The Kermit Project |
Columbia
University
612 West 115th Street, New York NY 10025 USA • kermit@columbia.edu
| |||||||||
|
Kermit 95 2,0 (і вышэй) для Windows уключае Secure Shell (SSH) v1 і v2 кліентам, FTP кліент (які можа зрабіць бяспечным ці рэгулярных злучэнняў), і HTTP-кліент (там жа), у дадатак да шматлікіх метадаў сувязі і кліентаў яна ўжо.
Гэты дакумент не распаўсюджваецца на C-Kermit 8.0 для Unix, які выкарыстоўвае вонкавыя SSH кліент у якасці транспарта ў стварэнні SSH злучэнні, як апісана тут.
1. K95 SSH АГЛЯД 2. Тыповы сеанс SSH 3. SSH Параметры праверкі сапраўднасці 3.1. аўтэнтыфікацыя хаста 3.2. Аўтэнтыфікацыя карыстачоў 4. ВЯДОМЫЯ ПАМЫЛКІ 5. рэчы, каб назіраць за 6. яшчэ не рэалізавана 7. новых каманд для SSH 7.1. Каманда SSH 7.2. SET Каманда SSH
[ Уверх ] [ Утрыманне ] [ Наступная ]
SSH быў дададзены ў Kermit 95 з больш шматлікія сайты адмаўляюцца Telnet (адкрытым тэкстам ці бяспечна) і патрабуюць SSH для віртуальнага злучэння тэрмінала. Пачынальна з версіі 1.1.21, Windows (не OS / 2) версія Kermit 95 уключае SSH v1 і v2 кліентаў:
OS / 2 версіі Kermit 95 не ўключаюць SSH кліента, таму што OpenSSH бібліятэкі не даступныя для OS / 2.
Kermit у SSH злучэнні наладжаны і кантралюецца (новы) SSH і SSH каманды SET. Яны апісаны па HELP SSH і HELP SET SSH (тэкст даведкі прыводзіцца ніжэй).
[ Уверх ] [ Утрыманне ] [ Наступная ] [ Папярэдняя ]
На Да-95> радкі, проста набярыце “SSH somehost”, дзе somehost гэта імя хаста ці IP адрас хаста, які неабходна падлучыць ці, калі ваш ідэнтыфікатар карыстача на хост адрозніваецца ад вашага мясцовага ідэнтыфікатар карыстача, “ssh somehost /user:remoteuserid”. Вы можаце атрымаць паведамленні ці пытанні з нагоды хаста ўпершыню Ўсталяваўшы злучэнне, напрыклад:
[C:\K95] K-95> ssh xyzcorp.com The authenticity of host 'xyzcorp.com' can't be established. DSA key fingerprint is 85:f9:8b:cd:23:12:01:d9:cf:7a:12:cf:b5:5d:ab:60. Are you sure you want to continue connecting (yes/no)?
але гэта звычайна для любога кліента SSH. Калі ў вас ёсць падставы меркаваць, хост самазванец, сказаць “ды” (падрабязней пра гэта ў наступнай частцы). Зараз K95 пытае ваш пароль, увядзіце яго ў поле, K95 адпраўляе яго па зашыфраваным злучэнні, і наперад.
З гэтай кропкі, SSH сесіі, як і любы іншы сеанс тэрмінала K95. Вы можаце бегчы зваротна ў радок з Alt-X, вярнуцца ў экран тэрмінала з C ці Alt-X, перадаваць файлы, што вы жадаеце. Калі вы выйсці з гаспадара, K95 павінен з’явіцца зваротна ў сваю каманду экран аўтаматычна, але гэта залежыць ад SSH сервер.
Адзін асобнік K95 у наш час не можа кіраваць некалькімі сесіямі тэрмінала, SSH, Telnet, мадэм, ці інакш, але, вядома, вы можаце запусціць некалькі асобнікаў K95. Вы можаце, аднак, сесіі FTP і / ці сесіі HTTP у той жа час, як тэрмінал сесіі ў адным асобніку K95.
