El Shell seguro o el SSH es un protocolo de red que permite que los datos sean intercambiados sobre un asegura el canal entre dos computadoras. La encripción proporciona secreto y la integridad de datos. La criptografía de la Público-llave de las aplicaciones de SSH al authentica la computadora alejada y permite que la computadora alejada authentique a usuario, en caso de necesidad.
SSH se utiliza típicamente para registrar en una máquina remota y para ejecutar comandos, pero también apoya el que hace un túnel, remitiendo los puertos arbitrarios del TCP y las conexiones X11 ; puede transferir archivos usar los protocolos asociados SFTP o SCP .
Un servidor de SSH, por abandono, escucha en el TCP estándar portuario 22.
Un programa del cliente del ssh se utiliza típicamente para establecer conexiones a un demonio del sshd que acepta conexiones alejadas. Ambos están comúnmente presentes en la mayoría de los sistemas operativos moderno, incluyendo el mac OS x, el linux, Solaris y OpenVMS . El propietario, el Freeware y las versiones de la fuente abierta de varios niveles de complejidad y de lo completo existe.
Historia
En 1995, el Tatu Ylönen, investigador en la Universidad Tecnológica, Finlandia de Helsinki, diseñó la primera versión del protocolo (ahora llamado SSH-1 ) incitada por un ataque el contraseña-oler en su red de universidad . La meta de SSH era substituir el Rlogin anterior, el telnet y los protocolos del rsh, que no proporcionaron secreto fuerte de la autentificación o de la garantía. Ylönen lanzó su puesta en práctica como Freeware en julio de 1995, y la herramienta ganada rápidamente en renombre. Hacia finales de 1995, las bases de usuarios de SSH habían venido a 20.000 usuarios en cincuenta países.En diciembre de 1995, seguridad de comunicaciones fundada SSH de Ylönen del para poner y para desarrollar SSH. La versión original del software de SSH utilizó varios pedazos del software libre, tal como libgmp del GNU, pero versiones posteriores lanzadas por las comunicaciones seguras de SSH desarrolladas en cada vez más el software propietario .
En 1996, una versión revisada del protocolo, SSH-2, fue diseñada, incompatible con SSH-1. SSH-2 ofrece mejoras de la seguridad y de la característica sobre SSH-1. Una mejor seguridad, por ejemplo, viene con el intercambio de la llave de Diffie-Hellman y la integridad fuerte que comprueba vía características de los códigos de la autentificación de mensaje nuevas de SSH-2 incluye la capacidad de funcionar con cualquier número de sesiones de la cáscara sobre una sola conexión de SSH.
En 1999, los reveladores quisieran que una versión del programa libre estuviera disponible volvieron al más viejo lanzamiento 1.12 del programa original del ssh, que era el último lanzado debajo de una licencia de la fuente abierta . OSSH de Björn Grönvall fue desarrollado posteriormente de este codebase. Pronto después de eso, el de los reveladores de OpenBSD bifurcó código de Björn e hizo el trabajo extenso sobre él, creando el OpenSSH, que envió con el lanzamiento 2. De esta versión, un " portability" la rama fue formada para virar OpenSSH hacia el lado de babor a otros sistemas operativos.
Se estima que, en el extremo 2000, había 2.
El en fecha 2005, OpenSSH es la sola puesta en práctica más popular del ssh, viniendo por abandono en una gran cantidad de sistemas operativos. OSSH mientras tanto ha llegado a ser obsoleto.
En 2006, el protocolo ya mencionado SSH-2 se convirtió en un estándar de Internet propuesto con la publicación por el " del IETF ; secsh" Grupo de trabajo de RFCs (véase las referencias).
