www.wikidata.uk-ua.nina.az

SSH Secure Shell англ Secure Shell безпечна оболонка 2 мережевий протокол рівня застосунків що дозволяє проводити віддал

SSH

Secure Shell, SSH (англ. Secure Shell — «безпечна оболонка») — мережевий протокол рівня застосунків, що дозволяє проводити віддалене управління комп'ютером і тунелювання TCP-з'єднань (наприклад, для передачі файлів). Схожий за функціональністю з протоколом Telnet і rlogin, проте шифрує весь трафік, в тому числі і паролі, що передаються.

SSH
Дата створення / заснування 1995
Похідна робота SFTP, SCP і Ssh-keygen
Творець Тату Ілонен
Ліцензія GNU Lesser General Public License
Порт 22, 22 і 22
 SSH у Вікісховищі
Ця стаття потребує істотної переробки. Можливо, її необхідно доповнити, переписати або вікіфікувати. Пояснення причин та обговорення — на сторінці Вікіпедія: Статті, що необхідно поліпшити.
Тому, хто додав шаблон: зважте на те, щоб повідомити основних авторів статті про необхідність поліпшення, додавши до їхньої сторінки обговорення такий текст:
{{subst:поліпшити автору|SSH|1 листопада 2021}} ~~~~,
а також не забудьте описати причину номінації на підсторінці Вікіпедія:Статті, що необхідно поліпшити за відповідний день.
Ця стаття є сирим перекладом з іншої мови. Можливо, вона створена за допомогою машинного перекладу або перекладачем, який недостатньо володіє обома мовами. Будь ласка, допоможіть поліпшити переклад. (листопад 2013)

Криптографічний захист протоколу SSH не фіксований, можливий вибір різних алгоритмів шифрування. Клієнти і сервери, що підтримують цей протокол, доступні для різних платформ. Крім того, протокол дозволяє не тільки використовувати безпечний віддалений shell на машині, але і туннелювати графічний інтерфейс — X Tunnelling (тільки для Unix-подібних ОС або застосунків, що використовують графічний інтерфейс X Window System). Так само ssh здатний передавати через безпечний канал (Port Forwarding) будь-який інший мережевий протокол, забезпечуючи (при належній конфігурації) можливість безпечної пересилки не тільки X-інтерфейсу, але і, наприклад, звуку.

Підтримка SSH реалізована у всіх UNIX-системах, і на більшості з них в числі стандартних утиліт присутні клієнт і сервер ssh. Існує низка реалізацій SSH-клієнтів і для не-UNIX ОС. Велику популярність протокол отримав після широкого розвитку сніферів, як альтернативне небезпечному телнету рішення для управління важливими вузлами.

Зараз відомо дві гілки версій — 1 і 2. Проте гілка 1 зупинена, оскільки наприкінці 90-х у ній було знайдено багато вразливостей, деякі з яких досі накладають серйозні обмеження на її використання, тому перспективною (такою, що розвивається) і найбезпечнішою є версія 2.


Стандарти та програмні реалізації Редагувати

Перша версія протоколу, SSH-1, була розроблена в 1995 році дослідником Тату Ілоненом з Технологічного університету Гельсінкі, Фінляндія. SSH-1 був написаний для забезпечення більшої конфіденційності, ніж протоколи rlogin, telnet і rsh. У 1996 році була розроблена безпечніша версія протоколу, SSH-2, несумісна з SSH-1. Протокол набув ще більшої популярності, і до 2000 року у нього було близько двох мільйонів користувачів. В даний час під терміном «SSH» зазвичай мається на увазі саме SSH-2, тому що перша версія протоколу з огляду істотних недоліків зараз практично не застосовується.

У 2006 році протокол був затверджений робочою групою IETF як Інтернет-стандарт.

Проте, в деяких країнах (Франція, Росія, Ірак і Пакистан) до сих пір потрібен спеціальний дозвіл у відповідних структурах для використання певних методів шифрування, включаючи SSH. Див закон Російської Федерації «Про федеральних органах урядового зв'язку і інформації» (закон втратив силу з 1 липня 2003 року у зв'язку з прийняттям федерального закону від 30.06.2003 № 86-ФЗ).

Поширені дві реалізації SSH: пропріетарна комерційна та безкоштовна вільна. Вільна реалізація називається OpenSSH. До 2006 року 80 % комп'ютерів мережі Інтернет використовувало саме OpenSSH. Пропріетарна реалізація розробляється організацією SSH Inc., Вона безкоштовна для некомерційного використання. Ці реалізації містять практично однаковий набір команд.

Протокол SSH-2, на відміну від протоколу telnet, стійкий до атак прослуховування трафіку («сніфінг»). Протокол SSH-2 також стійкий до атак шляхом приєднання посередині (англ. session hijacking) — неможливо включитися у вже встановлену сесію або перехопити її.

Для запобігання атак «людина посередині» при підключенні до хосту, ключ якого ще не відомий клієнту, клієнтське ПО показує користувачеві «зліпок ключа» (key fingerprint). Рекомендується ретельно перевіряти показуваний клієнтським ПО «зліпок ключа» (key fingerprint) зі зліпком ключа сервера, бажано отриманим по надійним каналах зв'язку або особисто.

Підтримка SSH реалізована у всіх UNIX-подібних системах, і на більшості з них в числі стандартних утиліт присутні клієнт і сервер ssh. Існує безліч реалізацій SSH-клієнтів і для не-UNIX ОС. Велику популярність протокол отримав після широкого розвитку аналізаторів трафіку і способів порушення роботи локальних мереж, як альтернативне небезпечному протоколу Telnet рішення для управління важливими вузлами.

Для роботи по SSH потрібен SSH-сервер і SSH-клієнт. Сервер прослуховує з'єднання від клієнтських машин і при встановленні зв'язку виробляє аутентифікацію, після чого починає обслуговування клієнта. Клієнт використовується для входу на віддалену машину і виконання команд.

Для з'єднання сервер і клієнт повинні створити пари ключів — відкритих і закритих — і обмінятися відкритими ключами. Зазвичай використовується також і пароль.

Сервери Редагувати

Клієнти та оболонки Редагувати

Використання Редагувати

Цей розділ потребує доповнення.

Передача файлів з використанням SSH Редагувати

Є кілька механізмів передачі файлів за допомогою захищених протоколів Shell.

  • Secure Copy (SCP), який відбувся від RCP Протокол по SSH
  • Rsync, повинен бути більш ефективним, ніж SCP
  • SSH File Transfer Protocol (SFTP), безпечна альтернатива FTP (не плутати з FTP через SSH)
  • Файли передаються по протоколу оболонки (так званий FISH), випущений в 1998 році, який перетворився з команди командної оболонки Unix через SSH

Приклади Редагувати

Команда підключення до локального SSH-сервера з командного рядка GNU/Linux або FreeBSD для користувача pacify (сервер прослуховує нестандартний порт 30000): 

$ ssh -p 30000 pacify@127.0.0.1

Генерація пари ключів (в UNIX-подібних ОС) здійснюється командою 

$ ssh-keygen

Генерація пари SSH-2 RSA-ключів довжиною 4096 біта програмою puttygen під UNIX-подібними ОС: 

$ puttygen -t rsa -b 4096 -o sample

Деякі клієнти, наприклад, PuTTY, мають і графічний інтерфейс користувача.