[ Уверх ] [ Утрыманне ] [ Наступная ] [ Папярэдняя ]
Утрыманне частак
3.1. Host Authentication 3.2. User Authentication
SSH забяспечвае бяспека (ці ілюзію гэтага) шляхам шыфравання сесіі. SSH можа працаваць у адсутнасць аўтэнтыфікацыі, але ён таксама прапануе некалькі варыянтаў для праверкі сапраўднасці, ніводны з іх асабліва бяспечным, за выключэннем Kerberos 5 GSSAPI і SRP.
Ёсць два бакі аўтэнтыфікацыі:
У сваёй найпростай форме, SSH дазваляе карыстачу зрабіць зашыфраваных злучэнняў без стварэння любых ключоў ці іншых адмысловых працэдур праверкі сапраўднасці ці файлаў, і ўсё ваярства адміністратар павінен зрабіць, гэта ўсталяваць SSH сервер і генераваць ключы хаста. Ніякія змены ў сістэму Лагін вузле з’яўляецца абавязковым. Вось чаму SSH настолькі папулярны ў параўнанні з метадаў аўтэнтыфікацыі, якія з’яўляюцца больш бяспечнымі і кіраванымі: лёгка пачаць працу. Аднак, гэты выгляд сувязі SSH не праходзіць праверку сапраўднасці прымалай кліента і праверцы сапраўднасці кліента на машыне толькі праз пароль файла, гэтак жа, як звычайныя Ўвайсці небяспечна. Розніца толькі ў тым, што сесіі (уключаючы пароль) у зашыфраваным выглядзе, што робіць хакераў зрабіць невялікую дадатковую працу, каб расшыфраваць іх сніффер часопісы і атрымаць пароль. Мяркуецца, што хакеры не будзе турбаваць, каб зрабіць гэта, бо незашыфраваныя паролі лягчэй выкрасці (як аўтамабілі без руля замкі), але, вядома, гэта прыняцце жаданага за сапраўднае.
Найболей важныя каманды ведаць пра гэта вы спрабуеце зрабіць SSH злучэнне ўсталявана SSH строгага HOST-KEY-CHECK. Значэнні ON, OFF, і спытаць.
Ёсць два вядомых хастоў-файлы для кожнай версіі пратаколу. Карыстачом файл захоўваецца ў тэчцы \v(appdata)ssh і аўтаматычна абнаўляецца аснове злучэння вы робіце. Агульнасістэмнай вядома-Хост файл (апцыянальна) захоўваюцца ў тэчцы \v(common)ssh дырэкторыя для аперацыйнай сістэмы і ніколі не абнаўляецца Kermit 95. Гэта там, каб быць падтрымліваецца сістэмным адміністратарам.
Вашы файлы глабальных вядома-хастоў захоўваюцца ў каталогу, агульныя для ўсіх карыстачоў:
SSH v1: \v(common)ssh\known_hosts SSH v2: \v(common)ssh\known_hosts2
і ваш пэўнага карыстача (і K95 пэўным), вядомы-хастоў файлы:
SSH v1: \v(appdata)ssh\known_hosts SSH v2: \v(appdata)ssh\known_hosts2
(\ V (APPDATA) з’яўляецца Карыстацкі Kermit Application Data Directory зменнай. Карыстача прыкладання каталога дадзеных знаходзіцца ў сістэме залежнай выявай. Windows 95/98/98SE/ME/NT захоўваць дадзеныя прыкладанняў з карыстацкім профіль. Windows 2000/XP Vista / і г.д. захоўваць дадзеныя прыкладанняў у каталогу Documents and Settings / Скажы K95 “show var appdata”, каб убачыць яго вызначэнні, напрыклад.) Такім чынам, на Windows XP гэтыя файлы ў SSH падкаталогу Windows APPDATA каталог:
SSH v1: c:\Documents and Settings\username\Application Data\Kermit 95\ssh\known_hosts SSH v2: c:\Documents and Settings\username\Application Data\Kermit 95\ssh\known_hosts2
У Windows 98 з падтрымкай шматкарыстальніцкага, гэта будзе:
SSH v1: c:\WINDOWS\Profiles\username\Application Data\Kermit 95\ssh\known_hosts SSH v2: c:\WINDOWS\Profiles\username\Application Data\Kermit 95\ssh\known_hosts2
У Windows 98 без падтрымкі шматкарыстальніцкай, гэта будзе:
SSH v1: c:\WINDOWS\Application Data\Kermit 95\ssh\known_hosts SSH v2: c:\WINDOWS\Application Data\Kermit 95\ssh\known_hosts2
(\ V (агульны) з’яўляецца ў агульных Kermit каталог дадзеных зменнай. Агульнага каталога дадзеных знаходзіцца ў сістэме залежнай выявай. Windows 95/98/98SE/ME/NT захоўваць агульныя дадзеныя прыкладанні ў каталог WINDOWS. Windows 2000/XP крам Дадзеныя прыкладанні ў Дакументы і Settings \ All каталогу карыстача. Скажы K95 “паказаць var агульнага”, каб убачыць яго вызначэнні.)
