[SSH]Bezpečné přihlašování

Při přihlašování na servery Unix přes počítačovou síť programem telnet nebo ftp jde zadávané heslo v otevřené podobě a hrozí nebezpečí odposlechu hesla na síti. Toto nebezpečí není nijak hypotetické, na síti typu Ethernet se může napojit kdokoli kdekoli na segment sítě a odposlouchávat provoz (s jistými omezeními i na síti která je tvořená přepínači). Stejně tak, pokud se přihlašujete na dálku, z terminálových serverů, jiných sítí, jiných areálů, nemůžete si být nikdy jisti, že někde po cestě není napojena sonda, která snímá síťový provoz a zajímavé informace ukládá.

ssh

Na všech fakultních serverech je podporováno přihlašování pomocí ssh (slogin). Program ssh nahrazuje program telnet a zajišťuje bezpečné šifrované spojení na server. Program ssh je dostupný pro systémy Unix na http://www.openssh.org/. V běžných distribucích systémů Linux a BSD je dnes standardně začleněn. Pokud se tedy přihlašujete na fakultní servery z jiných systémů Unix, použijte program ssh nebo slogin.

ssh pro W7/W8/W10

Putty

Viz http://www.chiark.greenend.org.uk/~sgtatham/putty/. Obsahuje jak ssh, tak scp a sftp. Ve fakultní síti FIT tyto aplikace najdete na síťovém disku Q:\netapp\putty. Putty lze použít i pro vzdálený přístup na fakultní servery (port forwarding).

Příklad: Některé NAT přeposílají pakety na různé Web servery pokaždé z jiné zdrojové IP adresy, což činí problém při autentizaci přes CAS FIT. Stačí přidat do Putty: Change Settings -> Connection - SSH - Tunnels -> Source Port: 1234, Destination: IP adresa:443, zaškrtnuto Local, Auto -> stisknout Add.
Pozor: je nutno zadat IP adresu, nelze použít jméno serveru.
Nyní můžete použít pro přístup na daný Web server lokální adresu localhost:1234. Pro další servery pak použijte jiné lokální porty (1235, 1236, atd.). Mapování lze doplnit i v průběhu spojení, ale nelze jej v této situaci uložit. Trvalé mapování nastavíte postupem: Load session -> nastavení viz výše -> Save session.

Android, iOS

Implementace ssh existují i pro mobilní operační systémy, stačí v aplikačním obchodě vyhledat SSH. Pro Android např. Connectbot, pro iOS např. Termius - ale na výběr je mnoho aplikací.

Další

Další implementace SSH pro Windows viz http://wiht.link/ssh-putty.

WinSCP a SFTP

Pro kopírování souborů není příliš rozumné používat FTP (heslo jde taky po síti v otevřené podobě). Bezpečný kopírovací program je v Unixu součástí SSH (scp) nebo OpenSSH (scp a sftp). Do systémů Windows je k dispozici volně šířený WinSCP.

IMAP4, POP3, Web, SMTP

Pro přístup k poštovním schránkám, chráněným Web stránkám a autentizované odesílání pošty je opět třeba zadávat uživatelské jméno a heslo, které putuje v otevřené podobě. Ke všem těmto službám dnes existují varianty, které pracují přes bezpečný šifrovaný kanál SSL. Jejich použití podporují všechny rozšířené aplikace. Takže pro vzdálený přístup k poštovní schránce používejte vždy protokol IMAP4 přes SSL (port 993), protokol POP3 přes SSL (port 995), protokol HTTPS (port 443) a SMTP přes SSL (buď na portu 465 nebo na port 587 s příkazem STARTTLS). V některých případech je použití SSL tvrdě vyžadováno, například Web stránky, které vyžadují zadání hesla, jsou přístupné pouze přes protokol HTTPS, IMAP4 a POP3 servery nedovolují otevřené spojení mimo lokální síť fakulty apod.

Zpět na návody CVT

Vaše IPv4 adresa: 54.161.77.30
Přepnout na IPv6 spojení

DNSSEC [dnssec]