Для використання SSH в Python існують такі модулі, як python-paramiko і python-twisted-conch.

Безпека застосування Редагувати

Поради щодо безпеки використання SSH:

  • Заборона віддаленого root-доступу.
  • Заборона підключення з порожнім паролем або відключення входу по паролю.
  • Вибір нестандартного порту для SSH-сервера.
  • Використання довгих SSH2 RSA-ключів (2048 біт і більше). Системи шифрування на основі RSA вважаються надійними, якщо довжина ключа не менше 1024 біт.
  • Обмеження списку IP-адрес, з яких дозволений доступ (наприклад, настроюванням фаєрвола).
  • Заборона доступу з деяких потенційно небезпечних адрес.
  • Відмова від використання поширених або широко відомих системних логінів для доступу по SSH.
  • Регулярний перегляд повідомлень про помилки аутентифікації.
  • Установка систем виявлення вторгнень (IDS — Intrusion Detection System).
  • Використання пасток, підроблюють SSH-сервіс (honeypots).

SSH-тунелювання Редагувати

SSH-тунель — це тунель, який створюється за допомогою SSH-з'єднання і використовується для шифрування тунельованих даних. Використовується для того, щоб убезпечити передачу даних в Інтернеті (аналогічне призначення має IPsec). Особливість полягає в тому, що незашифрований трафік будь-якого протоколу шифрується на одному кінці SSH-з'єднання і розшифровується на іншому.

Практична реалізація може виконуватися декількома способами:

  • Створенням Socks-проксі для програм, які не вміють працювати через SSH-тунель, але можуть працювати через Socks-проксі
  • Використанням додатків, які вміють працювати через SSH-тунель.
  • Створенням VPN-тунелю, підходить практично для будь-яких додатків.

Якщо програма працює з одним певним сервером, можна налаштувати SSH-клієнт таким чином, щоб він пропускав через SSH-тунель TCP-з'єднання, що приходять на певний TCP-порт машини, на якій запущений SSH-клієнт. Наприклад, клієнти Jabber підключаються по замовчуванню на порт 443. Тоді, щоб налаштувати підключення до сервера Jabber через SSH-тунель, SSH-клієнт налаштовується на перенаправлення підключень з будь-якого порту локальної машини (наприклад, з порту 4430) на віддалений сервер (наприклад, jabber.example.com і порт 443): 

$ ssh -L 4430:jabber.example.com:443 somehost

В даному випадку Jabber-клієнт налаштовується на підключення до порту 4430 сервера localhost (якщо ssh-клієнт запущений на тій же машині що і Jabber-клієнт).

Для створення ssh-тунелю необхідна машина з запущеним ssh-сервером і доступом до jabber.example.com. Така конфігурація може використовуватися у випадку, якщо з локальної машини доступ до jabber.example.com закритий файерволом, але є доступ до деякого ssh-серверу, у якого обмеження доступу в Інтернет відсутні.

Технічна інформація про протокол Редагувати

SSH — це протокол сеансового рівня. SSH-сервер зазвичай прослуховує з'єднання на TCP-порту 22. Специфікація протоколу SSH-2 міститься в RFC 4251. Для аутентифікації сервера в SSH використовується протокол аутентифікації сторін на основі алгоритмів електронно-цифрового підпису RSA або DSA. Для аутентифікації клієнта також може використовуватися ЕЦП RSA або DSA, але допускається також аутентифікація за допомогою пароля (режим зворотної сумісності з Telnet) і навіть ip-адреси хоста (режим зворотної сумісності з rlogin). Аутентифікація за паролем найбільш поширена, вона безпечна, тому що пароль передається по зашифрованому віртуального каналу. Аутентифікація по ip-адресою небезпечна, цю можливість найчастіше відключають. Для створення спільного секрету (сеансового ключа) використовується алгоритм Діффі — Хеллмана (DH). Для шифрування переданих даних використовується симетричне шифрування, алгоритми AES, Blowfish або 3DES. Цілісність переданих даних перевіряється за допомогою CRC32 в SSH1 або HMAC-SHA1/HMAC-MD5 в SSH2.

Для стиснення шифруючих даних може використовуватися алгоритм LempelZiv (LZ77), який забезпечує такий же рівень стиснення, що і архіватор ZIP. Стиснення SSH включається лише за запитом клієнта, і на практиці використовується рідко.

Історія розвитку Редагувати

SSH зазвичай використовується для входу на віддалену машину і виконувати команди, але він також підтримує тунельний протокол, портове експедирування TCP і UDP порт | TCP порти. він може передавати файли за допомогою відповідних SSH File Transfer Protocol | SSH File Transfer (SFTP) або Secure Copy (SCP) протоколів SSH використовує клієнт-сервер модель.

SSH програма зазвичай використовується для встановлення з'єднання з ухвалення віддалених підключень. І те й інше зазвичай присутнє на більшості сучасних операційні системи, включаючи Mac OS, більшість розподілів Gnu/Linux, OpenBSD, FreeBSD, NetBSD, Solaris і OpenVMS. Відомо, що Windows є одним з небагатьох сучасних / серверних операційних систем, які не включають SSH за замовчуванням.

SSH відіграє важливу роль в обчислень для вирішення проблем з підключенням, уникаючи питань безпеки, піддаючи віртуальну машину безпосередньо до Інтернету. Тунель SSH може забезпечити безпечний шлях через Інтернет, через брандмауер на віртуальній машині.

Версія 1.x Редагувати

У 1995 році Tatu Ylonen, дослідник Гельсінського технологічного університету, (Фінляндія), розробив першу версію протоколу (зараз він називається 'SSH-1'). Мета SSH повинен був замінити раніші Rlogin, TELNET і RSH протоколи, які не забезпечують надійну аутентифікацію, і не гарантують конфіденційність. Ylonen випустив свій протокол безкоштовно в липні 1995 року, і інструмент швидко завоював популярність. До кінця 1995 року база SSH користувачів виросло до 20.000 користувачів в п'ятдесяти країнах.

У грудні 1995 року заснував Ylonen SSH Communications Security. Оригінальна версія програмного забезпечення SSH використовували різні частини вільне програмне забезпечення, наприклад, GNU libgmp, але більш пізні версії випущена SSH Secure Communications перетворилася в більш пропрієтарне програмне забезпечення .

Вважається, що, Шаблон:Станом, було 2 мільйони користувачів SSH

Відомі вразливості Редагувати

У 1998 році вразливість була описана в SSH 1.5, що дозволяло несанкціонованого вставки контенту в зашифрованому потоці SSH через недостатню цілісності даних захист від CRC-32 використовується в даній версії протоколу..

У січні 2001 року була виявлена ​​уразливість, яка дозволяє зловмисникові змінювати останній блок IDEA. Зашифровані сесії У тому ж місяці, інша уразливість була виявлена, що дозволяло шкідлививому серверу пересилання аутентифікації клієнта на інший сервер.

Так як SSH-1 притаманні недоліки дизайну, які роблять його вразливим, в даний час він вважається застарілим і його слід уникати, відключивши повернення до SSH-1. Більшість сучасних серверів і клієнтів підтримують SSH-2.

Версія 1.99 Редагувати

У січні 2006 року, після версії 2.1 був створений, RFC 4253, що означало, що сервер SSH, який підтримує як 2.0 так і попередні версії SSH повинні визначити свої версії як 1,99. Це не фактичні версії, але метод ідентифікації зворотна сумісність.