Кожны файл утрымоўвае серыю (доўгія) “лініі”, па адным на гаспадара, кожны радок утрымоўвае імя і псеўданімы, а затым увядзіце Base 64, гэта адкрыты ключ хаста. Даданне прымалых ключавыя сродкі дадання такой лініі да адпаведнага файла.
SSH строгага HOST-KEY-Check On дае вам некаторае assurance, што гаспадар у вас усталявана злучэнне, вы мелі на ўвазе адзін для падлучэння. Але гэта таксама азначае, што ваша першае падлучэнне да вызначанага хаста, верагодна, будзе адмоўлена. Гэта класічны і яйкі курыныя сітуацыі. Ты павінен атрымаць прымалай ключы ад праверанай крыніцы, такія як дыск ці CD-ROM з адміністратараў гаспадар, але калі вы не зрабілі, як вы атрымаеце ключ, калі ён знаходзіцца на вельмі прымалай вы не можаце падлучыцца да таму, што вы не маюць яго ключ? Магчымасці складаюцца з:
SET SSH STRICT-HOST-KEY-CHECK OFF (or ASK)
, а затым зрабіць SSH злучэнне з гаспадаром, аўтэнтыфікацыі з паролем, а затым гаспадар ключ аўтаматычна здабываюцца і дадаюцца ў-хост файл вядома, а затым наступныя злучэнні на гэты хост можа быць зроблена з SSH строгага HOST-KEY- CHECK ON. Але, вядома, бо вы абыйшлі працэс праверкі сапраўднасці прымалай атрымаць ключ, будучыня аўтэнтыфікацыі з выкарыстаннем гэтага ключа нічога не варта, і вы маглі б таксама не надакучылі.
Вы здзівіцеся, калі захоўванне ключы хаста з’яўляецца добрай ідэяй. Перавага абароны яны прапануюць супраць чалавека-ў-сярэдзіне нападу і падмену DNS (але не заражаных хастоў). Недахопам з’яўляецца тое, што любой, хто можа атрымаць доступ да хост ключоў (законна ці няма), ведае, якія хасты доступ, што само па сабе можа быць інфармацыя, якую вы не жадаеце расчыняць, але таксама кажа хакераў, якія хасты для нападу на ваша імя. Як ужо адзначалася, Kermit 95 (як і ўсе іншыя SSH кліентаў) дадае новыя ключы прымалых да карыстацкага прымалай ключавога файла (ов). Вы можаце выдаліць гэтыя файлы, калі вы жадаеце, вы можаце нават зрабіць гэта аўтаматычна ў K95 ON_EXIT макроопределенія.
