュアシェル、 またはSSHと略される、それが伝送中で最も高度なデータ保護技術の一つです。 同じルータ上で、このような制度の利用だけでなく、送信された情報の機密性を可能にするだけでなく、パケットの交換をスピードアップします。 しかし、誰もがSSHポートを開くには、これまでのように知っている、そしてなぜこのすべてが必要です。 このケースでは、建設的な説明を与えることが必要です。

ポートSSH：何それは、なぜ私たちが必要なのでしょうか？

我々は、セキュリティについて話しているので、この場合には、SSHポートの下でデータの暗号化を提供するトンネルの形で専用チャネルを理解すべきです。

このトンネルの最も原始的なスキームは、ということであるオープンSSHポートは、エンドポイント上のソースおよび復号でデータを暗号化するためにデフォルトで使用されています。 これは以下のように説明することができます、あなたがそれを好きかどうか送信されたトラフィック、強制およびネットワークの出力端子の下で暗号化されたIPSecとは異なり、入口の受信側で。 このチャネル上で送信された情報を復号化するために、受信端末は、特別なキーを使用します。 つまり、転送に介入したり、キーなしで1ができない現時点では、送信されたデータの整合性を損ないます。

ただ、任意のルータ上または追加のクライアントの適切な設定を使用して、SSHポートを開くと、SSHサーバと直接対話するあなたは完全に近代的なネットワーク・セキュリティ・システムのすべての機能を使用できるようになります。 ここではデフォルトまたはカスタム設定によって割り当てられたポートを使用する方法についてです。 アプリケーションでこれらのパラメータは困難に見えるが、そのような接続の組織の理解なしには十分ではありませんかもしれません。

標準のSSHポート

場合は、確かに、最初の順序を決定しなければならないルータのいずれかのパラメータに基づいて、ソフトウェアの種類は、このリンクを活性化するために使用されます。 実際には、デフォルトのSSHポートは異なる設定を持つことができます。 すべては（追加のクライアントポートフォワーディングをインストールし、サーバーに直接接続など。D.）、現時点で使用されているものの方法に依存します。

クライアントは、Jabberのを使用した場合の実施例は、標準ポート22に設定されているが、例えば、正しい接続、暗号化、およびデータ転送ポート443のために、使用されます。

特定のプログラムのために割り当てにルータをリセットするか、または必要条件を実行する必要が処理する ポートフォワーディング SSHを。 それは何ですか？ これは、設定が最新であるにかかわらず、その、インターネット接続を使用して単一のプログラムへの特定のアクセスの目的である プロトコル交換 データ（IPv4またはIPv6）。

技術的な正当化

それはすでに明らかだったとして、標準のSSHポート22が常に使用されていません。 しかし、ここでは、セットアップ時に使用される特性や設定の一部を割り当てる必要があります。

なぜ暗号化されたデータの機密性プロトコルは、純粋に外部（ゲスト）ユーザポートとしてSSHの使用を必要としますか？ しかし、トンネリングが適用されているために、それは、いわゆるリモートシェル（SSH）の使用は、リモートログイン（sログイン）を介して端末管理へのアクセスを獲得し、リモートコピー手続き（SCP）を適用することができます。

また、SSHポートは、ユーザーがリモートスクリプト強制データの暗号化と、前記したように、最も簡単な場合には、あるマシンから別のマシンへの情報の転送であるXのWindowsを実行する必要がある場合に活性化することができます。 このような状況では、最も必要はAESアルゴリズムに基づいて使用されます。 これは、もともとSSH技術で提供された対称暗号化アルゴリズム、です。 だけでなく、可能ですが、必要なそれを使用しています。

実現の歴史

この技術は、長い時間のために登場しています。 私たちはアイシングSSHポートを作成する方法の問題を脇に残し、そしてどのようにすべての作品に焦点を当ててみましょう。

通常は、靴下をもとにプロキシを使用するか、VPNトンネリングを使用するには、下に来ます。 場合にはいくつかのソフトウェアアプリケーションは、このオプションを選択する方が良い、VPNで動作することができます。 ほぼすべての既知のプログラムの今日は、インターネットトラフィックを使用するという事実は、VPNが動作することができますが、簡単にルーティング設定はありません。 これは、プロキシサーバーの場合のように、現在認識されていない、出力ネットワークで生成した端末の外部アドレスを残すことができます。 すなわち、プロキシアドレスを持つ場合は常に変更され、そしてVPNバージョンがアクセスの禁止があるもの以外の特定の領域の固定、と変わりません。