OpenSSH і OSSH Редагувати

У 1999 році розробники, бажали повернутися до старої 1.2.12 релізовуючи оригінальну SSH програму, яка була останньою випущена під з відкритим вихідним кодом ліцензію. OSSH Björn Grönvall згодом почав розвиватися з цього коду.

Версія 2.x Редагувати

«Secsh» було офіційною назвою робочої групи IETF, відповідальної за версію 2 протоколу SSH. У 2006 році переглянуто версії протоколу і SSH-2 був прийнятий як стандарт. Ця версія несумісна з SSH-1. SSH-2 порівняно з SSH-1 має кращі функції безпеки, так і інші поліпшення. Краща захищеність, проявляється у використанні протоколу Діффі-Геллмана і сильнішій цілісності, коли перевірка відбувається за допомогою MAC-підписів. Нові можливості SSH-2 передбачають можливість запускати будь-яку кількість оболонок сесій на одному SSH з'єднанні. Через переваги SSH-2 над SSH-1 та більшу популярність, такі реалізації SSH-2 як libssh (v0.8.0+), Lsh[en] and Dropbear[en] підтримують тільки протокол SSH-2.

Вразливості Редагувати

У листопаді 2008 року теоретичну вразливість була виявлена ​​для всіх версій SSH, який дозволив відновлення до 32 біт відкритого тексту з блоку зашифрованого тексту, зашифрованого за допомогою тодішнього стандартного режиму шифрування за умовчанням.

Пізніше протокол SSH був змінений і розширений в наступних публікаціях.

  • RFC 4419, Діффі-Хеллмана Група обмін на Secure Shell (SSH) Transport Layer Protocol (березень 2006 р.)
  • RFC 4432, RSA Key Exchange для Secure Shell (SSH) Transport Layer Protocol (березень 2006 р.)
  • RFC 4462, Generic Security Service Application Program Interface (GSS-API) аутентифікації і обміну ключами для Secure Shell (SSH) Protocol (травень 2006 р.)
  • RFC 4716, Secure Shell (SSH) Public Key Формат файлу (листопад 2006)
  • RFC 5656, Еліптичні алгоритм інтегрування кривій в безпеці транспортного рівня Shell (грудень 2009 року)

Архітектура Редагувати

Diagram of the SSH-2 binary packet.

SSH-2 протокол має внутрішню архітектуру (визначено в RFC 4251) з чітко розділеними шарами. До них належать:

  • Транспортний шар (RFC 4253). Цей шар обробляє початковий обмін ключами, автентифікує сервер, встановлює шифрування, стиснення і перевірку цілісності даних. Він надає у вищий шар інтерфейс для відправки та отримання текстових пакетів розміром до 32768 байт кожен (цей розмір може бути збільшений в певній реалізації). Транспортний рівень також організовує повторний обмін ключами. Як правило, це відбувається після передачі 1 Гб даних або коли пройшла 1 година, що швидше настане.
  • Шар автентифікації користувача (RFC 4252). Цей шар обробляє перевірку автентичності клієнта і надає ряд методів аутентифікації. Автентифікація є клієнто-орієнтованою: коли користувач отримує запит на введення пароля, то це може бути запит SSH клієнта, а не сервера. Сервер просто відповідає на запити клієнта про автентифікацію. Широко вживані методи автентифікації користувачів включають наступне:
    • Пароль: Метод простий пароль аутентифікації, в тому числі засіб, що дозволяє пароль, щоб бути змінені. Цей метод не реалізований всіма програмами.
    • з відкритим ключем: метод відкритого ключа перевірки автентичності на основі, як правило, підтримують принаймні, DSA або RSA пари ключів, з іншими реалізаціями також підтримує X.509 сертифікати.
    • Інтерактивний (RFC 4256): універсальний метод, коли сервер відправляє один або декілька запитів вводу інформації і клієнт відображає їх і відправляє назад відповідь введені в користувачем. Використовується для забезпечення одноразовий пароль аутентифікації, такі як S / Key або SecurID. Використовується деяких конфігураціях OpenSSH, коли PAM є основним постачальником хост аутентифікації для забезпечення ефективної аутентифікації по паролю, що іноді призводить до нездатності увійти в систему з клієнтом, який підтримує тільки прості пароль метод перевірки автентичності.
    • GSSAPI методи аутентифікації, які забезпечують розширюваної схеми для виконання SSH аутентифікації з використанням зовнішніх механізмів, таких як Kerberos 5 або NTLM, забезпечуючи Single Sign On Можливість SSH сесій. Ці методи, як правило, здійснюються комерційними реалізаціями SSH для використання в організаціях, хоча OpenSSH дійсно є робоча реалізації GSSAPI.
  • Сполуки шарів (RFC 4254). Цей шар визначає поняття канали, канал запити і глобальний запитів за допомогою якої SSH послуги. Одне з'єднання SSH можна розмістити кілька каналів одночасно, кожна передача даних в обох напрямках. Канал запити використовуються для релейний вихід за смугу каналу конкретні дані, такі, як змінився розмір вікна термінала або код виходу з серверного процесу. SSH клієнт запитує сервер на стороні порту, який направлятиметься з використанням глобальної запитом. Стандартні типи каналів включають в себе:
    • Оболонка для терміналу, SFTP і Exec запитів (у тому числі SCP трансфертів)
    • Прямий TCP/IP для клієнт-сервер передаються з'єднання
    • Спрямований-TCP/IP для сервер-клієнт направляється з'єднань
  • SSHFP DNS-запис (RFC 4255) надає громадськості відбитки пальців ключа хоста для того, щоб допомогти в перевірці достовірності господаря.

Це відкрита архітектура забезпечує значну гнучкість, дозволяючи SSH, який буде використовуватися для різних цілей, крім безпечної оболонки. Функціональність транспортного рівня тільки порівнянна з Transport Layer Security (TLS); шар аутентифікації користувачів вельми розширюваної за допомогою користувальницьких методів аутентифікації і з'єднання шарів забезпечує можливість мультиплексування багатьох середніх сесій в одне з'єднання SSH, функція порівнянна з BEEP і не доступні в TLS.

Поліпшення Редагувати

Вони призначені для підвищення продуктивності продуктів SSH:

  • SSH-over-SCTP: підтримка SCTP, а не TCP, як зв'язок орієнтований протокол транспортного рівня
  • ECDSA: підтримка еліптичної кривої DSA, а не DSA або RSA для підписання
  • ECDH: підтримка для еліптичних кривих Діффі-Хеллмана, а не просто Діффі-Хеллмана для шифрування обміну ключами.
  • UMAC: підтримка UMAC, а не HMAC для MAC / цілісності

