أوبنسه هو أداة اتصال رئيس الوزراء لتسجيل الدخول عن بعد مع بروتوكول سش. فإنه يقوم بتشفير جميع حركة المرور للقضاء على التنصت، وخطف الاتصال، وغيرها من الهجمات. وبالإضافة إلى ذلك، يوفر أوبنسه مجموعة كبيرة من قدرات نفق آمنة، عدة طرق المصادقة، وخيارات التكوين المتطورة. تم تطوير أوبنسه من قبل عدد قليل من المطورين من مشروع أوبنبسد وإتاحتها تحت رخصة على غرار بسد. يتم تضمين أوبنسه في العديد من المنتجات التجارية، ولكن عدد قليل جدا من تلك الشركات مساعدة أوبنسه مع التمويل. يمكن إرسال المساهمات نحو أوبنسه إلى مؤسسة أوبنبسد. هذا الموقع كوبيرايت كوبي 1999-2017 OpenBSD. Cygwin سش إنستالاشيون خادم سيغوين سش هو محاكاة بيئة أونيكس و أوبنسه لنظام التشغيل ويندوز. قبل تكوين سيغوين سش، يجب الرجوع إلى ريدمي الموجود في توزيع حزمة سيغوين تحت usrsharedocCygwinopenssh. README. معلومات إضافية يمكن العثور عليها في دليل المستخدمين سيغوين. فيما يلي نظرة عامة عالية المستوى لعملية تثبيت سش. إعداد عميل سش يتطلب الجهاز الذي يقوم بتنفيذ البرنامج النصي الاستعراض فقط عميل سش. لإعداد سيغوين سش المضي قدما مع ما يلي. تسجيل الدخول كمسؤول ويندوز إكس بي - تسجيل الدخول كمستخدم مع امتياز المسؤول ويندوز 2003 سيرفر - تسجيل الدخول كمسؤول محلي، فإنه لن يعمل لمستخدمي المجال أو مشرف المجال. تأكد من أن أدمينوسر الحالي يحتوي على مجموعة كلمة مرور ويندوز. إذا لم يكن كذلك، استخدم لوحة التحكم حسابات غتوسر لإنشاء كلمة مرور. انها فكرة جيدة لتسجيل الخروج وتسجيل الدخول مرة أخرى للتحقق من كلمة المرور تم إنشاؤه بنجاح. إنشاء مجلد c: سيغوين للدليل الجذر و c: سيغوينبغك لتخزين الحزمة تحميل سيغوينز setup. exe من سيغوين وحفظ setup. exe في c: سيغوين. قد تختار تشغيله مباشرة من جلسة التحميل أو انقر فوق ستارت-غترون و اكتب: c: cygwinsetup. exe. كما يمكنك بدء setup. exe سوف يكون في استقبال الإعداد كوتسيغوين صافي الإصدار بروغرامكوت لتنكستغ. على افتراض أنه ليس لديك بالفعل حزم تحميلها على الجهاز الخاص بك يجب تحديد كوتينستال الافتراضي من إنترنيتكوت. ltNextgt. الدليل الجذر هو المكان الذي ستعيش فيه الثنائيات المثبتة النهائية. اختر موقعا. من المستحسن استخدام مسار لا يحتوي على مسافات. لهذا السبب اختر c: سيغوين قمت بإنشائها مسبقا. سيؤدي تحديد كوتال وسرسكوت لخيار كوتينستال فوركوت إلى السماح للمستخدمين الآخرين باستخدام سش. الافتراضي نوع ملف نصي - يوصى ثنائي يونكس. ltNextgt. سوف يطلب منك كوتلوكال حزمة ديركتوريكوت نوع: c: سيغوينبغ. ltNextgt. حدد نوع الاتصال. اختر ما هو قابل للتطبيق. كوتديريكت كونكتيونكوت ربما ينطبق في معظم الحالات لتنكستغ. اختر موقع تنزيل يقع بالقرب منك. ltNextgt. تعرض النافذة التالية حزم البرامج المختلفة المتوفرة. حدد موقع حزمة أوبنسه. وهو يقيم تحت شجرة كوتينتكوت. النقر على كلمة كوتسكيبكوت تحديد الحزمة الناتجة في كوتكسكوت يتم عرضها في مربع الاختيار ثنائي. سيؤدي تحديد أوبنسه إلى تحديد أوبنسل تلقائيا لأنه مطلوب بواسطة أوبنسه. ما لم ترغب في ترك رمز المصدر مربع الاختيار الثاني دون تحديد. انقر فوق التالي لبدء تثبيت سيغوين (حزمة قاعدة المطلوبة) و سش. حجم هذه الحزم هو أكثر من 50MB. بعد تثبيت حزم سيغوين لديك الخيار لإنشاء الرموز على سطح المكتب. إعداد ملقم سش لتفينيشغت كل من الأجهزة التي تقوم بتشغيل عميل براوزشيلد مطلوبة لتشغيل شيطان سدم. لإعداد ملقم سيغوين سشد يجب أولا إكمال الخطوات كوتسه العميل الإعداد الأولي. إذا كنت تسير على اعتماد والحفاظ على بيئة سشد بعد تشغيل المعيار القياسي قد ترغب في قراءة الميزات للتخصيص وخيارات التكوين المعروضة في دليل المستخدمين سيغوين. وتشمل هذه الخيارات إعداد متغير البيئة نتسيك (نت سيكوريتي) وتعديل باث الخاص بك لتشمل c: سيغونبين. على الأقل، لإعداد سشد يجب فتح نافذة سيغوين (عن طريق النقر المزدوج على أيقونة سيغوين) ونوع: سوف يطلب منك الإجابة على بعض الأسئلة. سوف تختلف الأسئلة اعتمادا على ما إذا كنت تريد تشغيل سشد كخدمة أم لا. بمجرد الانتهاء، بدء تشغيل ملقم سشد. بدأت كخدمة: بدأت على سطر الأوامر داخل قذيفة سيغوين: حقوق الطبع والنشر لعام 1996، 2016 بيرفورس سوفتوار، Inc. آخر تحديث: داتيتيم: 20160412 15:41:50 ستيف فريدلز ونيكسويز نصائح تقنية قام العديد من المستخدمين بتنفيذ سيكور شل (سش) إلى توفير الوصول المحمي إلى نظام لينكس عن بعد، ولكن لا ندرك أنه من خلال السماح مصادقة كلمة المرور، فإنها لا تزال مفتوحة لهجمات القوة الغاشمة من أي مكان على شبكة الانترنت. هناك الديدان تشغيل المستشري على شبكة الإنترنت التي تقوم بعمل فعال العثور على تركيبات أوزرنامباسورد ضعيفة، وهذه لا تتوقف عن طريق استخدام شل الآمنة. هذه التقنية تلميح تفاصيل كيفية استخدام العميل بوتي مجانا سش للاتصال بنظام لينكس تشغيل خادم أوبنسه، كل ذلك أثناء استخدام التشفير المفتاح العمومي ودعم سش وكيل. ينطبق الكثير من هذه المعلومات على أي تركيب أوبنسه على أي نظام أونيكس - سولاريس، بسد، أوبنسرفر - لكننا استهدفنا هذا إلى منصة لينكس عندما يتم استدعاء التفاصيل. التركيب و كونفيغلوجين بسيط توفير كامل باسوردليس، القائم على وكيل الوصول يتطلب الكثير من