Aplicaciones de SSH
SSH es el más de uso general:con un cliente de SSH que apoya los protocolos terminales, para la administración alejada de la computadora de servidor de SSH vía la consola terminal (del carácter-modo)--puede ser utilizado como alternativa a un terminal en un servidor sin cabeza ;
Conjuntamente con el SFTP, como alternativa segura al ftp que se puede fijar más fácilmente en una pequeña escala sin una infraestructura de llave pública y los certificados X.509 ;
conjuntamente con el Rsync al respaldo, copiar y el espejo archiva eficientemente y con seguridad
conjuntamente con el SCP, como alternativa segura para el transfers&mdash del archivo del RCP ; más de uso frecuente en los ambientes que implican Unix
para la expedición portuaria o hacer un túnel, con frecuencia como alternativa a un hecho y derecho VPN . En este tipo de uso, la conexión (non-secure) del TCP/IP de a de un uso externo se vuelve a dirigir al programa de SSH (cliente o servidor), que lo remite al otro partido de SSH (servidor o cliente), que alternadamente transmite a la conexión el anfitrión deseado de la destinación. La conexión remitida se cifra y se protege en la trayectoria entre el cliente de SSH y el servidor solamente. Las aplicaciones de la expedición portuaria de SSH incluyen los servidores de base de datos de acceso, servidores del email, asegurando la mesa alejada de X11, de Windows y las conexiones VNC o aún remitiendo las partes del archivo de Windows. Esto es sobre todo útil para hacer un túnel conexiones a través de los cortafuegos que bloquearían ordinariamente ese tipo de conexión, y para los protocolos que cifran que no se cifran normalmente (e. Tres computadoras, la computadora que funcionará el rdesktop y ssh, una computadora usada para obtener el acceso a una red alejada, y el último serán la computadora que usted quisiera que el rdesktop exhibiera. " ssh - L3389: mytarget.net: " de 3389 sshtarget. Apenas el registro en la computadora media y no hace nada en él. Abrir otra cáscara del ssh corriente de la primera computadora y mecanografiar el localhost del rdesktop. Este ejemplo utiliza la computadora media para virar adelante 3389 hacia el lado de babor de la computadora del extremo a la primera computadora. Si en Windows, ssh funcionado usar otro puerto local, e. " ssh - L3390: mydesktop.net: " de 3389 sshserver. Comenzar a cliente de escritorio alejado nativo de Windows y mecanografiar el localhost: 3390 al telecontrol en " mydesktop.net"
usted puede registrar a veces en una máquina de su anfitrión local, después abrirse una sesión de allí a otra máquina, y funcionar un uso de X (eg. xterm, matlab) en la máquina pasada a exhibir en su exhibición local. Esto es especialmente útil para funcionar usos de X en un anfitrión del departamento de campus pero a cuál usted ha tenido que conectar a través de otro anfitrión del departamento que está disponible para la conexión del ssh a través del cortafuego del campus. Esencialmente, usted quiere acanalar la X-ventana con una serie de conexiones de nuevo al anfitrión en el cual usted se está sentando. La mejor manera de hacer esto es hacer uso de la característica de X11-forwarding del ssh. Para unix/el linux a unix/al linux, forzar una petición de X11-forwarding con “- la opción de X” (x) capitalizada.com
X11-forwarding para el múltiplo directo recibe el ssh - ssh del → de X hostA.com - ssh del → de X hostB.com se asegura que el túnel esté funcionando cada paso de la manera funcionando algo como el xterm en el anfitrión B entonces C. Si esto no trabaja - Y puede ser necesaria. ssh - X - ssh del → de Y hostA.com - X - ssh del → de Y hostB.com
con un cliente de SSH que apoye la expedición portuaria dinámica (que presenta a otros programas un PEGA o el HTTP “CONECTA” el interfaz del poder), SSH se puede incluso utilizar para generalmente hojear la tela a través de una conexión cifrada del poder, usar el servidor de SSH como poder ;
con un cliente de SSH que apoya las peticiones del exec de SSH (encajadas con frecuencia en el otro software, e. un programa de la supervisión de la red), para el control remoto y la gerencia automatizados de servidores.
usando apenas una conexión normal del ssh en un servidor, el sistema de ficheros SSH puede montar con seguridad un directorio en el servidor como sistema de ficheros en la computadora local.
más nuevas versiones de OpenSSH tienen una ayuda hecha y derecha VPN . Para las instrucciones detalladas ver la página de hombre seccionar redes privadas virtuales ssh-basadas.