Примітки Редагувати

  1. Service Name and Transport Protocol Port Number RegistryIANA.
    d:Track:Q30335969d:Track:Q242540
  2. Amies A, Wu C F, Wang G C, Criveti M (2012). Networking on the cloud [ 14 червня 2013 у Wayback Machine.] IBM developerWorks, June 21.
  3. Nicholas Rosasco and David Larochelle. How and Why More Secure Technologies Succeed in Legacy Markets: Lessons from the Success of SSH. Quoting Barrett and Silverman, SSH, the Secure Shell: The Definitive Guide, O'Reilly & Associates (2001). Dept. of Computer Science, Univ. of Virginia. Архів оригіналу за 25 червня 2013. Процитовано 19 травня 2006. 
  4. . Архів оригіналу за 8 липня 2011. Процитовано 4.3.2013. 
  5. Weak CRC allows packet injection into SSH sessions encrypted with block ciphers [ 5 березня 2018 у Wayback Machine.], US-CERT
  6. Weak CRC allows last block of IDEA-encrypted SSH packet to be changed without notice [ 5 березня 2018 у Wayback Machine.], US-CERT
  7. SSH-1 allows client authentication to be forwarded by a malicious server to another server [ 31 грудня 2017 у Wayback Machine.], US-CERT
  8. RFC 4253, section 5. Compatibility With Old SSH Versions [ 1 березня 2018 у Wayback Machine.], IETF
  9. Secsh Protocol Documents [ 8 липня 2017 у Wayback Machine.], VanDyke Software, Inc.
  10. . Архів оригіналу за 1 жовтня 2017. Процитовано 4 березня 2013. 
  11. . Архів оригіналу за 23 липня 2019. Процитовано 23 липня 2019. 
  12. A GNU implementation of the Secure Shell protocols. оригіналу за 4 лютого 2012. 
  13. Dropbear SSH. оригіналу за 14 жовтня 2011. 
  14. SSH CBC vulnerability [ 6 вересня 2017 у Wayback Machine.], US-CERT
  15. Seggelmann, R.; Tuxen, M.; Rathgeb, E.P. (18–20 July 2012). SSH over SCTP — Optimizing a multi-channel protocol by adapting it to SCTP. Communication Systems, Networks & Digital Signal Processing (CSNDSP), 2012 8th International Symposium on: 1–6. doi:10.1109/CSNDSP.2012.6292659. 
  16. Stebila, D.; Green J. (December 2009). . Архів оригіналу за 19 липня 2012. Процитовано 12 листопада 2012. 
  17. Miller, D.; Valchev, P. (3 вересня 2007). . Архів оригіналу за 19 серпня 2014. Процитовано 12 листопада 2012. 