الخطوات، لذلك تقترب جيدا هذا في الخطوات من خلال توفير لأول مرة للوصول إلى كلمة المرور العادية للنظام. وهذا يسمح لاختبار التثبيت الأولي والقدرة على تسجيل الدخول قبل تمكين الميزات أكثر تقدما. تحميل وتثبيت البرامج على عكس معظم برامج ويندوز، لا يتطلب جناح بوتي مثبت: يتم إسقاط الملفات. EXE الفردية ببساطة في دليل حيث يتم تشغيلها مباشرة. نحن نعجب الاقتصاد والأناقة التي يوضح المؤلف بوتيز. يمكن إسقاط الملفات في أي دليل الذي هو في مسار الأمر المستخدمين، ونحن عادة استخدام C: بن (انظر البند التالي لكيفية تكوين هذا). يجب تحميل خمسة ملفات من موقع بوتي. BTTY. exe مداش عميل آمن شل PuTTYgen. exe مداش سش مولد مفتاح بوبليكفيريفات Pagent. exe مدش سش عامل رئيسي PSCP. exe مداش نسخة آمنة من سطر الأوامر PSFTP. exe مداش نسخة آمنة مع واجهة مثل فتب تأكد من أن دليل التثبيت في الأمر المسار على الرغم من إمكانية تشغيل بوتي مع مسار كامل أو اختصار، في الممارسة مفيدة لها عندما يكون متوفرا تماما في موجه سمد للوصول إلى أو نسخ الملفات من أي مكان في نظام الملفات. انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر على سطح المكتب وحدد خصائص. انقر على علامة التبويب خيارات متقدمة في الجزء العلوي، ثم انقر على الزر متغيرات البيئة. هذا إحضار مربع الحوار هو مبين على اليمين. هناك دائما متغير باث في قسم متغيرات النظام، وأحيانا في قسم متغيرات المستخدم أيضا. فقط المسؤولين الوصول إلى متغيرات النظام، لذلك تحرير أو إضافة باث كما هو مطلوب. نحن عادة وضع الدليل الجديد في بداية المسار، وفصلها عن بقية القائمة مع فاصلة منقوطة. انقر فوق موافق لحفظ كافة التغييرات. إنشاء اختصار على سطح المكتب بوتي غالبا ما تستخدم بكثافة من قبل عامل تكنولوجيا المعلومات، لذلك من المفيد أن يكون اختصار على سطح المكتب لجعل لسهولة الوصول إليها. لإضافة هذا، انقر بزر الماوس الأيمن على سطح المكتب وانقر على اختصار جديد. إما تصفح إلى، أو اكتب في اسم مسار مسار بوتي القابل للتنفيذ. في مثالنا، كان C: binputty. exe. انقر فوق موافق وإعطاء اختصار اسم مناسب. إطلاق بوتي وتكوين للنظام الهدف إطلاق بوتي عن طريق الاختصار، وأنه سيتم عرض مربع الحوار التكوين: هناك العديد من الخيارات هنا. ملء جيدا في عدة لتوفير الوصول إلى كلمة السر إلى النظام، ثم تكوين للوصول العمومي مفتاح في وقت لاحق. الفئة: اسم المضيف: دبسيرفر بروتوكول: () اتصال سش. بيانات تسجيل الدخول التلقائي اسم المستخدم: ستيف الاتصال. بروتوكول سش المفضل سش الإصدار: () 2 فقط بمجرد إدخال هذه الإعدادات البسيطة، يمكن حفظها لجعلها سهلة الوصول في المرة القادمة. انقر على الجلسة على اليمين، ثم أدخل اسما في الجلسات المحفوظة - عادة ما يكون هذا الاسم مرتبطا بالجهاز الذي تتصل به. انقر فوق حفظ لتخزين هذه الإعدادات في التسجيل: ويف اختر اسم خادم قاعدة البيانات. تسجيل الدخول مع الإعدادات المحفوظة من الخطوة السابقة، ويد ترغب في استخدامها للاتصال النظام المستهدف. إطلاق بوتي (إذا لم يكن مفتوحا بالفعل)، وفي قسم جلسة، انقر على اسم الدورة المحفوظة وانقر فوق تحميل. انقر فوق فتح لتشغيل الاتصال. عند المطالبة، أدخل كلمة المرور لحسابك على النظام البعيد، وإذا كان صحيحا، فستحصل على قذيفة. الآن يمكنك البدء في العمل على النظام. ومع ذلك - في كل مرة يربط بوتي مع خادم، فإنه يتبادل تحديد في شكل مفاتيح المضيف. إذا كان مفتاح المضيف غير معروف، أو لا تتطابق مع ما رأيناه سابقا، فإنه يحذر المستخدم. بالنسبة للمضيفين غير المعروفين، يكون هذا في الغالب عملية شكلية، ولكن بالنسبة للنظم المعروفة سابقا، قد يوحي بأن المضيف ليس هو نفسه كما كان متصلا في الأصل. مفاتيح المضيف التي تغيرت دون سابق إنذار يمكن أن تحدث عندما يتم إعادة تثبيت نظام التشغيل الهدف دون استعادة مفاتيح المضيف من النسخ الاحتياطي، أو أنه يمكن أن يكون شيئا أكثر شائنة مثل مضيف المارقة تنكر باعتبارها واحدة حقيقية. يجب على المرء دائما الاستفسار عن مفاتيح المضيف غير المتغيرة بشكل غير متوقع إنشاء واستخدام جلسات متعددة عندما يحتاج المستخدم فقط للاتصال مع نظام واحد، من الممكن للبرمجة في هذه المعلمات في الجلسة الافتراضية، ولكن أكثر شيوعا بكثير للوصول إلى أنظمة متعددة. مع القليل من الإعداد، يمكننا بسهولة إنشاء والاتصال بهذه الأنظمة بنقرة واحدة. إنشاء الجلسات وحفظها كما فعلنا في القسم السابق، قم بإنشاء وحفظ العديد من الجلسات المسماة حسب الحاجة، وتقديم ملاحظة لأسماء الجلسات. يمكن الإشارة إلى هذه الأسماء على سطر الأوامر مع المعلمة - load، ويمكن تضمينها في الاختصار. انقر بزر الماوس الأيمن على الاختصار وحدد خصائص، ثم أدخل المعلمة - load جنبا إلى جنب مع اسم الدورة (في علامات الاقتباس، إذا لزم الأمر). انقر فوق موافق لحفظ خصائص الاختصار. كما أنها فكرة جيدة لإعادة تسمية الاختصار لتعكس اسم الملقم الذي يتصل به: انقر بزر الماوس الأيمن على الاختصار وحدد إعادة تسمية. بمجرد تكوين الاختصار الدورة بالكامل، انقر نقرا مزدوجا فوق أيقونة تطلق الاتصال. إنشاء العديد من اختصارات مبرمجة مسبقا حسب الحاجة. إنشاء وتثبيت لوحة المفاتيح العامة العامة الطاقة الحقيقية من شل شل يأتي في اللعب عندما يتم استخدام