Arquitectura de SSH
El protocolo SSH-2 tiene una arquitectura interna limpia (definida en RFC 4251) con capas bien-separadas. Éstos son:
La capa del transporte del (RFC 4253). Esta capa maneja intercambio y la autentificación de servidor dominantes iniciales y fijó la verificación de la encripción, de la compresión y de la integridad. Expone a la capa superior un interfaz para enviar y recibir los paquetes de hasta 32.768 octetos cada uno del plaintext (puede ser permitido más por la puesta en práctica). La capa de transporte también arregla para dominante re-intercambia, generalmente después de que 1 GB de datos se haya transferido o después de 1 hora ha pasado, cualquiera está más pronto.
La capa de la autentificación de usuario del (RFC 4252). Esta capa maneja la autentificación de cliente y proporciona un número de métodos de autentificación. La autentificación es cliente-conducido, un hecho entendido mal comúnmente por los usuarios; cuando uno se incita para una contraseña, puede ser el prompting del cliente de SSH, no el servidor. El servidor responde simplemente a las peticiones de la autentificación de cliente. Los métodos de autentificación ampliamente utilizados de usuario incluyen el siguiente: " password": un método para la autentificación de contraseña directa, incluyendo una facilidad permitiendo que una contraseña sea cambiada. Este método no es ejecutado por todos los programas.
" publickey": un método para el público llave-basó la autentificación, generalmente apoyando por lo menos el DSA o keypairs del RSA, con otras puestas en práctica también apoyando certificados X.
" teclado-interactive" (RFC 4256): un método versátil donde el servidor envía uno o más avisos para inscribir a la información y al cliente los exhibe y devuelve respuestas afinar-en por el usuario. Utilizado para proporcionar la autentificación de una sola vez de la contraseña tal como S/Key o SecurID . Utilizado por algunas configuraciones de OpenSSH cuando el PAM es el abastecedor subyacente de la autentificación del anfitrión para proporcionar con eficacia la autentificación de contraseña, llevando a veces a la inhabilidad de abrir una sesión con un cliente que apoya apenas el " llano; password" método de autentificación.
Métodos de autentificación GSSAPI que proporcionan un esquema extensible para realizar la autentificación de SSH usar mecanismos externos tales como Kerberos 5 o NTLM, proporcionando la sola muestra en capacidad de a las sesiones de SSH. Estos métodos son ejecutados generalmente por las puestas en práctica comerciales de SSH para el uso en organizaciones, aunque OpenSSH tiene una puesta en práctica de trabajo de GSSAPI.
La capa de la conexión del (RFC 4254). Esta capa define el concepto de canales, las peticiones del canal y las peticiones globales usar las cuales se proporcionan los servicios de SSH. Una sola conexión de SSH puede recibir los canales múltiples simultáneamente, cada datos de transferencia en ambas direcciones. Se utilizan las peticiones del canal de retransmitir datos específicos del canal fuera de banda, tales como el tamaño cambiado de una ventana terminal o el código de salida de un proceso del servidor-lado. El cliente de SSH solicita un puerto del servidor-lado para ser remitido usar una petición global. Los tipos de canal estándar incluyen: " shell" para las cáscaras terminales, peticiones de SFTP y del exec (transferencias incluyendo de SCP)
" dirigir-tcpip" para el cliente-a-servidor conexiones remitidas
" remitido-tcpip" para el servidor-a-cliente conexiones remitidas
Esta arquitectura abierta proporciona considerable flexibilidad, permitiendo que SSH sea utilizado para una variedad de propósitos más allá de la cáscara segura. La funcionalidad de la capa de transporte solamente es comparable al TLS ; la capa de la autentificación de usuario es alto extensible con métodos de autentificación de encargo; y la capa de la conexión proporciona la capacidad de multiplexar muchas sesiones secundarias en una sola conexión de SSH, una característica comparable a la SEÑAL SONORA y no disponible en el TLS .
