[SSH]Safe terminal access

Při přihlašování na servery Unix přes počítačovou síť programem telnet nebo ftp jde zadávané heslo v otevřené podobě a hrozí nebezpečí odposlechu hesla na síti. Toto nebezpečí není nijak hypotetické, na síti typu Ethernet se může napojit kdokoli kdekoli na segment sítě a odposlouchávat provoz (s jistými omezeními i na síti která je tvořená přepínači). Stejně tak, pokud se přihlašujete na dálku, z terminálových serverů, jiných sítí, jiných areálů, nemůžete si být nikdy jisti, že někde po cestě není napojena sonda, která snímá síťový provoz a zajímavé informace ukládá.

ssh

Pro bezpečné přihlášení lze použít různé postupy. Na všech fakultních serverech je podporováno přihlašování pomocí ssh (slogin). Program ssh nahrazuje program telnet a zajišťuje bezpečné šifrované spojení na server. Program ssh je dostupný pro systémy Unix na http://www.openssh.org/. V běžných distribucích systémů Linux a BSD je dnes standardně začleněn. Pokud se tedy přihlašujete na fakultní servery z jiných systémů Unix, použijte program ssh nebo slogin.

ssh pro Win95/98/Me/NT/2000/XP/Vista/W7

Putty

Viz http://www.chiark.greenend.org.uk/~sgtatham/putty/. Obsahuje jak ssh, tak scp a sftp. Je standardně nainstalován na systémech Windows XP v učebnách. Putty lze použít i pro vzdálený přístup na fakultní servery (port forwarding).

Příklad: news.fit.vutbr.cz má omezený přístup, stačí přidat do Putty: Change Settings -> Tunnels -> Source Port: 119, Destination: IP adresa:119, zaškrtnuto Local, Auto -> stisknout Add.
Pozor: je nutno zadat IP adresu, nelze použít jméno serveru. Pokud mapovaní přestane fungovat, ověřte IP adresu příkazem "nslookup news.fit.vutbr.cz"
Nyní se můžete přihlásit se na některý fakultní server a můžete číst NetNews ze svého počítače (adresa localhost:119). Mapování lze doplnit i v průběhu spojení, ale nelze jej v této situaci uložit. Trvalé mapování nastavíte postupem: Load session -> nastavení viz výše -> Save session.

Symbian, Android

Volně dostupná verze PuTTY pro Symbian, ssh pro Android, apod. Ani u mobilů tedy není problém s šifrovaným přístupm.

Další

Další implementace SSH pro Windows viz http://www.openssh.com/windows.html.

WinSCP a SFTP

Pro kopírování souborů není příliš rozumné používat FTP (heslo jde taky po síti v otevřené podobě). Bezpečný kopírovací program je v Unixu součástí SSH (scp) nebo OpenSSH (scp a sftp). Do Windows 95/98/NT/2000/XP/2003 je k dispozici volně šířený WinSCP.

IMAP4, POP3, Web, SMTP

Pro přístup k poštovním schránkám, chráněným Web stránkám a autentizované odesílání pošty je opět třeba zadávat uživatelské jméno a heslo, které putuje v otevřené podobě. Ke všem těmto službám dnes existují varianty, které pracují přes bezpečný šifrovaný kanál SSL. Jejich použití podporují všechny rozšířené aplikace. Takže pro vzdálený přístup k poštovní schránce používejte vždy protokol IMAP4 přes SSL (port 993), protokol POP3 přes SSL (port 995), protokol HTTPS (port 443) a SMTP přes SSL (buď na portu 465 nebo na standardním portu 25, do šifrovaného kanálu se přepíná příkazem STARTTLS). V některých případech je použití SSL tvrdě vyžadováno, například Web stránky, které vyžadují zadání hesla, jsou přístupné pouze přes protokol HTTPS, IMAP4 a POP3 servery nedovolují otevřené spojení mimo lokální síť fakulty, News server vyžaduje šifrované spojení pro autentizaci, apod.

Zpět na návody CVT

Your IPv4 address: 54.87.88.52
Switch to IPv6 connection

DNSSEC [dnssec]