مفاتيح القطاع العام. وخلافا لمصادقة كلمة المرور، يتم الوصول إلى المفتاح العمومي من خلال إجراء إنشاء لمرة واحدة من زوج من الأرقام الثنائية طويلة جدا التي ترتبط رياضيا. خطوة التكوين الأولي معتدلة المعنية، ولكن لا بد من القيام به مرة واحدة فقط: بمجرد إنشاء، يمكن تثبيت المفتاح بسهولة على العديد من النظم البعيدة على النحو المطلوب. تشغيل بوتيجن مطلوب زوج من مفاتيح بوبليكبيريفات مداش الملفات الصغيرة التي تحتوي على أعداد ثنائية كبيرة جدا مداش، و بوتيجن يفعل ذلك. تشغيلها مرة واحدة فقط لخلق زوج من المفاتيح الشخصية، والتي يتم تثبيتها عند الحاجة. انقر فوق ابدأ. ثم اركض . ثم أدخل بوتيجن في مربع سطر الأوامر. هذا يعرض مربع الحوار الرئيسي، يظهر على اليمين. حدد المعلمات الرئيسية كما هو موضح، ثم انقر فوق إنشاء. لأنه يتم إصلاح دسا كيسيز في 1024 بت، و رسا يمكن جعل مفاتيح أكبر بكثير، نوصي مفتاح رسا 2048 بت. لاحظ أن الافتراضي هو 1024 بت، يجب عليك تجاوز يدويا لتحديد 2048. ملاحظة: لا إنشاء مفتاح سش الإصدار 1 من أي نوع: أنها غير آمنة. سوف يطلب منك إنشاء بعض العشوائية عن طريق تحريك الماوس حولها: وهذا يعطي النظام بعض الإنتروبيا إضافية مما يساعد على خلق مفاتيح أفضل. هذا يستغرق سوى بضع ثوان لتوليد تماما كيباير. حماية وحفظ المفاتيح الآن تم إنشاء كيباير، ولكن موجود فقط في ذاكرة بوتيجنز: يجب أن يتم حفظها إلى القرص ليكون من أي استخدام. على الرغم من أن المفتاح العمومي لا يحتوي على معلومات حساسة وسيتم تثبيته على الأنظمة البعيدة، يجب حماية المفتاح الخاص بقوة: أي شخص يعرف المفتاح الخصوصي لديه تشغيل كامل لجميع الأنظمة البعيدة. يتم حماية المفتاح الخاص عادة باستخدام عبارة مرور، ويتم إدخال هذه العبارة مرتين في الحقول المشار إليها. التعليق اختياري ولكنه عادة عنوان البريد الإلكتروني لمالك المفتاح. ويمكن أيضا أن يكون مجرد اسم أصحاب. لا ننسى عبارة المرور لوحة المفاتيح لا طائل منه دون ذلك. يجب الآن حفظ المفتاح الذي تم إنشاؤه، ويتم ذلك في ثلاثة أجزاء: حفظ المفتاح العام وحفظ المفتاح الخاص على حد سواء موجه للحصول على اسم الملف، ويجب حفظ المفتاح الخاص (مع ملحق. ppk) في مكان آمن. المفتاح العمومي هو في شكل قياسي ويمكن استخدامها بشكل مباشر أو غير مباشر من قبل البرامج الأخرى، ويبدو هذا: المفتاح الخاص هو في شكل بوتي محددة التي لا يمكن استخدامها من قبل أي برنامج آخر. انها لن ينظر من أي وقت مضى في مباشرة من قبل المشغل. تثبيت المفتاح العمومي على نظام لينوكس مع بوتيجن لا يزال مفتوحا، تسليط الضوء على المفتاح العام بأكمله لصق في أوبنسه أذن منطقة ملف واكتب التحكم C لنسخ إلى الحافظة الأنظمة المحلية. هذا هو أساسا نفس البيانات الموجودة في ملف المفتاح العمومي المحفوظ، ولكن في شكل التي يمكن استخدامها مباشرة على نظام لينكس. تسجيل الدخول إلى الكمبيوتر لينكس باستخدام كلمة مرور الحسابات، إنشاء الدليل. ssh إذا لزم الأمر، ثم تحرير الملف. sshauthorizedkeys. سيكون هذا ملف نصي، ويجب لصق الحافظة فيه. المفتاح العام سيكون مجرد خط واحد طويل، و من السهل حقا لصق البيانات بطريقة تقطع الأحرف القليلة الأولى. هذا يجعل المفتاح غير قابل للعمل، لذلك تأكد من أن المفتاح يبدأ سش-رسا أو سش-دسا. حفظ الملف. تأكد من أن كل من الدليل. ssh والملفات الموجودة فيه يمكن قراءتها فقط من قبل المستخدم الحالي (وهذا هو الاحتياطات الأمنية)، وهذا يمكن تحقيقه باستخدام الأمر تشمود مع المعلمات تطبيق الدليل بأكمله: تسجيل الخروج من النظام. ملاحظة - يجب أن يكون مملوكا ملف أذن من قبل المستخدم وغير قابل للقراءة من قبل أي شخص آخر - خادم أوبنسه سوف ينكر تسجيل الدخول إذا لم يكن هذا هو الحال. يمكن للمرء أن تحقق هذا مع الأمر لس: يجب أن يكون الملف وضع - rw -------. إرفاق المفتاح الخاص لجلسة سش الآن بعد إنشاء لوحة المفاتيح العمومية الخاصة، يمكن ربطها بجلسة سش. أولا، وأيضا القيام بذلك في بوتي من خلال إطلاق البرنامج وتحميل الدورة من الفائدة. انتقل إلى اتصال. سش. أوث في جزء الفئة على اليسار، ثم قم بملء ملف المفتاح الخاص لحقل المصادقة من خلال التصفح إلى ملف. pk الذي تم حفظه مسبقا. ملاحظة - مع عملاء سيكور شل الآخرين، رأينا القدرة على إرفاق مفتاح خاص لجميع الجلسات (كجزء من التكوين العالمي)، ولكن مع بوتي يبدو أنه يتطلب تكوين لكل دورة. لم تكن متأكدا لماذا. ارجع الى مستوى فئة الجلسة وقم بحفظ الجلسة الحالية. عند هذه النقطة، بوتي (على ويندوز) و أوبنسه (على لينكس) على حد سواء تكوين لتأمين الوصول العمومي مفتاح. الاتصال عبر المفتاح العمومي الآن بعد أن تم الانتهاء من خطوات التكوين، كانوا على استعداد لتسجيل الدخول في الواقع باستخدام آلية المفتاح العمومي، وتجنب تماما خطوة كلمة المرور. قم بتوصيل بوتي بشكل آمن مع خيارات لتحميل الدورة المحفوظة مع المفتاح الخاص: بدلا من المطالبة بكلمة السر للحسابات (والتي سوف تختلف على كل نظام بعيد)، بدلا من ذلك يسأل عن عبارة المرور التي تحمي المفتاح الخاص المحلي. عندما يناسب المفتاح الخاص في المفتاح العمومي على خادم أوبنسه، الوصول الممنوح و قذيفة المقدمة للمستخدم. من المهم أن نلاحظ أنه على الرغم من أن المستخدم يجب كتابة كلمة سرية عند تسجيل الدخول، ويرتبط