Precauciones de la seguridad
Puesto que SSH-1 tiene defectos de diseño inherentes a los cuales hacer le vulnerables, e., los ataques Hombre-en--medios él ahora se considera obsoleto y se debe generalmente evitar por retraso explícitamente de incapacidad a SSH-1. Mientras que la mayoría de los servidores y de los clientes modernos apoyan SSH-2, algunas organizaciones todavía utilizan software sin la ayuda para SSH-2, y SSH-1 no puede ser evitado así siempre.En todas las versiones de SSH, es importante verificar llaves públicas desconocidas antes de aceptarlas como válido. Aceptar la llave pública de un atacante como llave pública válida tiene el efecto de divulgar la contraseña transmitida y de permitir a hombre en los ataques medios.
Como con cualquier protocolo cifrado, SSH se puede considerar un riesgo para la seguridad por las compañías o los gobiernos que no confía en a sus usuarios y no desea escuchar detras de las puertas en sus comunicaciones. Además SSH ha construido en las características el hacer un túnel que hacen más fácil para que los usuarios alcancen el paso de volúmenes grandes de información o establezcan un punto de entrada para el acceso interno desautorizado sobre un acoplamiento de SSH que con otros protocolos.
Cómo SSH utiliza la criptografía de la público-llave (con analogía)
considera también:
la criptografía de la Público-llave
Primero, un par de las llaves criptográficas se genera. Uno es la llave privada, el otro es la llave pública. Como analogía, pueden ser pensados en como privado-llave que empareja y un candado público . El candado público es qué está instalado en la máquina remota y es utilizado por el ssh para authenticar a los usuarios que utilizan la llave privada que empareja. Como usuario del sistema, usted no cuida quién puede ver o copiar el candado (IE la llave pública), puesto que solamente la llave privada secreta la cabe. La llave privada es la pieza que usted guarda secreto dentro de una caja segura que se pueda abrir solamente con el correcto Passphrase . Cuando el usuario quiere tener acceso a un sistema alejado, él abre la caja segura con su passphrase, y utiliza la privado-llave para authenticarlo con el candado en la computadora alejada. Ni el passphrase ni la máquina privado licencia de la llave del usuario. Sin embargo, el usuario todavía necesita confiar en la máquina local para no raspar su passphrase o para no copiar su privado-llave mientras que está fuera de la caja segura.
Ver también
Comparación de los clientes de SSH
AbsoluteTelnet - un serial tabulada, de marcado manual, SSH, telnet, y cliente SFTP
El VNC se puede hacer un túnel con SSH para tener acceso con seguridad a una máquina remota que esté detrás de un cortafuego
El Cygwin permite que muchos programas de Linux/BSD funcionen en Windows, incluyendo el cliente de OpenSSH y el servidor
Sacacorchos - una herramienta que permite a un usuario funcionar SSH sobre los proxy server HTTPS * seguridad de la capa de transporte
Identificación
WinSCP
Masilla - cliente libre del cuento por entregas, del telnet y de SSH
TeraTerm - cliente libre del cuento por entregas, del telnet y de SSH
SSHFS - protocolo seguro para compartir archivos sobre SSH
Dropbear - cliente libre SSH-2 y software de servidor útiles para los sistemas encajados
.
| Random links: | Bunko de Aozora: C | HiDef | Ferrocarril eléctrico de Nankai | Hasdrubal (Barcid) | Convención nacional republicana 1968 |