Див. також Редагувати

Посилання Редагувати

Стандарти Редагувати

  • RFC 4250 (англ.) — The Secure Shell (SSH) Protocol Assigned Numbers
  • RFC 4251 (англ.) — The Secure Shell (SSH) Protocol Architecture
  • RFC 4252 (англ.) — The Secure Shell (SSH) Authentication Protocol
  • RFC 4253 (англ.) — The Secure Shell (SSH) Transport Layer Protocol
  • RFC 4254 (англ.) — The Secure Shell (SSH) Connection Protocol
  • RFC 4255 (англ.) — Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints
  • RFC 4256 (англ.) — Generic Message Exchange Authentication for the Secure Shell Protocol (SSH)
  • RFC 4335 (англ.) — The Secure Shell (SSH) Session Channel Break Extension
  • RFC 4344 (англ.) — The Secure Shell (SSH) Transport Layer Encryption Modes
  • RFC 4345 (англ.) — Improved Arcfour Modes for the Secure Shell (SSH) Transport Layer Protocol
  • RFC 4419 (англ.) — Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol
  • RFC 4432 (англ.) — RSA Key Exchange for the Secure Shell (SSH) Transport Layer Protocol
  • RFC 4716 (англ.) — The Secure Shell (SSH) Public Key File Format
Це незавершена стаття про програмне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.
Це незавершена стаття про комп'ютерні мережі.
Ви можете допомогти проєкту, виправивши або дописавши її.
Ця стаття містить текст, що не відповідає енциклопедичному стилю. Будь ласка, допоможіть удосконалити цю статтю, погодивши стиль викладу зі стилістичними правилами Вікіпедії. Можливо, сторінка обговорення містить зауваження щодо потрібних змін. (вересень 2012)
Ця стаття є сирим перекладом з іншої мови. Можливо, вона створена за допомогою машинного перекладу або перекладачем, який недостатньо володіє обома мовами. Будь ласка, допоможіть поліпшити переклад. (листопад 2013)
Цю статтю потрібно повністю переписати відповідно до стандартів якості Вікіпедії. Ви можете допомогти, переробивши її. Можливо, сторінка обговорення містить зауваження щодо потрібних змін. (липень 2017)
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Secure Shell SSH angl Secure Shell bezpechna obolonka 2 merezhevij protokol rivnya zastosunkiv sho dozvolyaye provoditi viddalene upravlinnya komp yuterom i tunelyuvannya TCP z yednan napriklad dlya peredachi fajliv Shozhij za funkcionalnistyu z protokolom Telnet i rlogin prote shifruye ves trafik v tomu chisli i paroli sho peredayutsya SSHData stvorennya zasnuvannya1995Pohidna robotaSFTP SCP i Ssh keygenTvorecTatu IlonenLicenziyaGNU Lesser General Public LicensePort22 1 22 1 i 22 1 SSH u VikishovishiCya stattya potrebuye istotnoyi pererobki Mozhlivo yiyi neobhidno dopovniti perepisati abo vikifikuvati Poyasnennya prichin ta obgovorennya na storinci Vikipediya Statti sho neobhidno polipshiti Tomu hto dodav shablon zvazhte na te shob povidomiti osnovnih avtoriv statti pro neobhidnist polipshennya dodavshi do yihnoyi storinki obgovorennya takij tekst subst polipshiti avtoru SSH 1 listopada 2021 a takozh ne zabudte opisati prichinu nominaciyi na pidstorinci Vikipediya Statti sho neobhidno polipshiti za vidpovidnij den Cya stattya ye sirim perekladom z inshoyi movi Mozhlivo vona stvorena za dopomogoyu mashinnogo perekladu abo perekladachem yakij nedostatno volodiye oboma movami Bud laska dopomozhit polipshiti pereklad listopad 2013 Kriptografichnij zahist protokolu SSH ne fiksovanij mozhlivij vibir riznih algoritmiv shifruvannya Kliyenti i serveri sho pidtrimuyut cej protokol dostupni dlya riznih platform Krim togo protokol dozvolyaye ne tilki vikoristovuvati bezpechnij viddalenij shell na mashini ale i tunnelyuvati grafichnij interfejs X Tunnelling tilki dlya Unix podibnih OS abo zastosunkiv sho vikoristovuyut grafichnij interfejs X Window System Tak samo ssh zdatnij peredavati cherez bezpechnij kanal Port Forwarding bud yakij inshij merezhevij protokol zabezpechuyuchi pri nalezhnij konfiguraciyi mozhlivist bezpechnoyi peresilki ne tilki X interfejsu ale i napriklad zvuku Pidtrimka SSH realizovana u vsih UNIX sistemah i na bilshosti z nih v chisli standartnih utilit prisutni kliyent i server ssh Isnuye nizka realizacij SSH kliyentiv i dlya ne UNIX OS Veliku populyarnist protokol otrimav pislya shirokogo rozvitku sniferiv yak alternativne nebezpechnomu telnetu rishennya dlya upravlinnya vazhlivimi vuzlami Zaraz vidomo dvi gilki versij 1 i 2 Prote gilka 1 zupinena oskilki naprikinci 90 h u nij bulo znajdeno bagato vrazlivostej deyaki z yakih dosi nakladayut serjozni obmezhennya na yiyi vikoristannya tomu perspektivnoyu takoyu sho rozvivayetsya i najbezpechnishoyu ye versiya 2 Zmist 1 Standarti ta programni realizaciyi 1 1 Serveri 1 2 Kliyenti ta obolonki 2 Vikoristannya 2 1 Peredacha fajliv z vikoristannyam SSH 2 2 Prikladi 2 3 Bezpeka zastosuvannya 3 SSH tunelyuvannya 4 Tehnichna informaciya pro protokol 5 Istoriya rozvitku 5 1 Versiya 1 x 5 1 1 Vidomi vrazlivosti 5 2 Versiya 1 99 5 3 OpenSSH i OSSH 5 4 Versiya 2 x 5 4 1 Vrazlivosti 6 Arhitektura 7 Polipshennya 8 Primitki 9 Div takozh 10 Posilannya 10 1 StandartiStandarti ta programni realizaciyi RedaguvatiPersha versiya protokolu SSH 1 bula rozroblena v 1995 roci doslidnikom Tatu Ilonenom z Tehnologichnogo universitetu Gelsinki Finlyandiya SSH 1 buv napisanij dlya zabezpechennya bilshoyi konfidencijnosti nizh protokoli rlogin telnet i rsh U 1996 roci bula rozroblena bezpechnisha versiya protokolu SSH 2 nesumisna z SSH 1 Protokol nabuv she bilshoyi populyarnosti i do 2000 roku u nogo bulo blizko dvoh miljoniv koristuvachiv V danij chas pid terminom SSH zazvichaj mayetsya na uvazi same SSH 2 tomu sho persha versiya protokolu z oglyadu istotnih nedolikiv zaraz praktichno ne zastosovuyetsya U 2006 roci protokol buv zatverdzhenij robochoyu grupoyu IETF yak Internet standart Prote v deyakih krayinah Franciya Rosiya Irak i Pakistan do sih pir potriben specialnij dozvil u vidpovidnih strukturah dlya vikoristannya pevnih metodiv shifruvannya vklyuchayuchi SSH Div zakon Rosijskoyi Federaciyi Pro federalnih organah uryadovogo zv yazku i informaciyi zakon vtrativ silu z 1 lipnya 2003 roku u zv yazku z prijnyattyam federalnogo zakonu vid 30 06 2003 86 FZ Poshireni dvi realizaciyi SSH proprietarna komercijna ta bezkoshtovna vilna Vilna realizaciya nazivayetsya OpenSSH Do 2006 roku 80 komp yuteriv merezhi Internet vikoristovuvalo same OpenSSH Proprietarna realizaciya rozroblyayetsya organizaciyeyu SSH Inc Vona bezkoshtovna dlya nekomercijnogo vikoristannya Ci realizaciyi mistyat praktichno odnakovij nabir komand Protokol SSH 2 na vidminu vid protokolu telnet stijkij do atak prosluhovuvannya trafiku snifing Protokol SSH 2 takozh stijkij do atak shlyahom priyednannya poseredini angl session hijacking nemozhlivo vklyuchitisya u vzhe vstanovlenu sesiyu abo perehopiti yiyi Dlya zapobigannya atak lyudina poseredini pri pidklyuchenni do hostu klyuch yakogo she ne vidomij kliyentu kliyentske PO pokazuye koristuvachevi