عبارة المرور مع المفتاح الخاص المحلي. لا حساب بعيد. حتى إذا تم تثبيت المفتاح العمومي للمستخدمين على 1000 خوادم بعيدة مختلفة، يتم طلب نفس عبارة المرور المفتاح الخاص لكل منهم. هذا يبسط إلى حد كبير مهمة تذكر أوراق اعتماد الوصول ويشجع اختيار قوية وآمنة منها. تعطيل مصادقة كلمة المرور على أوبنسه مرة واحدة يتم التحقق من المستخدمين كيباير العام والخاص على النحو الصحيح، من الممكن تعطيل مصادقة كلمة المرور على خادم لينكس تماما. هذا يحطم تماما كل محاولات كلمة السر التخمين الممكنة ويؤمن بشكل كبير الجهاز. ومع ذلك، بالنسبة للآلات لا المحلية جسديا، من الحكمة أن تؤجل على تعطيل مصادقة كلمة المرور حتى من الواضح تماما أن الوصول إلى مفتاح يعمل بشكل صحيح، وخاصة إذا كان يشارك العديد من المستخدمين. مرة واحدة تم تعطيل مصادقة كلمة المرور، حتى كلمة السر الجذر لن تسمح واحدة في النظام. ويتم تشجيع تلك الجديدة على الوصول إلى المفاتيح العامة لاختبارها بعناية فائقة. يتم العثور على تكوين سش الشيطان في ملف سشدكونفيغ، وغالبا ما يتم تخزينها في الدليل إتشش. هذا هو ملف نصي التي من السهل نسبيا أن تقرأ جيدا أن تبحث عن اثنين من إدخالات لتعديل. الأول هو تعيين باسوردوثنتيكاتيون إلى القيمة لا. قد يتم تعيين هذا بوضوح إلى نعم. أو قد يتم التعليق عليها للاعتماد على الافتراضي، ولكن نود أن تعطيل صراحة هذا: ثانيا، نود أن تعطيل بروتوكول سش الإصدار 1: هذا هو القديم، لديها العديد من نقاط الضعف الأمنية الكبيرة، ويجب ألا يسمح من العالم الخارجي . قم بتحرير ملف التهيئة والتأكد من تعيين الإدخالات الخاصة بكلمتين رئيسيتين بشكل صحيح لتعليق الإدخالات القديمة إذا لزم الأمر. بمجرد حفظ ملف التكوين، يجب إعادة تشغيل الخفي سيكور شل على معظم المنصات يمكن القيام به مع آلية الخدمة: هذا يقتل الخفي الاستماع وإعادة تشغيله، ولكن لا إنهاء أي جلسات المستخدم الفردية الموجودة. أولئك الذين يشعرون أن هذا قد يكون خطوة محفوفة بالمخاطر مدعوون ببساطة لإعادة تشغيل الجهاز. عند هذه النقطة، لن يقبل أوبنسه بعد الآن كلمات السر من أي نوع، مع منح الوصول فقط للمستخدمين الذين لديهم مفاتيح عامة محددة مسبقا. تمكين دعم وكيل سش حتى هذه النقطة، قدمنا طريقة كبيرة من أمن الوصول إلى النظام، ولكن لها لا تزال غير مريحة بشكل رهيب: ما زلنا يجب أن اكتب (نأمل) عبارة مرور معقدة في كل مرة. هذا يمكن أن تحصل مملة عندما تكون هناك أعداد كبيرة من النظم المعنية. لحسن الحظ، يوفر جناح سش آلية رائعة لفتح المفتاح الخاص مرة واحدة، والسماح الاتصالات سش الفردية إلى الظهر على ذلك دون الاستعلام عن عبارة المرور في كل مرة. تشغيل الوكيل انتقل إلى وإطلاق برنامج pageant. exe من نفس موقع الملفات الأخرى ذات الصلة بوتي، وسوف يضع نفسه في علبة النظام (في أسفل اليمين على مدار الساعة). انقر نقرا مزدوجا فوق الرمز في الدرج، ويطلق مربع حوار يحتوي على قائمة فارغة من المفاتيح. انقر على إضافة مفتاح وانتقل إلى ملف. ppk الذي يحتوي على المفتاح الخاص. عند المطالبة بعبارة المرور، أدخله ثم انقر فوق موافق. انقر فوق إغلاق لإقالة الوكيل. الآن، قم بتشغيل أحد جلسات سش التي تم تكوينها مسبقا إلى مضيف بعيد مؤمن ب بوبكي: سيتم الاستعلام عن الوكيل للمفتاح الخاص، وتبادله مع جهاز التحكم عن بعد، ومنح إمكانية الدخول بدون تدخل مستخدم آخر. ملاحظة - القارئ مدروس قد يتساءل كيف يقوم وكيل بتخزين البيانات، وعما إذا كانت البرامج غير موثوق بها هي قادرة على الحصول على هذا المفتاح السري خفي. لم تكن متأكدا كيف يعمل، ولكن لم نسمع من أي وقت مضى من المخاوف الأمنية الحقيقية على هذه الجبهة. حسنا تحديث هذه الوثيقة إذا كنا نتعلم شيئا. التحميل المسبق المفتاح الخاص أول شيء أن العديد من المستخدمين بوتي تفعل عند تسجيل الدخول إلى النظام لهذا اليوم هو إطلاق وكيل وإضافة المفتاح الخاص. هذا هو مجرد خطوات قليلة، ولكن يمكننا تحسينه أكثر قليلا. إذا قمنا بإطلاق الوكيل مع ملف المفتاح الخاص كمعلمة، فإنه يقوم بتحميل المفتاح تلقائيا. انتقل إلى pageant. exe وانقر بزر الماوس الأيمن لنسخ هذا الرمز. الصق هذا ك اختصار على سطح المكتب، ثم انقر بزر الماوس الأيمن وحدد خصائص. أدخل المسار الكامل لملف المفتاح الخاص. ppk كمعلمة، ثم احفظ التغييرات. سيؤدي النقر المزدوج على هذا الرمز إلى تحميل ملف المفاتيح، مطالبا عبارة المرور. دخلت مرة واحدة، تلك المرة الأخيرة التي يحتاجها طالما أن العصي وكيل حولها. هناك القليل جدا لا ترغب في دعم عامل سش. إعادة توجيه الوكيل ولكننا لم نستنفد فوائد دعم عامل سش. لها فوز واضح لتجنب كتابة عبارة المرور في كل مرة يتم فيها تشغيل اتصال جديد، ولكن سش كما يوفر وكيل توجيه التي يمكن أن تمر الاعتماد أسفل الاتصال إلى الملقم البعيد. ويمكن بعد ذلك تمرير هذا الاعتماد إلى خادم آخر حيث تم تثبيت المفتاح العمومي للمستخدمين، أو تجنب كلمات المرور أو عبارة المرور السرية طوال مدة تنقل الشبكة. يقوم المستخدم بتشغيل اتصال إلى الملقم A: بوتي على الجهاز المحلي يحصل على المفتاح الخاص من وكيل ويوفر ذلك إلى الملقم البعيد. يقوم الخادم البعيد بمعالجة البيانات الرئيسية والخاصة والمنح. يتم إعطاء المستخدم قذيفة على النظام المحلي. يحاول المستخدم الاتصال