Незалежны, як хост праверку сапраўднасці на K95, з’яўляецца метад, пасродкам якога K95 аўтэнтыфікацыю вам хост:
Па змаўчанні метад аўтэнтыфікацыі кліента (гэта значыць метад, які выкарыстоўваецца, калі вы наладзілі K95 выкарыстоўваць любыя іншыя метады, апісаныя ніжэй) з’яўляецца запытам на мясцовым узроўні для пароля і затым адправіць яго (з шыфраваннем) на сервер. Гэты метад патрабуе ад вас увесці пароль кожных разоў, калі вы ўвайдзіце (у адрозненне, скажам, Kerberos 5, якая дае вам “аднаго Ўвайсці сеткі”).
Калі вы павінны выкарыстоўваць SSH звязацца з прымалай прыватнасці, мы рэкамендуем простай аўтэнтыфікацыі пароль. Калі гэта ў парадку з вамі прапусціць пакінутую частку гэтай часткі, у адваротным выпадку працягвайце чытаць.
Вы можаце таксама выкарыстоўваць адкрыты / зачынены ключ пар, мэта якога, каб дазволіць вам увайсці ў прымалай без уводу пароля. Гэта небяспечна, таму што вашы ключы захоўваюцца на вашым дыску Windows, дзе яны могуць быць выкрадзены (асабліва лёгка на ПК з Windows 9x/ME, якія далучаны да сеткі, але адсутнасць якой-небудзь форме сістэмы бяспекі файлаў). Калі вашы ключавыя файлы зашыфраваны, яны могуць быць расшыфраваны ў аўтаномным рэжыме. (Больш фразу для файла ключа шыфравання, тым больш часу патрабуецца для выканання нападу па слоўніку супраць яго; 40-знакавы характар фразу варта лічыць мінімальным, але большасць людзей не выкарыстоўваць такі доўгі пароль, так што большасць ключавых файлаў паспеў для выскубанне).
Для выкарыстання адкрытага і зачыненага ключоў пар вы павінны мець адкрыты ключ кожнага хаста ва ў \ V кампутара (APPDATA) \ SSH \ known_hosts (SSH V1) і / ці \ V (APPDATA) \ SSH \ known_hosts2 файлаў (SSH V2), і вы таксама павінны загрузіць свой уласны адкрыты ключ для кожнага хаста і паклаў яго ў адпаведнае месца, напрыклад, ~ /.ssh / authorized_keys (SSH V1) і / ці ~ /.ssh/authorized_keys2 (SSH V2), калі OpenSSH з’яўляецца дэман. Калі ўсе патрэбныя файлы і ключы знаходзяцца ў патрэбным месцы ў адпаведных фарматаў, вы можаце ўвайсці ў сістэму без пароля. Для таго, каб вызначыць правільны тып ключ для выкарыстання, вы павінны ведаць канфігурацыі SSH дэман. Калі вы не прымалых адміністратара, звернецеся да адпаведнага адміністратара для атрымання дапамогі. (Распаўсюджаная памылка складаецца ў адпачынак дазволу на ~ /. SSH / каталог і файлы, якія ён утрымоўвае свету ці групы даступныя. SSH дэманы адмовіцца ад выкарыстання асоба файлы, якія даступныя нікому, акрамя ўладальніка рахунку.
Вось прыклад. Я госць ID на машыне Linux на выдалены сайт. Калі я раблю SSH падлучэнне да яго (уваход з паролем), радок стану K95 паказвае мне SSH сервер узровень складае 2,0. Калі я жадаю мець магчымасць падлучыцца без уводу пароля, то (1) мой канец ужо зроблена, бо K95 дадаў адкрыты ключ прымалых да майго known_hosts2 файл першы раз я зрабіў SSH падлучэнне да яго, але (2) Я неабходна дадаць публічны ключ майго кампутара на мой:
~/.ssh/authorized_keys2
файл на хост. У гэтым выпадку апынулася няма такога файла. Такім чынам, усё я павінен быў зрабіць, гэта загрузіць мой адкрыты ключ на хасце, ~ /.ssh/authorized_keys2. Але што адкрыты ключ? У мяне ёсць тры з іх (гл. ключа SSH каманду Стварыць апісанне ніжэй):
SSH V1 RSA key: identity.pub SSH V2 DSA key: id_dsa.pub SSH V2 RSA key: id_rsa.pub
Ну, бо сервер выкарыстоўвае SSH v2, я магу ігнараваць identity.pub файл, які прызначаны толькі для SSH v1. Таму я пачаў з загрузкай мой id_dsa.pub файл у ~ /. SSH каталог, пераназваць яго ў authorized_keys2, выходзячы, і прыняцці новага злучэння SSH на той жа хост. Гэта дазволіла мне без пароля, так што я адгадаў з першага разу -. Можа быць, id_rsa.pub ключ працаваў бы занадта, хто ведае гэта, верагодна, залежыць ад сервера.
