[SSH]Safe terminal access

Při přihlašování na servery Unix přes počítačovou síť programem telnet nebo ftp jde zadávané heslo v otevřené podobě a hrozí nebezpečí odposlechu hesla na síti. Toto nebezpečí není nijak hypotetické, na síti typu Ethernet se může napojit kdokoli kdekoli na segment sítě a odposlouchávat provoz (s jistými omezeními i na síti která je tvořená přepínači). Stejně tak, pokud se přihlašujete na dálku, z terminálových serverů, jiných sítí, jiných areálů, nemůžete si být nikdy jisti, že někde po cestě není napojena sonda, která snímá síťový provoz a zajímavé informace ukládá.

ssh

Pro bezpečné přihlášení lze použít různé postupy. Na všech fakultních serverech je podporováno přihlašování pomocí ssh (slogin). Program ssh nahrazuje program telnet a zajišťuje bezpečné šifrované spojení na server. Program ssh je dostupný pro systémy Unix na http://www.openssh.org/. V běžných distribucích systémů Linux a BSD je dnes standardně začleněn. Pokud se tedy přihlašujete na fakultní servery z jiných systémů Unix, použijte program ssh nebo slogin.

ssh pro Win95/98/Me/NT/2000/XP/Vista/W7/W8/W10

Putty

Viz http://www.chiark.greenend.org.uk/~sgtatham/putty/. Obsahuje jak ssh, tak scp a sftp. Je standardně nainstalován na systémech Windows v učebnách. Putty lze použít i pro vzdálený přístup na fakultní servery (port forwarding).

Příklad: Některé NAT přeposílají pakety na různé Web servery pokaždé z jiné zdrojové IP adresy, což činí problém při autentizaci přes CAS FIT. Stačí přidat do Putty: Change Settings -> Connection - SSH - Tunnels -> Source Port: 1234, Destination: IP adresa:443, zaškrtnuto Local, Auto -> stisknout Add.
Pozor: je nutno zadat IP adresu, nelze použít jméno serveru.
Nyní můžete použít pro přístup na daný Web server lokální adresu localhost:1234. Pro další servery pak použijte jiné lokální porty (1235, 1236, atd.). Mapování lze doplnit i v průběhu spojení, ale nelze jej v této situaci uložit. Trvalé mapování nastavíte postupem: Load session -> nastavení viz výše -> Save session.

Symbian, Android

Volně dostupná verze PuTTY pro Symbian, ssh pro Android, apod. Ani u mobilů tedy není problém s šifrovaným přístupm.

Další

Další implementace SSH pro Windows viz http://wiht.link/ssh-putty.

WinSCP a SFTP

Pro kopírování souborů není příliš rozumné používat FTP (heslo jde taky po síti v otevřené podobě). Bezpečný kopírovací program je v Unixu součástí SSH (scp) nebo OpenSSH (scp a sftp). Do systémů Windows je k dispozici volně šířený WinSCP.

IMAP4, POP3, Web, SMTP

Pro přístup k poštovním schránkám, chráněným Web stránkám a autentizované odesílání pošty je opět třeba zadávat uživatelské jméno a heslo, které putuje v otevřené podobě. Ke všem těmto službám dnes existují varianty, které pracují přes bezpečný šifrovaný kanál SSL. Jejich použití podporují všechny rozšířené aplikace. Takže pro vzdálený přístup k poštovní schránce používejte vždy protokol IMAP4 přes SSL (port 993), protokol POP3 přes SSL (port 995), protokol HTTPS (port 443) a SMTP přes SSL (buď na portu 465 nebo na standardním portu 25, do šifrovaného kanálu se přepíná příkazem STARTTLS). V některých případech je použití SSL tvrdě vyžadováno, například Web stránky, které vyžadují zadání hesla, jsou přístupné pouze přes protokol HTTPS, IMAP4 a POP3 servery nedovolují otevřené spojení mimo lokální síť fakulty, News server vyžaduje šifrované spojení pro autentizaci, apod.

Zpět na návody CVT

Your IPv4 address: 54.224.155.169
Switch to IPv6 connection

DNSSEC [dnssec]