SSHポートを提供しています非常に同じ技術は、フィンランドの工科大学（SSH-1）で1995年に開発されました。 1996年には、改善はこのために、だけでなく、いくつかの西欧諸国では、このトンネルを使用する許可を得ることが時々必要があるが、ソ連崩壊後の空間でかなり広まったSSH-2プロトコルの形で添加、および政府機関からされています。

telnetまたはrloginのとは対照的に、SSHポートを開くことの主な利点は、デジタル署名RSA又はDSA（オープン一対の埋め込みキーの使用）の使用です。 別のマシンによるデータの送受信時に、非対称暗号化アルゴリズムの使用を排除するものではないが、さらに、このような状況で、あなたは、対称暗号化出力の使用を伴うのDiffie-Hellmanアルゴリズムに基づいて、いわゆるセッションキーを使用することができます。

サーバーとシェル

Windowsまたは上 のLinux SSHポートのオープン それほど難しいことではありません。 唯一の問題は、使用されます。この目的のためのツールの種類、です。

この意味では、情報伝達や認証の問題に注意を払う必要があります。 まず、プロトコル自体は十分トラフィックの最も一般的な「盗聴」、いわゆるスニッフィングによって保護されています。 SSH-1は、攻撃に対して脆弱であることが判明しました。 「中間者」のスキームの形式でデータを転送するプロセスへの干渉は、その結果を持っていました。 情報が簡単に傍受し、非常に基本解読できました。 しかし、第二版（SSH-2）は、最も人気のあるものに感謝をセッションハイジャックとして知られている介入のこの種の免疫されています。

セキュリティを禁止

送受信されるデータの点で安全保障のためのように、このような技術を使用して確立された接続の組織は、次のような問題を避けることができます：

• 送信ステップにおいてホスト、「スナップショット»指紋の識別キー。
• WindowsとUNIXライクなシステムのサポート。
• IPおよびDNSアドレス（スプーフィング）の置換;
• データチャネルに物理的にアクセスできるオープンなパスワードを傍受。

実際には、このようなシステムの全体の組織は、「クライアント・サーバ」の原則に基づいて構築された、つまり、特別なプログラムまたは対応するリダイレクトを生成し、サーバへのアドインのコールを介してすべてのユーザーのコンピュータの最初の。

トンネリング

これは、特別なドライバで、この種の接続の実装は、システムにインストールされなければならないことは言うまでもないです。

一般的に、WindowsベースのシステムではIPv4のみをサポートするネットワークでのIPv6の仮想エミュレーション手段の一種であるプログラムシェルドライバマイクロソフトのTeredo、組み込まれています。 トンネルデフォルトのアダプタがアクティブです。 それに関連した障害が発生した場合、あなただけのシステムの再起動をしたり、シャットダウンを実行し、コマンドコンソールからコマンドを再起動することができます。 このような行を無効にするために使用されています。

• netshを;
• インタフェースのTeredoセット状態は無効。
• インタフェースISATAPが無効状態を設定します。

コマンドを入力した後再起動する必要があります。 アダプタを再度有効と無効の状態の代わりに、有効な登録証を確認するには、その後、再び、システム全体を再起動する必要があります。

SSHサーバ

今度は、SSHポートはスキーム「クライアント - サーバ」から始まる、コアとして使用されている方法を見てみましょう。 デフォルトは通常22分ポートに適用され、しかし、上述のように、使用することができ、第四百四十三。 サーバー自体の好みで唯一の問題。

最も一般的なSSH-サーバは、次のように考えられています。

• Windows用：TectiaのSSHサーバ、Cygwinの、MobaSSH、KpyMのTelnet / SSHサーバー、WinSSHD、copssh、freeSSHdとOpenSSHの。
• FreeBSD用：OpenSSHの。
• Linux用：TectiaのSSHサーバ、SSH、OpenSSHのサーバ、LSH-サーバー、にdropbear。

すべてのサーバーは無料です。 しかし、あなたは、企業内ネットワークへのアクセスや情報セキュリティの組織にとって不可欠なセキュリティの一層のレベルを提供するサービスを検索し、支払ったことができます。 このようなサービスのコストが議論されていません。 しかし、一般的に、我々はそれも特別なソフトウェアまたは「ハードウェア」のファイアウォールのインストールと比較して、比較的安価であると言うことができます。

SSHクライアント

変更SSHポートは、クライアントプログラムの基礎やルーターの適切な設定ポート転送で行うことができます。

あなたがクライアントのシェルに触れる場合は、以下のソフトウェア製品は、様々なシステムのために使用することができます。

• Windowsの - のSecureCRT、パテ\キティ、Axessh、ShellGuard、SSHWindows、ZOC、XShell、ProSSHDなど;。。
• マックOS X：iTerm2、VSSH、NiftyTelnet SSH;
• LinuxやBSD：LSH-クライアント、kdessh、OpenSSHのクライアント、Vinagre、パテ。