zlipok klyucha key fingerprint Rekomenduyetsya retelno pereviryati pokazuvanij kliyentskim PO zlipok klyucha key fingerprint zi zlipkom klyucha servera bazhano otrimanim po nadijnim kanalah zv yazku abo osobisto Pidtrimka SSH realizovana u vsih UNIX podibnih sistemah i na bilshosti z nih v chisli standartnih utilit prisutni kliyent i server ssh Isnuye bezlich realizacij SSH kliyentiv i dlya ne UNIX OS Veliku populyarnist protokol otrimav pislya shirokogo rozvitku analizatoriv trafiku i sposobiv porushennya roboti lokalnih merezh yak alternativne nebezpechnomu protokolu Telnet rishennya dlya upravlinnya vazhlivimi vuzlami Dlya roboti po SSH potriben SSH server i SSH kliyent Server prosluhovuye z yednannya vid kliyentskih mashin i pri vstanovlenni zv yazku viroblyaye autentifikaciyu pislya chogo pochinaye obslugovuvannya kliyenta Kliyent vikoristovuyetsya dlya vhodu na viddalenu mashinu i vikonannya komand Dlya z yednannya server i kliyent povinni stvoriti pari klyuchiv vidkritih i zakritih i obminyatisya vidkritimi klyuchami Zazvichaj vikoristovuyetsya takozh i parol Serveri Redaguvati BSD OpenSSH Linux dropbear lsh server openssh server ssh Windows freeSSHd copssh WinSSHD KpyM Telnet SSH Server MobaSSH OpenSSH cherez Cygwin DenWerKliyenti ta obolonki Redaguvati GNU Linux BSD kdessh lsh client openssh client putty ssh Vinagre MS Windows i Windows NT PuTTY SecureCRT ShellGuard Axessh ZOC SSHWindows ProSSHD XShell MS Windows Mobile PocketPuTTy mToken sshCE PocketTTY OpenSSH PocketConsole Mac OS NiftyTelnet SSH Symbian OS PuTTY Java MindTerm AppGate Security Server J2ME MidpSSH iOS i SSH ssh v komplekti z Terminal Android connectBot Blackberry BBSSH Maemo 5 OpenSSHVikoristannya RedaguvatiCej rozdil potrebuye dopovnennya Peredacha fajliv z vikoristannyam SSH Redaguvati Ye kilka mehanizmiv peredachi fajliv za dopomogoyu zahishenih protokoliv Shell Secure Copy SCP yakij vidbuvsya vid RCP Protokol po SSH Rsync povinen buti bilsh efektivnim nizh SCP SSH File Transfer Protocol SFTP bezpechna alternativa FTP ne plutati z FTP cherez SSH Fajli peredayutsya po protokolu obolonki tak zvanij FISH vipushenij v 1998 roci yakij peretvorivsya z komandi komandnoyi obolonki Unix cherez SSHPrikladi Redaguvati Komanda pidklyuchennya do lokalnogo SSH servera z komandnogo ryadka GNU Linux abo FreeBSD dlya koristuvacha pacify server prosluhovuye nestandartnij port 30000 ssh p 30000 pacify 127 0 0 1 Generaciya pari klyuchiv v UNIX podibnih OS zdijsnyuyetsya komandoyu ssh keygen Generaciya pari SSH 2 RSA klyuchiv dovzhinoyu 4096 bita programoyu puttygen pid UNIX podibnimi OS puttygen t rsa b 4096 o sample Deyaki kliyenti napriklad PuTTY mayut i grafichnij interfejs koristuvacha Dlya vikoristannya SSH v Python isnuyut taki moduli yak python paramiko i python twisted conch Bezpeka zastosuvannya Redaguvati Poradi shodo bezpeki vikoristannya SSH Zaborona viddalenogo root dostupu Zaborona pidklyuchennya z porozhnim parolem abo vidklyuchennya vhodu po parolyu Vibir nestandartnogo portu dlya SSH servera Vikoristannya dovgih SSH2 RSA klyuchiv 2048 bit i bilshe Sistemi shifruvannya na osnovi RSA vvazhayutsya nadijnimi yaksho dovzhina klyucha ne menshe 1024 bit Obmezhennya spisku IP adres z yakih dozvolenij dostup napriklad nastroyuvannyam fayervola Zaborona dostupu z deyakih potencijno nebezpechnih adres Vidmova vid vikoristannya poshirenih abo shiroko vidomih sistemnih loginiv dlya dostupu po SSH Regulyarnij pereglyad povidomlen pro pomilki autentifikaciyi Ustanovka sistem viyavlennya vtorgnen IDS Intrusion Detection System Vikoristannya pastok pidroblyuyut SSH servis honeypots SSH tunelyuvannya RedaguvatiSSH tunel ce tunel yakij stvoryuyetsya za dopomogoyu SSH z yednannya i vikoristovuyetsya dlya shifruvannya tunelovanih danih Vikoristovuyetsya dlya togo shob ubezpechiti peredachu danih v Interneti analogichne priznachennya maye IPsec Osoblivist polyagaye v tomu sho nezashifrovanij trafik bud yakogo protokolu shifruyetsya na odnomu kinci SSH z yednannya i rozshifrovuyetsya na inshomu Praktichna realizaciya mozhe vikonuvatisya dekilkoma sposobami Stvorennyam Socks proksi dlya program yaki ne vmiyut pracyuvati cherez SSH tunel ale mozhut pracyuvati cherez Socks proksi Vikoristannyam dodatkiv yaki vmiyut pracyuvati cherez SSH tunel Stvorennyam VPN tunelyu pidhodit praktichno dlya bud yakih dodatkiv Yaksho programa pracyuye z odnim pevnim serverom mozhna nalashtuvati SSH kliyent takim chinom shob vin propuskav cherez SSH tunel TCP z yednannya sho prihodyat na pevnij TCP port mashini na yakij zapushenij SSH kliyent Napriklad kliyenti Jabber pidklyuchayutsya po zamovchuvannyu na port 443 Todi shob nalashtuvati pidklyuchennya do servera Jabber cherez SSH tunel SSH kliyent nalashtovuyetsya na perenapravlennya pidklyuchen z bud yakogo portu lokalnoyi mashini napriklad z portu 4430 na viddalenij server napriklad jabber example com i port 443 ssh L 4430 jabber example com 443 somehost V danomu vipadku Jabber kliyent nalashtovuyetsya na pidklyuchennya do portu 4430 servera localhost yaksho ssh kliyent zapushenij na tij zhe mashini sho i Jabber kliyent Dlya stvorennya ssh tunelyu neobhidna mashina z zapushenim ssh serverom i dostupom do jabber example com Taka konfiguraciya mozhe vikoristovuvatisya u vipadku yaksho z lokalnoyi mashini dostup do jabber example com zakritij fajervolom ale ye dostup do deyakogo ssh serveru u yakogo obmezhennya dostupu v Internet vidsutni Tehnichna informaciya pro protokol RedaguvatiSSH ce protokol seansovogo rivnya SSH server zazvichaj prosluhovuye z yednannya na TCP portu 22 Specifikaciya protokolu SSH 2 mistitsya v RFC 4251 Dlya autentifikaciyi servera v SSH vikoristovuyetsya protokol autentifikaciyi storin na osnovi algoritmiv elektronno cifrovogo pidpisu RSA abo DSA Dlya autentifikaciyi kliyenta takozh mozhe vikoristovuvatisya ECP RSA abo DSA ale dopuskayetsya takozh autentifikaciya za dopomogoyu parolya rezhim zvorotnoyi sumisnosti z Telnet i navit ip adresi hosta rezhim zvorotnoyi sumisnosti z rlogin Autentifikaciya za parolem najbilsh poshirena vona bezpechna tomu sho parol peredayetsya po zashifrovanomu virtualnogo kanalu Autentifikaciya po ip adresoyu nebezpechna cyu mozhlivist najchastishe vidklyuchayut Dlya stvorennya spilnogo sekretu seansovogo klyucha vikoristovuyetsya algoritm Diffi Hellmana DH Dlya shifruvannya peredanih danih vikoristovuyetsya simetrichne shifruvannya algoritmi AES Blowfish abo 3DES Cilisnist peredanih danih pereviryayetsya za dopomogoyu CRC32 v SSH1 abo HMAC SHA1 HMAC MD5 v SSH2 Dlya stisnennya shifruyuchih danih mozhe vikoristovuvatisya algoritm LempelZiv LZ77 yakij zabezpechuye takij zhe riven stisnennya sho i arhivator ZIP Stisnennya SSH vklyuchayetsya lishe za zapitom kliyenta i na praktici vikoristovuyetsya ridko Istoriya rozvitku RedaguvatiSSH zazvichaj vikoristovuyetsya dlya vhodu na viddalenu