Але зараз, вядома, любы, хто можа атрымаць копію id_dsa сакрэтны ключ ад майго дыска Windows можа ўвайсці ў якіх змесцаваны, як і я, без пароля. І гэта лёгка для іх, каб знайсці гаспадар, таму што гэта, пералічаных у маім known_hosts2 файл, разам з усімі іншымі вузламі я падлучыцца да з SSH v2. Так што я дасягнуў? У мяне ёсць даволі шмат засталося ключы ад усіх маіх хат на вуліцы, кожны ключ акуратна пазначаны адрас хаты ён разблакуе.
Так, якія маюць пераканаўся, што абмен ключамі механізм працуе як яна была задумана (па SSH дызайнераў, а не нам), я выдаліў authorized_keys2 файл з гаспадара і я выдаліў усе зачыненыя ключы ад майго дыска Windows. У адрозненне ад Kerberos тоеснасці ці сертыфікаты X.509, парушэнне зачыненыя ключы не могуць быць адменены ці нават адшукаў. І ў адрозненне ад шыфраванай праверкі сапраўднасці пароля, якія павінны быць адлюстраваны ў яго імгненне транзіту, вашы ключавыя файлы заўсёды даступныя для хакераў, і для Зрэшты, на патэнцыйна бясконцы лік з іх адначасова.
Заўважым, дарэчы, што некаторыя SSH хастоў не падтрымліваюць адкрыты / зачынены ключ аўтэнтыфікацыі пары на ўсіх, таму кожны спалучэнне спробе не атрымаецца. Там няма спосабу пазнаць гэта, не прымалых адміністратара кажу вам, ці вычарпання ўсіх камбінацый.
Бо паміж дзяржаўным і прыватным пары ключоў аўтэнтыфікацыі з’яўляецца небяспечным, K95 таксама падтрымлівае два бяспечных метадаў аўтэнтыфікацыі для SSH v2, якія не патрабуюць адкрытага і зачыненага ключоў пар:
Вядома, бяспечнай аўтэнтыфікацыі па SSH кліентаў патрабуе href="security.html#xa1.5">змена SSH серверы, якія даступныя. GSSAPI не патрабуе ключы хаста наогул, бо Kerberos аўтэнтыфікацыі з’яўляецца ўзаемнай.
Поўны спіс SSH v2 K95 на метады аўтэнтыфікацыі:
[ Уверх ] [ Утрыманне ] [ Наступная ] [ Папярэдняя ]
[C:\K95\] K-95> Connection to blah closed.
[ Уверх ] [ Утрыманне ] [ Наступная ] [ Папярэдняя ]
[ Уверх ] [ Утрыманне ] [ Наступная ] [ Папярэдняя ]
[ Уверх ] [ Утрыманне ] [ Папярэдняя ]
Утрыманне частак
7.1. The SSH Command 7.2. The SET SSH Command
Далей у гэтым дакуменце пералічаны K95 новага SSH злучаных каманд. Вы таксама можаце знайсці вялікая частка гэтай інфармацыі з ДАПАМОГА ўводзе каманды K95′s (HELP SSH, HELP SET SSH і г.д.). Пазначэнні:
Некаторыя з гэтых каманд маюць аналогі ў налады SSH дыялог у новым Dialer.