سيستيمب مع سش - A سيستيمب (-A تمكين وكيل الشحن)، وأنه يتصل بخادم سش هناك. النظام B يسأل النظام A للمستخدمين بيانات المفتاح الخاص، وملقم سش على النظام A بدوره إلى الأمام هذا مرة أخرى إلى محطة العمل الأصلية حيث يتم الاستعلام عامل. وكيل محلي يمر البيانات احتياطيا الاتصال، حيث تحويلها من سيستيما إلى سيستمب. سيستمب يتلقى هذا الاعتماد، ويتم منح الوصول عن طريق مقارنة مع المفتاح العمومي المخزنة على هذا الجهاز لهذا المستخدم. يحدث هذا تلقائيا وبسرعة: لا يستغرق الأمر أكثر من ثانية أو اثنتين من أجل تبادل كامل يحدث، وهذا التوجيه يمكن أن تذهب أكثر من سلسلة طويلة من اتصالات سش. وينص ذلك على الوصول الآمن والآمن إلى مجموعة واسعة من الأنظمة البعيدة. ملاحظة - كل هذا يتطلب أن يكون لدى المستخدم حساب على كل جهاز في السؤال، وأن المفتاح العمومي للمستخدمين مثبت بشكل صحيح على كل واحد. سش إعادة توجيه لا توفر أي وصول التي لن تمنح غائبة توجيه فإنه يضيف فقط آلية أكثر ملاءمة لما قدم بالفعل. تمكين إعادة توجيه في بوتي يتم تمكين وكيل إعادة توجيه في الحوارات التكوين بوتي يشبه إلى حد كبير كل ما تبقى، وهناك مربع واحد إضافي تحتاج إلى التحقق. هذا الخيار يتطلب، بطبيعة الحال، استخدام مسابقة على النظام المحلي - دون وكيل، ثيريس شيئا إلى الأمام. يجب محاولة اتصال محمي مفتاح مع عدم وجود وكيل الحالية، سوف بوتي يطالب ببساطة لعبارة المرور كما كان على طول (وسوف تفعل ذلك على كل اتصال). تمكين إعادة التوجيه على الملقم في المثال أعلاه، رأينا أن المستخدم كتابة سش - A المضيف. ولكن مشتركة لجعل استخدام وكيل توجيه الإعداد الافتراضي لإزالة الحاجة إلى اكتب - A. تم العثور على تكوين الملقم أوبنسه في سشدكونفيغ. بينما تكوين العميل في سشكونفيغ (عادة في الدليل إتشش). يمكن تحرير الملف وضبط فورورداجنت على نعم: هذا الإعداد لا يؤثر على الخادم، لذلك لا يتطلب إعادة تشغيل أو عملية خاصة حتى تصبح نافذة المفعول: سوف الاتصال الصادر المقبل تمكين إعادة توجيه تلقائيا. ولا بد من إجراء هذا التغيير مرة واحدة فقط (وتغييره الافتراضي على بعض الأنظمة). نسخ الملفات بشكل آمن مع تكوين بوتي، والوصول إلى المفتاح العام، ودعم وكيل (مع إعادة توجيه)، على استعداد لتجاوز الوصول إلى قذيفة المحطة الطرفية ونقل الملفات حولها. يوفر تأمين شل طرق متعددة لنسخ الملفات من جهاز إلى آخر، وكلها تعمل جنبا إلى جنب مع نفس المفاتيح والوكلاء. يسمح بسكب لنسخ سطر الأوامر من الملفات من وإلى خادم سش بعيد، و بسفتب يوفر واجهة تشبه بروتوكول نقل الملفات لنقل الملفات مريحة. مناقشة جيدا على حد سواء. بسفتب - عميل تشبه بروتوكول نقل الملفات يمكن إطلاق برنامج بسفتب من سطر الأوامر أو من اختصار سطح المكتب، وفي كلتا الحالتين يقبل إما اسم المضيف أو اسم جلسة محفوظة. عندما يتم تشغيله، فإنه يتصل بملقم الهدف (الاستفادة الكاملة من المفاتيح العامة والوكيل المحلي، إن وجدت)، ويعرض موجه بسفتبت: المستخدمين العاديين من عملاء فتب سطر الأوامر سوف تجد هذا مألوف، على الرغم من أنها بالتأكيد لا تصل إلى وسهولة الاستخدام كعملاء واجهة المستخدم الرسومية شعبية. قد یوفر أمر المساعدة بعض الإرشادات. بسب - نسخ آمن قد يرغب المستخدمون في سطر الأوامر لنسخ الملفات مباشرة، ويتم ذلك مع بسكب. الأمر سيكوب كوبي. تماما مثل نسخ الملفات العادية على نظام الملفات المحلي، بسكب يأخذ اسم الجهاز ودليل كمصدر أو الوجهة. بسكب يمكن نقل ملف واحد في وقت واحد أو مجموعة كاملة في مثيل واحد: من المفارقات، اسم الدورة المحفوظة لا تحتاج إلى توفير اسم المضيف واسم المستخدم الحالي (والذي عادة ما يؤخذ تلقائيا من البيئة، ويبدو أن بسفتب و بسكب على حد سواء استشارة قائمة الدورة المحفوظة، والعثور على مباراة مناسبة، ومن ثم استخدام معلومات الوصول المرتبطة، وهذا يجعل لتجربة نقل الملفات على نحو سلس مخاوف أمنية ونقاط أدق تهدف هذه نصيحة تقنية لتوفير مسار سريع لوضع في بيئة آمنة من محطة العمل إلى الخادم، لكنها تخطت العديد من النقاط الأكثر دقة، حيث أن النقطة الكاملة لاستخدام سيكور شل هي الأمن، والأجنحة تكون مقصرة إذا لم نتطرق إلى بعض هذه النقاط هنا، يشير إلى أن المرء يجب أن تأخذ الرعاية عند العمل على نظام غير موثوق به: عند استخدام ميزات متقدمة مثل وكيل الشحن أو مفاتيح خاصة، واحد هو تحت رحمة مشغل معادية. كلوغرز القائم على نواة و تروجانيد بينشش ثنائية ناريز ليست سوى عدد قليل من العديد من المخاطر الواضحة عند العمل في هذا النوع من البيئة. هنا على اتصال جيد على عدد قليل من النقاط غير واضحة ونلاحظ أنه في بيئة موثوق بها والتي تسيطر عليها، وهذه القضايا ببساطة لا تنشأ. حماية مفتاحك الخاص على الرغم من أن المفتاح العمومي ليس سوى مصدر قلق بسيط، إلا أنه يجب حماية المفتاح الخاص بقوة. أي شخص يستطيع الوصول إلى المفتاح الخاص المفكك (إما عن طريق تعلم عبارة المرور، أو الغاشمة - إرغامها) لديه تشغيل كامل لجميع الشبكات حيث يتم تثبيت المفتاح العمومي. ونحن نوصي بشدة الحد بشكل كبير من عدد الأماكن التي يتم الاحتفاظ المفتاح الخاص. نحن نفترض أن التطبيقات موجودة والتي يمكن أن تأخذ ملف المفتاح الخاص ومحاولة الغاشمة قوة المفتاح، على الرغم من أننا لم يتم تشغيلها عبر واحد. يتطلب