mashinu i vikonuvati komandi ale vin takozh pidtrimuye tunelnij protokol portove ekspediruvannya TCP i UDP port TCP porti vin mozhe peredavati fajli za dopomogoyu vidpovidnih SSH File Transfer Protocol SSH File Transfer SFTP abo Secure Copy SCP protokoliv SSH vikoristovuye kliyent server model SSH programa zazvichaj vikoristovuyetsya dlya vstanovlennya z yednannya z uhvalennya viddalenih pidklyuchen I te j inshe zazvichaj prisutnye na bilshosti suchasnih operacijni sistemi vklyuchayuchi Mac OS bilshist rozpodiliv Gnu Linux OpenBSD FreeBSD NetBSD Solaris i OpenVMS Vidomo sho Windows ye odnim z nebagatoh suchasnih servernih operacijnih sistem yaki ne vklyuchayut SSH za zamovchuvannyam SSH vidigraye vazhlivu rol v obchislen dlya virishennya problem z pidklyuchennyam unikayuchi pitan bezpeki piddayuchi virtualnu mashinu bezposeredno do Internetu Tunel SSH mozhe zabezpechiti bezpechnij shlyah cherez Internet cherez brandmauer na virtualnij mashini 2 Versiya 1 x Redaguvati U 1995 roci Tatu Ylonen doslidnik Gelsinskogo tehnologichnogo universitetu Finlyandiya rozrobiv pershu versiyu protokolu zaraz vin nazivayetsya SSH 1 Meta SSH povinen buv zaminiti ranishi Rlogin TELNET i RSH protokoli yaki ne zabezpechuyut nadijnu autentifikaciyu i ne garantuyut konfidencijnist Ylonen vipustiv svij protokol bezkoshtovno v lipni 1995 roku i instrument shvidko zavoyuvav populyarnist Do kincya 1995 roku baza SSH koristuvachiv viroslo do 20 000 koristuvachiv v p yatdesyati krayinah U grudni 1995 roku zasnuvav Ylonen SSH Communications Security Originalna versiya programnogo zabezpechennya SSH vikoristovuvali rizni chastini vilne programne zabezpechennya napriklad GNU libgmp ale bilsh pizni versiyi vipushena SSH Secure Communications peretvorilasya v bilsh propriyetarne programne zabezpechennya Vvazhayetsya sho Shablon Stanom bulo 2 miljoni koristuvachiv SSH 3 Vidomi vrazlivosti Redaguvati U 1998 roci vrazlivist bula opisana v SSH 1 5 sho dozvolyalo nesankcionovanogo vstavki kontentu v zashifrovanomu potoci SSH cherez nedostatnyu cilisnosti danih zahist vid CRC 32 vikoristovuyetsya v danij versiyi protokolu 4 5 U sichni 2001 roku bula viyavlena urazlivist yaka dozvolyaye zlovmisnikovi zminyuvati ostannij blok IDEA Zashifrovani sesiyi 6 U tomu zh misyaci insha urazlivist bula viyavlena sho dozvolyalo shkidlivivomu serveru peresilannya autentifikaciyi kliyenta na inshij server 7 Tak yak SSH 1 pritamanni nedoliki dizajnu yaki roblyat jogo vrazlivim v danij chas vin vvazhayetsya zastarilim i jogo slid unikati vidklyuchivshi povernennya do SSH 1 Bilshist suchasnih serveriv i kliyentiv pidtrimuyut SSH 2 Versiya 1 99 Redaguvati U sichni 2006 roku pislya versiyi 2 1 buv stvorenij RFC 4253 sho oznachalo sho server SSH yakij pidtrimuye yak 2 0 tak i poperedni versiyi SSH povinni viznachiti svoyi versiyi yak 1 99 8 Ce ne faktichni versiyi ale metod identifikaciyi zvorotna sumisnist OpenSSH i OSSH Redaguvati U 1999 roci rozrobniki bazhali povernutisya do staroyi 1 2 12 relizovuyuchi originalnu SSH programu yaka bula ostannoyu vipushena pid z vidkritim vihidnim kodom licenziyu OSSH Bjorn Gronvall zgodom pochav rozvivatisya z cogo kodu Versiya 2 x Redaguvati Secsh bulo oficijnoyu nazvoyu robochoyi grupi IETF vidpovidalnoyi za versiyu 2 protokolu SSH 9 U 2006 roci pereglyanuto versiyi protokolu i SSH 2 buv prijnyatij yak standart Cya versiya nesumisna z SSH 1 SSH 2 porivnyano z SSH 1 maye krashi funkciyi bezpeki tak i inshi polipshennya Krasha zahishenist proyavlyayetsya u vikoristanni protokolu Diffi Gellmana i silnishij cilisnosti koli perevirka vidbuvayetsya za dopomogoyu MAC pidpisiv Novi mozhlivosti SSH 2 peredbachayut mozhlivist zapuskati bud yaku kilkist obolonok sesij na odnomu SSH z yednanni 10 Cherez perevagi SSH 2 nad SSH 1 ta bilshu populyarnist taki realizaciyi SSH 2 yak libssh v0 8 0 11 Lsh en 12 and Dropbear en 13 pidtrimuyut tilki protokol SSH 2 Vrazlivosti Redaguvati U listopadi 2008 roku teoretichnu vrazlivist bula viyavlena dlya vsih versij SSH yakij dozvoliv vidnovlennya do 32 bit vidkritogo tekstu z bloku zashifrovanogo tekstu zashifrovanogo za dopomogoyu todishnogo standartnogo rezhimu shifruvannya za umovchannyam 14 Piznishe protokol SSH buv zminenij i rozshirenij v nastupnih publikaciyah RFC 4419 Diffi Hellmana Grupa obmin na Secure Shell SSH Transport Layer Protocol berezen 2006 r RFC 4432 RSA Key Exchange dlya Secure Shell SSH Transport Layer Protocol berezen 2006 r RFC 4462 Generic Security Service Application Program Interface GSS API autentifikaciyi i obminu klyuchami dlya Secure Shell SSH Protocol traven 2006 r RFC 4716 Secure Shell SSH Public Key Format fajlu listopad 2006 RFC 5656 Eliptichni algoritm integruvannya krivij v bezpeci transportnogo rivnya Shell gruden 2009 roku Arhitektura Redaguvati nbsp Diagram of the SSH 2 binary packet SSH 2 protokol maye vnutrishnyu arhitekturu viznacheno v RFC 4251 z chitko rozdilenimi sharami Do nih nalezhat Transportnij shar RFC 4253 Cej shar obroblyaye pochatkovij obmin klyuchami avtentifikuye server vstanovlyuye shifruvannya stisnennya i perevirku cilisnosti danih Vin nadaye u vishij shar interfejs dlya vidpravki ta otrimannya tekstovih paketiv rozmirom do 32768 bajt kozhen cej rozmir mozhe buti zbilshenij v pevnij realizaciyi Transportnij riven takozh organizovuye povtornij obmin klyuchami Yak pravilo ce vidbuvayetsya pislya peredachi 1 Gb danih abo koli projshla 1 godina sho shvidshe nastane Shar avtentifikaciyi koristuvacha RFC 4252 Cej shar obroblyaye perevirku avtentichnosti kliyenta i nadaye ryad metodiv autentifikaciyi Avtentifikaciya ye kliyento oriyentovanoyu koli koristuvach otrimuye zapit na vvedennya parolya to ce mozhe buti zapit SSH kliyenta a ne servera Server prosto vidpovidaye na zapiti kliyenta pro avtentifikaciyu Shiroko vzhivani metodi avtentifikaciyi koristuvachiv vklyuchayut nastupne Parol Metod prostij parol autentifikaciyi v tomu chisli zasib sho dozvolyaye parol shob buti zmineni Cej metod ne realizovanij vsima programami z vidkritim klyuchem metod vidkritogo klyucha perevirki avtentichnosti na osnovi yak pravilo pidtrimuyut prinajmni DSA abo RSA pari klyuchiv z inshimi realizaciyami takozh pidtrimuye X 509 sertifikati Interaktivnij RFC 4256 universalnij metod koli server vidpravlyaye odin abo dekilka zapitiv vvodu informaciyi i kliyent vidobrazhaye yih i vidpravlyaye nazad vidpovid vvedeni v koristuvachem Vikoristovuyetsya dlya zabezpechennya odnorazovij parol autentifikaciyi taki yak S Key abo SecurID Vikoristovuyetsya deyakih konfiguraciyah OpenSSH koli PAM ye osnovnim postachalnikom host autentifikaciyi dlya zabezpechennya efektivnoyi autentifikaciyi po parolyu sho inodi prizvodit do nezdatnosti uvijti v sistemu z kliyentom yakij pidtrimuye tilki prostiparol metod perevirki avtentichnosti GSSAPI metodi autentifikaciyi yaki zabezpechuyut rozshiryuvanoyi