فرض کنید مسئول یک شبکه کامپیوتری هستید و بخشی از شبکه در شهر دیگری مستقر است وشمابرای مدیریت سیستم ها مجبورید روزانه چندین دفعه با هر سیستم از راه دورارتباط برقرارکنید. برای هر سیستم باید یک عملیاتpassphrase را انجام دهیدواین،وقت وانرژی زیادی از شما خواهدگرفت. فرمان ssh-agent این امکانرابه شما می دهدکه فقط یک بار مجبورباشید به سیستم راه دور متصل شویدوبر روی سیستم مقصد سرویسagent را فعال کنید.

در هنگام نصب لینوکس، اگر دقت کرده باشید،این امکان رادارید که سرویس دهنده(ssh secure shell) رافعال کنید. SSH سرویسی برای مدیریت ودسترسی به کامپیوتر یاشبکه از راه دور است.rsh و telnet و ftpدیگر ابزارهای برقراری ارتباط ومدیریت یک سیستم راه دورهستند اما مکانیزهای امنیتی در آن هااستفاده نشده است و به راحتی می توان با شنود کردن ارتباط میان دو کامپیوتر در سطح شبکه ، به اطلاعات بسیار ارزشمندی مانند اسم ورمز کاربری کامپیوتری راه دور دست یافت.SSH یک تونل ارتتاطی رمز شده میان دو کامپیوتر به وجود می آورد و داده های به صورت کد شده میان دو کامپیوتر تبادل می شوندودر نتیجه حتی در صورت به دست آوردن اطلاعات تبادل شده میان این دو کامپیوتر، امکان بهره برداری از آنها وجود ندارد. SSH یک سرویس امنیتی برای مقابله باطیف گسترده ای از حملا ت اینترنتی است. SSH ذاتا یک پروتکل است و استانداردهای یک ارتباط رمز شده برای اداره یک سیستم از راه دور را فراهم می کند.?SSHاولین نسخه از این پروتکل است که با اصلاحاتیSSH?تبدیل شده است. SSH? ازامکانات وقابلیت های بیشتری به نسبت نسخه قبلی برخوردار است ودستورات وبرنامه های گسترده تری دارد.نسخه رایگان وآزاد این پروتکل، با نام open SSH توسط گروه سیستم عامل openBSD منتشرمی شود.SSH یک ابزار کاملا خط فرمان است که فقط در کنسول های متنی قابل استفاده می باشدو برای به کارگیری درسیستم های mac و ویندوزنیز به کنسول خط فرمان نیاز دارد.ارائه راهنمای کاملی از راه اندازی ، پیکربندی واستفاده از سرویس SSH به طور موثر وکارا،کاری خارج از عهده یک مقاله است وکتابی مفصل وجامع را طلب می کند.هد ف این نوشتار شناخت این سرویس امنیتی در کنار قابلیت های آن درسیستم عامل لینوکس وارائه کلیدهایی به خواننده برای
پیگری و مطالعه هدفمند موضوع است.
? شروع کار باSSH
SSH یک برنامه سرویس دهنده/سرویس گیرنده است.بر روی کامپیوتر راه دوری که باید به آن متصل شد،برنامه سرویس دهنده sshd نصب می شود وبرنامه های کاربردی بر روی سیستم های کاربران یا مدیر سیستمی که می خواهد از راه دور کامپیوترمورد نظررااداره کند،اجرا می شوند.همچنین می تواناز شاخه etc/ssh/ به فایل های پیکربندی برنامه دسترسی داشت.sshdconfig فایل پیکربندی سرویس دهنده sshd است.دایرکتوری HIME/ssh$ برروی سیستم هرکاربرشامل فایل هایی مانندکلیدعمومی وفایل های پیکربندی خود کاربرمی باشد.دربسیاری از توزیع های لینوکس هردو سرویس به صورت پیش فرض نصب و تنظیم می شوند.SSH از پروتکل SSL برای تبادل اطلاعات رمز شده میان سیستم ها استفاده می کند. بنابراین برای کار با SSH به نصب openSSL نیاز دارید.در صورتی که این دو سرویس برروی توزیع لینوکس نصب نباشند، می توان با دریافت بسته های نرم افزاری آن ها، به نصب وپیکربندی این دوسرویس اقدام نمود.
جدول?
SSH از دو کلیدعمومی(public) وخصوصی (private) برای احرازهویت و رمز گشایی اطلاعات استفاده می کند. کلید عمومی میان تمامی کاربران به اشتراک گذاشته می شود،اما هر کاربر فقط یک کلید خصوصی منحصربه فرد داردکه با استفاده از آن،شناسایی واحرازهویت می گردد.? SSH ازالگوریتم رمزنگاریRSA برای کد کردن اطلاعات استفاده می کند،ولی علاوه براز الگوریتم DSA نیز استفاده می کند.پس از نصب وپیکربندیSSH، باید کلیدهای عمومی تولید و میان سیستم هابه اشتراک کذاشته شوند.
برای راه اندازی یک سرویسSSH پس ازنصب برنامه،مراحل کاربه صورت زیرخواهد بود:
?- تولید کلید های عمومی و خصوصی برای هرکاربر.