SSH-agent.exe Праграма пастаўляецца ў каталогу праграмы K95′s. Калі вы запусціце яе, яна выступае ў якасці агента SSH праграмы для іншых прыкладанняў на вашым кампутары, такіх як Kermit 95.
Давайце паглядзім на самыя важныя і найболей часта выкарыстоўваныя каманды SSH першым:
Арыентыровачная Сінонім: SET хост / сетка. SSH Гэта гэтак жа, як SSH OPEN, за выключэннем таго, не ўваходзіць у акне тэрмінала (калі вы не ўключаць / CONNECT перамыкач). Гэта дазваляе SSH злучэння вырабляецца ў сцэнары, у якіх узаемадзеянне з прымалай павінны быць аўтаматызаваны. Каб убачыць, як наладзіць SSH аснове Kermit перадачы файлаў і кіраванні службы (па аналогіі з SFTP, але з большай гнуткасці, функцыянальнасці, выгоды, і scriptability), НАЦІСНІЦЕ ТУТ.
Калі Ваша імя карыстача на хасце не тое ж самае, як у \ K95 V (ідэнтыфікатар карыстача) значэнне, вы павінны уключыць / USER: каб паказаць імя карыстача на хасце. Вы можаце пазнаць у \ K95 (ідэнтыфікатар карыстача) значэнне, увядучы SHOW VAR USERID на K95 радкі. Вы можаце ўсталяваць гэту зменную ў глабальным маштабе з SET УВАХОД USERID каманду, і ў гэтым выпадку яна выкарыстоўваецца для ўсіх будучых лагіны сеткі да выйсця з K95. / USER: перамыкач, з іншага боку, распаўсюджваецца толькі на каманды, з якімі ён задаецца, і лісце глабальнай USERID налады ў адзіночку.
Вось астатнія SSH каманды ў алфавітным парадку:
Key Type | Private Key File | Public Key File |
---|---|---|
v1 RSA keys | \v(appdata)ssh/identity | \v(appdata)ssh/identity.pub |
v2 RSA keys | \v(appdata)ssh/id_rsa | \v(appdata)ssh/id_rsa.pub |
v2 DSA keys | \v(appdata)ssh/id_dsa | \v(appdata)ssh/id_dsa.pub |
Ключы захоўваюцца з выкарыстаннем OpenSSH ключавы файл фармату. Зачынены ключ файлы могуць быць (апцыянальна), абаронены, паказаўшы пароль. Ключавая фраза з’яўляецца даўжэйшая версія пароль. Ангельскі тэкст не дае больш за на 2 біта ключавых дадзеных на знак. 56-бітныя ключы могуць быць пабіты на напад “грубіянскай сілай прыкладна ў 24 гадзін. Пры выкарыстанні зачыненага ключа файлы павінны быць абаронены фразу не меней 40 знакаў (каля 80 біт).
V1 RSA: \v(appdata)ssh/identity V2 RSA: \v(appdata)ssh/id_rsa V2 DSA: \v(appdata)ssh/id_dsa
Operating System | File |
---|---|
Windows 95/98/98SE/ME | %windir%\ssh_known_hosts |
Windows NT/2000/XP/Vista/7/etc | \v(common)ssh\ssh_known_hosts |
\ V (APPDATA) SSH / known_hosts
вонкавага keyx GSSAPI hostbased PublicKey SRP-GEX-sha1 клавіятура-інтэрактыўны пароль ніхто
AES128-CBC 3DES-CBC Blowfish-CBC Cast128-CBC arcfour AES192-CBC AES256-CBC
Windows 95/98/98SE/ME: %windir%\ssh_known_hostss Windows NT/2000/XP: \v(common)ssh\ssh_known_hosts2
ssh-rsa ssh-dsa
hmac-md5 hmac-sha1 hmac-ripemd160 hmac-sha1-96 hmac-md5-96
\v(appdata)ssh/known_hosts2
[ Top ] [ Contents ] [ K95 Home ] [ Kermit Home ]