shemi dlya vikonannya SSH autentifikaciyi z vikoristannyam zovnishnih mehanizmiv takih yak Kerberos 5 abo NTLM zabezpechuyuchi Single Sign On Mozhlivist SSH sesij Ci metodi yak pravilo zdijsnyuyutsya komercijnimi realizaciyami SSH dlya vikoristannya v organizaciyah hocha OpenSSH dijsno ye robocha realizaciyi GSSAPI Spoluki shariv RFC 4254 Cej shar viznachaye ponyattya kanali kanal zapiti i globalnij zapitiv za dopomogoyu yakoyi SSH poslugi Odne z yednannya SSH mozhna rozmistiti kilka kanaliv odnochasno kozhna peredacha danih v oboh napryamkah Kanal zapiti vikoristovuyutsya dlya relejnij vihid za smugu kanalu konkretni dani taki yak zminivsya rozmir vikna terminala abo kod vihodu z servernogo procesu SSH kliyent zapituye server na storoni portu yakij napravlyatimetsya z vikoristannyam globalnoyi zapitom Standartni tipi kanaliv vklyuchayut v sebe Obolonka dlya terminalu SFTP i Exec zapitiv u tomu chisli SCP transfertiv Pryamij TCP IP dlya kliyent server peredayutsya z yednannya Spryamovanij TCP IP dlya server kliyent napravlyayetsya z yednan SSHFP DNS zapis RFC 4255 nadaye gromadskosti vidbitki palciv klyucha hosta dlya togo shob dopomogti v perevirci dostovirnosti gospodarya Ce vidkrita arhitektura zabezpechuye znachnu gnuchkist dozvolyayuchi SSH yakij bude vikoristovuvatisya dlya riznih cilej krim bezpechnoyi obolonki Funkcionalnist transportnogo rivnya tilki porivnyanna z Transport Layer Security TLS shar autentifikaciyi koristuvachiv velmi rozshiryuvanoyi za dopomogoyu koristuvalnickih metodiv autentifikaciyi i z yednannya shariv zabezpechuye mozhlivist multipleksuvannya bagatoh serednih sesij v odne z yednannya SSH funkciya porivnyanna z BEEP i ne dostupni v TLS Polipshennya RedaguvatiVoni priznacheni dlya pidvishennya produktivnosti produktiv SSH SSH over SCTP pidtrimka SCTP a ne TCP yak zv yazok oriyentovanij protokol transportnogo rivnya 15 ECDSA pidtrimka eliptichnoyi krivoyi DSA a ne DSA abo RSA dlya pidpisannya 16 ECDH pidtrimka dlya eliptichnih krivih Diffi Hellmana a ne prosto Diffi Hellmana dlya shifruvannya obminu klyuchami 16 UMAC pidtrimka UMAC a ne HMAC dlya MAC cilisnosti 17 Primitki Redaguvati a b v Service Name and Transport Protocol Port Number Registry IANA d Track Q30335969d Track Q242540 a b Amies A Wu C F Wang G C Criveti M 2012 Networking on the cloud Arhivovano 14 chervnya 2013 u Wayback Machine IBM developerWorks June 21 Nicholas Rosasco and David Larochelle How and Why More Secure Technologies Succeed in Legacy Markets Lessons from the Success of SSH Quoting Barrett and Silverman SSH the Secure Shell The Definitive Guide O Reilly amp Associates 2001 Dept of Computer Science Univ of Virginia Arhiv originalu za 25 chervnya 2013 Procitovano 19 travnya 2006 SSH Insertion Attack Arhiv originalu za 8 lipnya 2011 Procitovano 4 3 2013 Weak CRC allows packet injection into SSH sessions encrypted with block ciphers Arhivovano 5 bereznya 2018 u Wayback Machine US CERT Weak CRC allows last block of IDEA encrypted SSH packet to be changed without notice Arhivovano 5 bereznya 2018 u Wayback Machine US CERT SSH 1 allows client authentication to be forwarded by a malicious server to another server Arhivovano 31 grudnya 2017 u Wayback Machine US CERT RFC 4253 section 5 Compatibility With Old SSH Versions Arhivovano 1 bereznya 2018 u Wayback Machine IETF Secsh Protocol Documents Arhivovano 8 lipnya 2017 u Wayback Machine VanDyke Software Inc SSH Frequently Asked Questions Arhiv originalu za 1 zhovtnya 2017 Procitovano 4 bereznya 2013 libssh Arhiv originalu za 23 lipnya 2019 Procitovano 23 lipnya 2019 A GNU implementation of the Secure Shell protocols Arhiv originalu za 4 lyutogo 2012 Dropbear SSH Arhiv originalu za 14 zhovtnya 2011 SSH CBC vulnerability Arhivovano 6 veresnya 2017 u Wayback Machine US CERT Seggelmann R Tuxen M Rathgeb E P 18 20 July 2012 SSH over SCTP Optimizing a multi channel protocol by adapting it to SCTP Communication Systems Networks amp Digital Signal Processing CSNDSP 2012 8th International Symposium on 1 6 doi 10 1109 CSNDSP 2012 6292659 a b Stebila D Green J December 2009 RFC5656 Elliptic Curve Algorithm Integration in the Secure Shell Transport Layer Arhiv originalu za 19 lipnya 2012 Procitovano 12 listopada 2012 Miller D Valchev P 3 veresnya 2007 The use of UMAC in the SSH Transport Layer Protocol draft miller secsh umac 00 txt Arhiv originalu za 19 serpnya 2014 Procitovano 12 listopada 2012 Div takozh RedaguvatiWeb based SSH dostup do SSH server za dopomogoyu standartnih vebbrauzeriv Autossh instrument dlya pidtrimki postijnogo zv yazku SSH jogo perezapusk pri neobhidnosti Corkscrew en instrument yakij dozvolyaye koristuvachevi zapuskati SSH na HTTPS proxy servers Kriptografiya z vidkritim klyuchem PuTTY Telnet Ssh keygen OpenSSHPosilannya RedaguvatiStara domashnya storinka robochoyi grupi secsh IETF Arhivovano 3 lipnya 2013 u Wayback Machine SSH protokoli Arhivovano 12 kvitnya 2018 u Wayback Machine Standarti Redaguvati RFC 4250 angl The Secure Shell SSH Protocol Assigned Numbers RFC 4251 angl The Secure Shell SSH Protocol Architecture RFC 4252 angl The Secure Shell SSH Authentication Protocol RFC 4253 angl The Secure Shell SSH Transport Layer Protocol RFC 4254 angl The Secure Shell SSH Connection Protocol RFC 4255 angl Using DNS to Securely Publish Secure Shell SSH Key Fingerprints RFC 4256 angl Generic Message Exchange Authentication for the Secure Shell Protocol SSH RFC 4335 angl The Secure Shell SSH Session Channel Break Extension RFC 4344 angl The Secure Shell SSH Transport Layer Encryption Modes RFC 4345 angl Improved Arcfour Modes for the Secure Shell SSH Transport Layer Protocol RFC 4419 angl Diffie Hellman Group Exchange for the Secure Shell SSH Transport Layer Protocol RFC 4432 angl RSA Key Exchange for the Secure Shell SSH Transport Layer Protocol RFC 4716 angl The Secure Shell SSH Public Key File Format nbsp Ce nezavershena stattya pro programne zabezpechennya Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi nbsp Ce nezavershena stattya pro komp yuterni merezhi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Cya stattya mistit tekst sho ne vidpovidaye enciklopedichnomu stilyu Bud laska dopomozhit udoskonaliti cyu stattyu pogodivshi stil vikladu zi stilistichnimi pravilami Vikipediyi Mozhlivo storinka obgovorennya mistit zauvazhennya shodo potribnih zmin veresen 2012 Cya stattya ye sirim perekladom z inshoyi movi Mozhlivo vona stvorena za dopomogoyu mashinnogo perekladu abo perekladachem yakij nedostatno volodiye oboma movami Bud laska dopomozhit polipshiti pereklad listopad 2013 Cyu stattyu potribno povnistyu perepisati vidpovidno do standartiv yakosti Vikipediyi Vi mozhete dopomogti pererobivshi yiyi Mozhlivo storinka obgovorennya mistit zauvazhennya shodo potribnih zmin lipen 2017 Otrimano z https uk wikipedia org w index php title SSH amp oldid 39896943