?- به اشتراک گذاری کلید عمومی میان تمامی کامپیوترهایی که می خواهند از سرویسSSH استفاده کنند.
?- دسترسی به حساب کاربری سیستمی که باید از راه دور با آن ارتباط داشت.
? تولید کلید های RSA
پس از نصب سرویس SSH، در اولین گام باید کلید عمومی وخصوصی ساخته شود.در? SSH این امکان وجود دارد که از هر دو الگوریتم رمزنگاریrsa و dsa برای ساخت کلیدها استفاده شود،ولی در? SSH فقط الگوریتمrsa به کار برده می شود.برای تولید کلیدهایrsa یا dsaازفرمان sshkeygenدر حساب ریشه استفاده می کنیم
–keygen-trsa [ [misagh@teamset<br< a=””>>بااجرا این دستوراز مکانی که می خواهید فایل های شما در آن جا ذخیره شوند سوال می شود.آرگومان t باعث نشان دادن مراحل کار ونام ومکان فایل می شود.می توانید با کمک صفحات manاز آرگومان های دیگر این فرمان هم کمک بگیرید. پارامترrsa هم به برنامه می گوید که برای رمز کردنusemame وpasswordاز این الگوریتم استفاده شود.اصطلاحا به عملیات رمز نمودن اطلاعات ویا رمز گشایی آن هاpassphrase گفته می شود.می توانیداز الگوریتمdsa هم در SSH?استفاده کنید. به صورت پیش فرض سیستم، دایرکتوری مخفیssh رادر دایرکتوری خانگی شما برای ذخیره فایل هادرنظر می گیرد. (HOME/.ssh$) درssh? نامidentity.pub ودرSSH?idrsa.pub برای فایل کلید عمومی انتخاب می شود. در ادامه یک رمز برای کد کردن اسم ورمز کاربری شما و تولید کلید عمومی و خصوصی درخواست می شود.اگر این رمز را وارد نکنید،ممکن است سیستم به صورت پیش فرض یک عدد را انتخاب کند یا مجددا از شما تقاضای یکpassphrase کند. بعداز اتمام عملیات،اکنون در دایرکتوری HOME/.ssh/idrsa$ یاHOME/.ssh/identity$ می توانید کلیدعمومی وخصوصی تولید شده را مشاهده کنید.HOME/.ssh/authorizedkeys$ دایرکتوری مهم دیگری است که درهمین شاخه وجود دارد وباید کلید عمومی تمام کاربران در این دایرکتوری به اشتراک گذاشته شود. پس ازاینکه کلید عمومی ساخته شد،یک کپی ازآن را باید در دایرکتوری به همین نام، ولی برروی کامپیوتری که می خواهید از راه دوربه آن متصل شوید، کپی کنید. فرمانkeygen این قابلیت را دارد که بتوانید یک passphrase جدید برای خود درست کنید یا آن را تغییر دهید.برای این منظور می توان از آرگومان-p استفاده کرد.اگر تمایل دارید از الگوریتم رمزنگاری dsa درpassphrsae استفاده کنید، درهمان فرمان بالا das را به جایrsa به کار ببرید.
? برقراری یک نشست SSH با سرویس راه دور
برای راه اندازی سرویس دهندهSSH برروی یک سیستم، از دستورزیراستفاده می شود:etc/init.d/ssh start/برنامه های کاربردی زیادی تحت سرویسSSH قابل اجرا هستند. مهمترین آن ها خود برنامهSSH است، با استفاده ازاین برنامه می توان با یک کامپیوتر راه دور (کامپیوتری خارج از یک شبکهlan ) به یک کامپیوتر شبکه متصل شد و رامین و دستورات خود را در شبکه اجرا کرد ودر اصطلاح ازراه دور به یک کامپیوترlogin کرد. برای آن که بتوانیدبه یک کامپیوترراه دوردسترسی داشته باشید، نیاز است برروی کامپیوتر مقصد، سرویس دهندهssh فعال باشد وکلیدعمومی شما نیزبه اشتراک گذاشته شده باشد. برنامهSSH این مکان را می دهد که وارد ترمینال سیستم راه دور شوید.درست مانند آن که الان در مقابل آن سیستم ایستاده اید ومی خواهید دستورات خود را اجرا کنید. یا از طریق کنسولX window بتوانید با محیط های گرافیکی سیستم کار کنید. شکل کلی فرمانSSH به صورت زیر می باشد: ssh hostname
کافی است نام شبکه یا ماشینی که می خواهیداز راه دور به آنlogin کنید را مقابل فرمانssh وارد کنید.به مثال های زیر توجه کنید:
ssh kemel.linuxteam.com
ssh ???.??.???.?
ssh rootrobin
دراین فرمان می توان نام ماشین یک کاربر خاص را نیز وارد کرد وپس از وارد پسورد سیستم ،مانند این است که اکنون در مقابل آن سیستم نشسته اید:

? masteam.totule.com-?client[lient??@masteamclient??]