認証は、公開鍵に基づいて、およびポートを変更しています

今どのように検証し、サーバーの設定に関するいくつかの単語。 最も単純なケースでは、設定ファイル（sshd_configファイル）を使用する必要があります。 ただし、PuTTYなどのプログラムの場合には、例えば、それなしで行うことができます。 他にデフォルト値（22）からの変更SSHポートが完全に基本的です。

主なもの - ポート番号を開くには、（高いポートは単に自然界には存在しない）65535の値を超えていません。 また、MySQLやFTPDデータベースなどのクライアントで使用することができ、デフォルトでいくつか開いているポート、に注意を払う必要があります。 あなたはSSHの設定のためにそれらを指定した場合は、もちろん、彼らは作業を停止します。

これは、同じJabberクライアントが仮想マシン上で、例えば、SSHサーバを使用して同じ環境で実行されなければならないことは注目に値します。 そして、ほとんどのサーバlocalhostが（前述したように、代わりの443）4430に値を割り当てる必要があります。 メインファイルjabber.example.comへのアクセスがファイアウォールによってブロックされたときに、この設定を使用することができます。

一方、転送ポートは、ルールに対する例外の作成とのインターフェイスの設定を使用して、ルータにすることができます。 ほとんどのモデルでは、入力アドレスからの入力は、0.1または1.1を補っ192.168で始まるが、Mikrotikのような機能のADSL-モデムを組み合わせたルータは、終了アドレスは、88.1の使用を含みます。

この場合には、新しいルールを作成し、その後、必要なパラメータを設定し、例えば、外部接続DST-NATをインストールし、ならびに手動で所定のポートは、一般的な設定の下で社会活動の嗜好（アクション）の部分ではありません。 何もここにも複雑ません。 主なもの - の設定の必要な値を指定して、正しいポートを設定します。 デフォルトでは、ポート22を使用することができますが、お客様は、特別な（異なるシステムのための上記の一部）を使用している場合、値を任意に変更することができるが、唯一のように、このパラメータは、ポート番号は、単に利用できませんそれを超えると宣言された値を、超えていません。

あなたが接続を設定すると、クライアントプログラムのパラメータに注意を払う必要があります。 それもデフォルトは通常、600秒のレベルとルート権限を持つリモートアクセス許可にログオンするためのタイムアウトを設定することが望ましい768に設定されているが、その設定では、キー（512）の最小の長さを指定する必要があることかもしれません。 これらの設定を適用した後、あなたはまた、使用いる.rhostsに基づくもの以外のすべての認証権の使用を許可する必要があります（それだけで、システム管理者に必要です）。

とりわけ、システムに登録されたユーザ名、現時点では導入と同じでない場合、それは（危機に瀕しているかを理解する人のための）追加パラメータの導入により、ユーザのssh masterコマンドを使用して明示的に指定する必要があります。

チームの〜/ .ssh / id_dsaには、キーと暗号化方式（またはRSA）の形質転換に使用することができます。 ラインの〜/ .ssh / identity.pub（必ずしもそうとは限らない）を使用して変換して使用する公開鍵を作成します。 しかし、練習が示すように、最も簡単な方法は、SSH-keygenのようなコマンドを使用します。 ここでは、問題の本質は、利用可能な認証ツール（の〜/ .ssh / authorized_keysに）にキーを追加するために、事実のみに縮小されます。

しかし、我々はあまりにも遠くに行っています。 あなたは、ポートの設定SSHの問題に戻ると、あったように明確な変更SSHポートはそれほど難しいことではありません。 しかし、いくつかの状況で、彼らが言うには、必要性が考慮に重要なパラメータのすべての値を取るので、汗をかく必要があります。 構成の問題の残りの部分は、（それが最初に提供されている場合）、任意のサーバーまたはクライアントプログラムの入り口につまるところ、またはルーターのポートフォワーディングを使用します。 しかし、たとえポート22の変更の場合には、デフォルトでは、同じ第四百四十三に、このようなスキームは常に動作しませんが、唯一の同じアドインのJabberを設置する場合には（他の類似体が活性化してそれぞれのポートができることを明確に理解されるべきですそれは）標準とは異なります。 また、特別な注意は、本当に現在の接続を使用することになっている場合は、直接、SSHサーバと相互作用するSSHクライアントの設定パラメータを、与えられるべきです。

残りについては（このようなアクションを行うことが望ましいが）、ポートフォワーディングが最初に提供されていない場合は、SSH経由のアクセスのための設定とオプション、あなたが変更することはできません。 （もちろん、構成サーバー・ベースおよびクライアントを設定する手動で使用されることはありません、しない限り）何の問題も接続を作成し、そのさらなる使用は、一般的には、そこに期待されていません。 ルータ上のルール作りへの最も一般的な例外は、あなたがすべての問題を修正するか、それらを避けることができます。