استخدام الوكيل أجهزة موثوقة عندما يكون عامل مفتاح سش موجودا، سواء كان ذلك على الجهاز المحلي الذي يبدأ الاتصال الصادر أو على أجهزة وسيطة يتم إعادة توجيهها، فمن الممكن تقنيا للمتصلين على هذه الأجهزة للوصول إلى القناة الآمنة . في أوبنسه، يتصل عميل سش مع الوكيل عبر مأخذ مجال أونيكس ضمن دليل تمب (ملف تمبشش-تمبش-DeB10132agent.10132) ويقتصر على المستخدم المحلي. ولكن سوبيروسرز أيضا الوصول إلى مأخذ، وصريح نسبيا لاختطاف وكيل للاتصال نفس الجهاز الهدف. ريلاتد ريسورسز لينوكس و أونيكس سفتب الأمر حول سفتب سفتب لتقف على بروتوكول نقل الملفات آمن. وهو برنامج سطر الأوامر لنقل الملفات بشكل آمن عبر اتصال الشبكة. قد تكون مألوفة بالفعل مع فتب: طريقة بسيطة جدا، وغير آمنة للغاية لتحميل أو تنزيل الملفات عبر اتصال الشبكة. وهو لا يوفر أي نوع من الأمن أو التشفير في الدورة أو في نقل البيانات. سفتب يوفر هذه الوظيفة. فكر في ذلك كنسخة مشفرة من بروتوكول نقل الملفات. ملاحظة: إذا كنت بحاجة إلى نقل الملفات عبر فتب مجهول، سفتب ليس البرنامج للاستخدام. نظرا لأن جميع اتصالات سفتب مشفرة، فإنها تتطلب اسم مستخدم وكلمة مرور (أو مصادقة المفتاح العمومي). لذلك، لنقل فتب مجهول، مجرد استخدام بروتوكول نقل الملفات العادية. بناء سفتبب سفتب ينفذ كافة العمليات خلال جلسة سش مشفرة. ويستخدم العديد من الميزات من سش. مثل مصادقة المفتاح العمومي وضغط البيانات. هناك أربع طرق أساسية لاستخدام سفتب. ويتم تضمين بناء جملة الأوامر لكل منها هنا. (لمزيد من المعلومات حول كل خيار وقيمه المحتملة، راجع قسم الخيارات أدناه). الأول هو جلسة تفاعلية. في هذا الوضع، سفتب يربط ويسجل في المضيف المحدد. ثم يدخل وضع الأوامر التفاعلية، حيث يمكنك كتابة كل الأوامر الخاصة بك في موجه. لبدء جلسة تفاعلية من سفتب. استخدم بناء الجملة التالي: انظر الوضع التفاعلي للحصول على مثال لاستخدام سفتب بهذه الطريقة. يمكنك أيضا استخدام سفتب لاسترداد الملفات تلقائيا، دون أي تفاعل موجه: انظر وضع الاسترجاع التلقائي لمثال استخدام سفتب بهذه الطريقة. أو يمكنك إخبار سفتب لبدء جلسة العمل التفاعلية في دليل بعيد محدد: وأخيرا، يمكنك تشغيل جلسة آلية بالكامل باستخدام الخيار - b. ب يقف على دفعة الوضع. لاستخدام دفعة الوضع، فمن الضروري تكوين المصادقة غير التفاعلية، مثل المصادقة المفتاح العام، بحيث لم يكن لديك لإدخال كلمة مرور يدويا. بناء الجملة سفتب لهذا الوضع هو: للحصول على أمثلة على استخدام وضع دفعي، ودليل لإعداد مصادقة المفتاح العمومي، راجع الوضع الدفعي. في ما يلي وصف لكل خيار من الخيارات المدرجة في بناء الجملة الأوامر المذكورة أعلاه. حدد استخدام الإصدار 1 من البروتوكول الذي يعود إلى عام 1997. يوفر هذا الخيار التوافق مع الخوادم القديمة جدا. إذا لم تكن متأكدا من أنك في حاجة إليها، فلا تحدد هذا الخيار. حدد استخدام الإصدار 2 من البروتوكول الذي يعود إلى عام 1997. ويوفر هذا الخيار التوافق مع الخوادم القديمة جدا. إذا لم تكن متأكدا من أنك في حاجة إليها، فلا تحدد هذا الخيار. أوامر الوضع التفاعلي هي حالة غير حساسة، لذلك لا يهم إذا كنت تهجئة لهم مع رأس المال أو الأحرف الصغيرة (أو مزيج من الاثنين معا). ومع ذلك، لا تزال أسماء الملفات حساسة لحالة الأحرف. يجب أن يكون أي ملف أو أسماء الدليل التي تحتوي على مسافات محاطة بعلامات اقتباس، أو سيقوم الخادم بتفسيرها كأسماء منفصلة. وضع الاسترجاع التلقائي في هذا الوضع، يمكنك تحديد اسم المسار المحدد للملف (أو الملفات) التي تريد استردادها في الأمر سفتب نفسه. على سبيل المثال، إذا كنت ترغب في الحصول على ملف documentportfolio. zip من ملفات الملقم البعيد. ميست (حيث اسم المستخدم الخاص بك هو اسم)، يمكنك استخدام الأمر: عند تشغيل هذا الأمر، سوف سفتب الاتصال files. myhost. أطلب منك كلمة المرور الخاصة بك، وبمجرد أن المصادقة سوف تحاول تحميل documentportfolio. zip الملف. بما أننا لم نضع شرطة مائلة في بداية اسم الدليل، فسوف ننظر للمستندات في الدليل الرئيسي الخاص بك على الخادم. إذا كان يجد portfolio. zip. فإنه سيتم تحميل البرنامج. سوف يبدو الناتج مثل هذا: ومن ثم سوف سفتب ببساطة الخروج. يمكنك أيضا تحديد موقع لتحميل الملف. على سبيل المثال، هذا الأمر: سيتم تحميل portfolio. zip إلى الدليل تمب الخاص بك. أو يمكنك تحديد اسم مختلف تماما للملف الذي تم تنزيله: وسوف يشير الإخراج إلى اسم الملف الجديد: يمكنك أيضا تحديد أحرف البدل في اسم الملف، على سبيل المثال: و سوفتب تنزيل أي ملفات مع. zip ملحق في الوثائق عن بعد دليل. سوف الإخراج سرد كل ملف على خط الخاصة بها، مثل هذا: بدء الوضع التفاعلي في دليل بعيد معين في بعض الأحيان لها أكثر ملاءمة لبدء جلسة وضع تفاعلي مباشرة من دليل بعيد معين. يمكنك القيام بذلك عن طريق تحديد ذلك على سطر الأوامر: دفعة الوضع من الممكن أيضا لتشغيل سفتب بطريقة مطبوعة تماما. ويسمى هذا الوضع الدفعي. ويسمح لك لإجراء نقل سفتب دون أي تفاعل في لوحة المفاتيح. This is useful, for instance, if you want to set up a recurring transfer in a cron job, or a one-time scheduled transfer using the at command. However, because batch mode is completely