ССХ означава Сецуре Схелл. То је протокол криптографске мреже за даљинско извршавање наредби, сигурну комуникацију с датумима, даљинско пријављивање у наредбену линију и друге услуге сигурне мреже између два умрежена рачунара. ССХ користи криптографију јавног кључа за аутентификацију удаљеног рачунара и омогућава му да потврди аутентичност корисника, ако је потребно. Омогућава снажну провјеру аутентичности и сигурне комуникацијске канале за које није познато да су сигурни. Користи се као замена за рсх, рлогин, рцп и рдист.


Како се користи сигурна шкољка

  •  Употребом аутоматски генерисаних парова јавно-приватних кључева за једноставно шифрирање мрежне везе, а затим помоћу аутентификације лозинке за пријаву.
  •  Коришћењем ручно генерисаног пара јавно-приватних кључева за обављање аутентификације, омогућавајући веб прегледачима или интернетским програмима да се пријаве без навођења речи. Јавни кључ се поставља на све рачунаре који морају омогућити приступ власнику одговарајућег приватног кључа (власник задржава свој приватни кључ за себе). Иако се аутентификација заснива на приватном кључу, сам кључ се никада не преноси путем мреже током аутентификације.
  •  У свим верзијама ССХ-а потребно је провјерити непознате јавне кључеве прије него што их узмете у обзир или прихватите као валидне.

ССХ штити мрежу од напада попут ДНС споофинга, ИП споофинг и ИП извора усмјеравања. Нападач који је успео да преузме мрежу може само приморати ССХ да прекине везу. Не може да отме везу или репродукује саобраћај када је омогућено шифровање. Када користите ССХ пријаву (уместо рлогин-а) цела сесија пријаве, укључујући пренос лозинке, је шифрована; стога је готово немогуће да аутори сакупљају лозинке.

Које су користи ССХ?

ССХ је протокол који се може користити за бројне апликације на многим платформама који укључује већину УНИКС варијанти (Соларис, Линук и БСД, укључујући Аппле-ов ОС Кс). ССХ имају бројне намене, што укључује следеће:

  •  За осигурање преноса датотека
  •  За пријављивање у шкољку на удаљеном хосту (замена рлогина и Телнет-а)
  •  У извођењу једна наредба на удаљеном хосту (замењује рсх)
  •  Током прегледавања или сурфања Интернетом шифроване проки везе са ССХ клијентима који подржавају СОЦКС протокол
  •  За копирање и зрцаљење датотека ефикасно и сигурно у комбинацији са рсинц-ом да бисте направили сигурносну копију
  •  За тунелирање или прослеђивање порта
  •  За коришћење шифрираног ВПН-а са пуним обећањем
  •  За прослеђивање Кс-а с удаљеног домаћина
  •  У развоју на мобилном или уграђеном уређају који подржава ССХ
  •  У сигурној монтажи директорија на удаљеном серверу као датотечни систем на локалном рачунару помоћу ССХФС
  •  За аутоматско даљинско надгледање
  •  За управљање серверима

Заштита ССХ

Омогућавање даљинске пријаве путем ССХ-а је добро у административне сврхе, али може представљати пријетњу сигурности вашег сервера. Будући да је често мета напада бруталним силама, ССХ приступ мора имати одговарајуће ограничење како би се спречило да треће стране добију приступ вашем серверу.

  •  Употреба нестандардних имена и лозинки налога.
  •  Омогућавањем само долазних ССХ веза са поузданих локација.
  •  Користите фаил2бан или ссхгуард да бисте надгледали нападе бруталним силама и у складу с тим ограничите ИП форсирање грубих напада.

Ево начина заштите ССХ:

  1.  Заштита од бруталних напада – грубо форсирање је једноставан концепт: човек се непрекидно покушава пријавити на веб страницу или у промпт за пријаву на сервер попут ССХ с великим бројем случајних корисничких имена и лозинки. Можете да заштитите од ових напада силе употребом аутоматизоване скрипте која блокира било коју особу која покушава на силу да уђе..
  2.  Ограничите пријаву на корен – обично се не сматра добром праксом дозволити кориснику роот-а да се пријављује без ограничења преко ССХ-а.

Постоје два начина на које ССХ приступ роот-у може бити ограничен ради веће сигурности:

 негирати

Колективна права селективне одредбе за радње које захтевају ове, без тражења аутентичности на роот рачуну. Ово не дозвољава приступ коријенском налогу путем ССХ-а и потенцијално функционише као мјера заштите против ових грубих напада, сада када нападач мора да погоди име рачуна уз лозинку.

Ограничи

Неки аутоматизовани задаци, као што су фулл-систем, удаљена сигурносна копија, требају потпуни приступ роот-у. Да бисте их омогућили на сигуран начин, а не да онемогућите пријаву на роот путем ССХ-а, морате дозволити роот пријаве само за одабране наредбе.

Да ли веб хостинг чвор пружа ССХ приступ?

Нажалост, у овом периоду веб хостинг центар не пружа или не нуди ССХ приступ из безбедносних разлога. Према речима особља поменуте компаније за веб хостинг, као део њихове безбедносне политике не дозвољавају ССХ приступ било ком хостинг налогу јер се већина команди може дуплирати помоћу алата који се могу наћи на контролној табли где можете да промените дозволе, учитавање, уређивање и чак брисање датотека.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me