onf) і клієнт по черзі намагається перевірити їх. Типово клієнт спочатку намагається аутентифицироваться своєю адресою, потім публічним ключем і, якщо нічого не працювало, передає пароль, введений з клавіатури (при цьому пароль шифрується асиметричним шифруванням). Після проходження аутентифікації одним з методів з наявних у клієнта і сервера пар ключів генерується ключ симметрического шифрування, який генерується на підставі свого секретного та віддаленого публічного ключів. Після чого всі наступні дані, передані через ssh, шифруються даними ключем (зазвичай використовується алгоритм aes з довжиною ключа 128 біт). Варто відзначити, що протокол ssh версії 1 мав деякі недоліки в шифруванні трафіка, що і був по суті методом безпечної аутентифікації, тому за сучасними мірками даний протокол вважається небезпечним. Протокол версії 2 підтримує більш сучасні методи шифрування трафіку, також разом з даними надсилаються контрольні суми формату sha або md5, що виключає підміну чи іншу модифікацію переданого трафіку (чого не було у ssh версії 1). br/>
1.1 автентиф користувачів через ssh Нижче будуть приведені всі три способи аутентифікації і їх налаштування unix системах.
) За адресою клієнта:
При даному способі аутентифікації відбувається наступне:
кожен клієнт і сервер мають свої пари ключів RSA, які називаються ключі хоста. При цьому існує кілька методів перевірки адреси клієнта. p align="justify"> Сервер дивиться файли $ HOME/.rhosts, $ HOME/.shosts,/etc/hosts.equiv або/etc/ssh/shosts.equiv, якщо ж сервер налаштований на перевірку ключів клієнтів (а це потрібно в міркуваннях безпеки, тому що інакше зловмисник може підмінити ip клієнта на свій), то він додатково перевіряє/etc/ssh/ssh_known_hosts і $ HOME/.ssh/known_hosts. Природно, що файли, розташовані в домашніх каталогах сервера, діють на користувача, в чиєму каталозі вони розміщені, а файли, розташовані в/etc мають глобальний ефект. Для початку розповім про синтаксис перерахованих вище файлів: - визначає адресу комп'ютера та ім'я користувача, з якої даному користувачеві відкритий доступ (файл розташований в домашньому каталозі користувача). - Аналогічний. Rhosts, але призначений виключно для ssh, тому
використовувати краще саме даний файл. Приклад. Shhosts:. Test.ru user1
userstend.test.ru user1.test.ru user1
/etc/hosts.equiv - також містить пари ім'я машини/ім'я користувача, але має ефект на всіх користувачів.
/etc/shosts.equiv - аналог hosts.equiv, але застосовується тільки ssh, що також більш переважно. Приклад файлу/etc/shhosts.equiv
+ user1.test.ru user1
server.test.ru xakep
Знак + означає дозвіл користувачеві працювати з сервером з даної адреси, знак - забороняє подібну дію.