non-interactive, it does not allow you to enter a username and password when connecting to the server. So, in order to use batch mode, youll have to log in automatically. The standard way to do this, and the most secure, is to use public key authentication . Lets go over that quickly. Setting Up Public Key Authentication Public Key Authentication allows you to log into a remote server securely without typing in your password. First, you generate two keys on your local system: a private key and a public key. Then you copy the text of your public key onto the remote server. After that, as long as you have the private key on your local machine, you can log into the remote machine without typing in a password. To do this, the first step is to generate the public and private keys. The keys will be located in the directory. ssh in your home directory on your local system. First, check to see if the. ssh directory already exists: This will either return the directory name: or tell you that it doesnt exist: If it doesnt exist, we need to create it before the next step: Next, we need to make sure this directory has the correct permissions. You want to ensure that youre the only person who can access this directory (read, write, and execute). For a directory, the octal value of this file mode is 700 . Lets change the permissions on our. ssh directory: Now we need to generate the keys themselves. The program used to generate key pairs for the ssh protocol is called ssh-keygen . Run it at the command line without any options: It will prompt you for the information it needs to generate the keys. Use all the default values (just press enter at every prompt). Note: One of the prompts will ask you for a passphrase, which offers an additional level of security on top of the encrypted private key. Here we will leave the password blank. If you want to use a password with your key, you should use a program called ssh-agent to load your key into memory this will allow you to use a password-protected key without having to type in the password more than once. The output from ssh-keygen will look something like this: Youll even get a neat piece of art representing your public key, which you can print out and hang on your wall, if you like. Your keys are now generated. There are two files, idrsa and idrsa. pub . We need to change the permissions on these files as well, so that no one but you can access them (read, write, and execute). The octal value of these permission bits is 700 . And make sure the directory has the same permission bits set: Now ssh to your server. Lets say its called myhost : Enter your password and log in. Once youre at your servers command prompt, check to see if the. ssh directory exists there. On the server: If it doesnt exist, create it, and give it the appropriate permissions, just like on your local system. On the server: Same for the authorizedkeys file. First check that it exists. On the server: If it doesnt, create it. You can use touch to create an empty file. On the server: Of course, if the directory and file exist already, you dont need to create them. Either way, once you know the. sshauthorizedkeys file exists, you can log out of the server: Which will return you to your local system command prompt. Now you need to place the contents of your local public key file (.sshidrsa. pub . which you created earlier with ssh-keygen ) into the file. sshauthorizedkeys on your server. The contents of this file are all in one very long line (no line breaks). You can look at it yourself with the cat command: and it will look something like this: This line of text needs to be placed into the authorizedkeys file on your server, on its own line. There are several ways to do this: you could copy the text on your local server, open the file using a text editor on the server, and paste it in on its own line. Or, you could use a program called ssh-copy-id . which is part of the default ssh installation on many systems. However, here we will append it directly to the file using ssh itself. If your remote username is myusername and your server name is myhost . you would run this command: This runs the cat command on your public key file, pipes the output to ssh . which takes that input and appends it directly to the authorizedkeys file on the remote machine. Now your public key is installed on the server, and you should be able to log in without a password, as