IZONE- http://www.izcity.com/- бесплатный софт, вэб-сервисы, ресурсы для раскрутки, свежие номера журнала "Internet Zone".

Безопасные ракушки и слои

В статье рассмотрено подключение SSL к Apache, использование SSH и stelnet.

Денис Колисниченко

Генерирование сертификатов. Его подпись.

Приступим к генерированию сертификатов. Выполните команду

openssl genrsa -des3 -out server.key 1024

Она создаст файл server.key. После этого мы должны подать запрос в службу верификации

openssl req -new -key server.key -out server.csr

Тут вам нужно будет ответить на вопросы. Если вы ошиблись, все можно повторить заново. В случае, если запрос сгенерирован правильно, вы должны получить такую надпись:

You now have to send this Certificate Signing Request (CSR) to a Certifying Authority (CA) for signing

Отвечая на вопросы, будьте очень внимательны – ваши ответы увидит весь мир.

По всем правилам, мы сейчас должны подписать сертификат, но за неимением желания платить за это деньги, мы подпишем сами себя:

openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Вы хотите заплатить за подпись? Тогда добро пожаловать на сайт www.thawte.com. В России представителем этого сайта является solutions.rbc.ru

Теперь скопируйте sign.sh из пакета mod_ssl в каталог с ключами и подпишите себя:

./sign.sh server.csr

Если на экране появится надпись

Now you have two files: server.key and server.crt. These now can be used as following

то это означает, что все собрано правильно. Затем скопируйте новые server.key и server.crt на место старых. Выполните команду make в каталоге с .crt-файлом

Теперь вы получили полностью работающий Apache, защищенный SSL. Для сбора полной информации о работе SSL введите:

openssl s_client -connect localhost:443 -state -debug

Secure Shell

Теперь рассмотрим SSH

SSH (Secure Shell) – программа, позволяющая вам зарегистрироваться на удаленных компьютерах и установить зашифрованное соединение. Существует также «безопасная» версия telnet – stelnet.

ssh использует криптографию открытого ключа для шифрования соединения между двумя машинами, а также для опознавания пользователей. Оболочку ssh можно использовать для безопасной регистрации на удаленном сервере или копировании данных между двумя машинами, в то же время предотвращая атаки путем присоединения посредине (session hijacking) и обманом сервера имен (DNS spoffing).

ssh очень эффективен против анализаторов протоколов, так как он не только шифрует, но и сжимает трафик перед его передачей на удаленный компьютер. ssh можно скачать по адресу – http://www.cs.hut.fi/ssh/. Версия ssh для UNIX распространяется бесплатно, а за Windows-версию (имеется в виду клиент для Windows), если не ошибаюсь, нужно заплатить.

Оболочка ssh незаменима в тех случаях, когда удаленно нужно администрировать сервер или когда сервер не имеет собственного монитора. При использовании telnet все данные, которые передаются через telnet-соединение, доступны в открытом виде. А значит, имена пользователей и пароли будут доступны всем, кто прослушивает трафик с помощью анализатора. Шифрование ssh выполняет, используя несколько различных алгоритмов, включая DES и 3DES.

Программа состоит из демона sshd, который запускается на Linux/UNIX-машине, и клиента ssh, который может распространяется как для Linux, так и для Windows.

Итак, берем исходные тексты и помещаем их по традиции в каталог /usr/src/. Распаковываем архив и устанавливаем программу:

cd /usr/src/
tar xzf ssh-1.4.tar.gz
cd ssh-1.4
./configure
make
make install

Чтобы ssh начал работать, необходимо запустить демон sshd. Желательно добавить команду запуска в сценарий загрузки системы для автоматического запуска. Демон sshd работает по 22 порту. Если не ошибаюсь, ssh невозможно использовать вместе с xinetd/inetd - его нужно запускать подобно httpd-серверу в режиме standalone.

Фрагмент /etc/services

ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol

Обычно с настройкой sshd не возникает никаких неприятных моментов. Теперь попробуем зарегистрироваться на этой машине через ssh. Для этого нужно установить этот же пакет на другую машину под управлением Linux/UNIX (или установить Windows-клиент ssh) и ввести команду

$ ssh hostname.domain

ssh запросит вас ввести имя пользователя и пароль и в случае, если аутентификация пройдет успешно, начнет сеанс связи. Прекратить сеанс можно комбинацией клавиш Ctrl+D.

При использовании Windows-клиента имя компьютера, логин и пароль нужно ввести в диалоговом окне программы. Если соединение не устанавливается попробуйте ввести метод кодирования blowfish. Если и это не поможет, выберите 3DES.

Работа в ssh аналогична работе в telnet. Вы можете администрировать удаленную машину также легко как и локальную.

ssh использует два файла конфигурации ssh_conf и sshd_conf. Думаю, что не смысла говорить о том, что они находятся в директории /etc. Рекомендую в файле sshd_conf прописать строчку:

allowedadress 10.1.1.1 10.1.2.1 10.1.3.1

Это означает, что доступ по ssh может быть выполнен только с машин с адресами 10.1.1.1, 10.1.2.1, 10.1.3.1. Это оградит ваш компьютер от нежелательных вторжений извне.

Программа stelnet во всем полностью аналогична программе telnet, но она выполняет шифрование трафика, который передается во время telnet-соединения.

 

<<Назад

 

 

Источник - SoftТерра, http://www.softerra.ru

 


Copyright © "Internet Zone", http://www.izcity.com/, info@izcity.com