well as conduct batch sftp sessions. Note: If the server is still asking you for your password when you try to log in, check that the servers ssh daemon configuration, located by default in etcsshsshdconfig . contains the following two lines: These are part of the default configuration, so you shouldnt need to add them, set them, or un-comment them in the configuration file. However, they are required for public key authentication. If its not working, this is the first place you should check. Executing The Batch sftp Session To run a batch sftp session, simply create a text file containing the sequence of sftp commands to be run on the server, with each command on its own line. For instance, if you want to automate the uploading of a set of files called image01.jpg . image02.jpg . into a directory on the remote server called images in your home directory, you could create a text file called mybatch. txt which contains the following commands: Then, you would execute the batch with the following command: and sftp will output the results of the commands, for example: After all commands have been executed (successfully or not), sftp will log out and return you to the command line. sftp examples This command attempts to initiate an interactive sftp session with the server myhost . The name used to log in will be the same as the username with which you ran the command. Once you are successfully logged in, you will see a message similar to the following, along with the sftpgt command prompt: Same as the above command, but attempts to log in with the username fred . Attempts to initiate an interactive sftp session with the server myhost . using the name fred to log in. Upon successful login, you will begin the session in the directory homefredimages . Attempts to download the file homefredimagespicture. jpg from the server myhost using the username fred to log in. If the file exists, it will be downloaded to the local working directory, and then sftp will exit. Attempts to execute the sftp commands in the text file batch. txt . on the server myhost . as the user named fred . The commands in the file batch. txt must be listed one per line. In order for the session to be initiated, the server and local client must be configured so that no keyboard input is required to log in see Setting Up Public Key Authentication above for more information. Interactive Command Examples The following examples may be run from the sftpgt prompt once an interactive session has been initiated. See Interactive Mode Commands above for a complete list of interactive commands and options. Prints the name of the remote working directory. Prints the name of the local working directory. List the contents of the remote working directory. List the contents of the local working directory. Changes the remote working directory to the subdirectory documents . Changes the local working directory to the subdirectory documents . Download the remote file mydocs. zip into the local working directory. Download the remote file mydocs. zip into the local directory homefred . If the directory homefred does not exist, sftp will attempt to download the file into the local directory home and name it fred . Note: sftp does not recognize the tilde shortcut for home directories ( ), so you will have to use the complete name of a home directory if youre specifying it in sftp . Download the remote file mydocs. zip into the local directory homefred . giving it the new name downloaded-docs. zip after it is downloaded. Create the directory documents in the remote working directory. Upload the local file documents. zip into the remote working directory. Upload the local file homefreddocumentsdocuments. zip into the remote directory homefreddocuments . renaming it mydoc. zip after it is uploaded. Uplooad all files in the local directory homefredimages whose name starts with image . and ends in the suffix. jpg . into the remote directory homefredimages . Rename the remote file homefredfile. txt . giving it the name newfile. txt . Delete the remote file homefrednewfile. txt . Run the command commandname option1 option2 on your local system without disconnecting from the sftp session. Disconnect from the sftp session, and quit sftp . Related commands ftp mdash Conduct an interactive FTP session over a secure network connection. slogin mdash Login to a remote system securely.
No comments:
Post a Comment