&’; document.write( ” ); document.write( addy_text61236 ); document.write( ‘<\/a>’ ); //–> ;#???;s password:
lastlogin:sat may????:??:?? ???? form masteam. Totule.com
$ [lient?@mateam client]
برای خاتمه ارتباط با ماشین راه دور، از فرمان logout استفاده می شود.

$ logout [client?@mateamclient?]
Connection to mastteam closed
انتقال فایل با برنامه هایscp وsftp
در یک ارتباط راه دور با SSH می توان فایل راازیک ماشین به ماشین راه دور دیگری انتقال داد. برنامه scp این امکان را تحت یک نشست SSH فراهم می کند. ساختارفرمان به صورت زیر خواهد بود.
Scp name-of source file name –of –distination file
$ scp myfileclient?[client?? masteam client??]
masteam.totule.com:/lib/myfile
دراین دستورهمیشه نام کامپیوتروکاربر پیش از نام دایرکتوری یا فایل آورده می شود.همچنین برای کپی کردن یک دایر کتوری ، بایداز آرگومانr استفاده کنید.
$ scp r reportsclinet?masteam.totule[clinet??masteam clinet??]
.com:/lib/myfile
اگر بخواهید ازسیستم راه دوری که به آن login کرده اید فایلی را به سیستم خود منتقل کنید، ابتدا با دستور ssh به سیستم راه دور متصل شوید ودر گام بعدی با دستورscp فایل های مورد نظر را به سیستم خود منتقل نمایید.
Scp به تمام نیاز شما پاسخ می دهد.اما گروهی از کاربران با پروتکل FTP آشنایی بیشتری دارند وبا تکنیک های این روش انتقال فایل در اینترنت،خو گرفته اند.درSSH? ،فراهم آورنده این سرویس sftp است. با این ویژگی که شما از یک کنسول حفاظت شده برای تبادل اطلاعات وفایل های خود استفاده می کنید.
? جلوگیری از تکرار
فرض کنید مسئول یک شبکه کامپیوتری هستید و بخشی از شبکه در شهر دیگری مستقر است وشمابرای مدیریت سیستم ها مجبورید روزانه چندین دفعه با هر سیستم از راه دورارتباط برقرارکنید. برای هر سیستم باید یک عملیاتpassphrase را انجام دهیدواین،وقت وانرژی زیادی از شما خواهدگرفت. فرمان ssh-agent این امکانرابه شما می دهدکه فقط یک بار مجبورباشید به سیستم راه دور متصل شویدوبر روی سیستم مقصد سرویسagent را فعال کنید.در مراجعات بعدی فقط کافی استکه شما دستورات خود را بدون login کردن به سیستم انجام دهید. پروسه agent کلید خصوصی شما را درحافظه خود نگهداری می کند تا در ارتباط های بعدی ، خود سرویس دهنده عملیات احرازهویت را انجام دهد. به دوطریق می توان ازسرویس agent استفاده کرد.دراولین حالت با استفاده از مد ssh-agent دستورات وعملیات خود را انجام می دهید. مثلا فرض کنید می خواهید به کنسول خط فرمان سیستم راه دوردسترسی داشته باشیدوفرامین خود را در آن تایپ واجرا کنید :
ssh-agent xterm
این دستور به شما اجازه می دهد تمامی دستورات وفرامین خود را بدون نیاز به احرازهویت برروی سیستم راه دور انجام دهید .هربرنامه ای که درxterm اجرا شود، به کلیدخصوصی شما دسترسی خواهدداشت وبا مقایسه آن با کلید عمومی به صورت خودکار، مجوز شما صادرخواهدشد. گفتنی است در نخستین بار که به سیستم راه دور دسترسی پیدا کردید، قبل ازهرعملیاتی باید سرویس agent را فعال کنید تا در دسترسی های بعدی بتوانیدازاین سرویس استفاده کنید.
درروش دوم می توان با استفاده ازمد eval به اجرای سرویسagent در پس زمینه اقدام کرد:
Ssh
Eval ssh-agent $
پیکربندی
از بین فایل های ودایرکتوری های سرویسSSH ، شما بیشتر با فایل های sshdconfig وssh/config . کارخواهیدداشت وباید گزینه های آن ها را تنظیم کنید.
Sshdconfig فایل پیکربندی سرویس دهنده sshd است که تنظیمات امنیتی وسیستمی ازجمله تعیین شماره پورتSSH ، شماره نسخه پروتکلSSL ،مدیریت رمزهای وعبور کاربران وکاردر بالاترین مجوز دسترسی را دراختیار شمامی گذارد. مهمترین تنظیمات کاربران درفایلssh/config . قرارداردکه هرکاربر می تواندبه صورت مستقیم به آن دسترسی وسرویس SSH سیستم خود را به طوردلخواه تنظیم کند. مهمترین پارامترهای این فایل عبارتند از:
? Catchmod : برای غیر فعال کردن عملیات پرس وجو
? Compression : امکان استفاده از قابلیت فشرده سازی فایل ها
? Escapechar : تنظیمات مرتبط با کاراکترهای ویژه در سرویسSSH
? Forwardagent :امکان استفاده از سرویسagent
? Forwardx?? :امکان برقراری یک نشست بامحیط های گرافیکی به صورت امن
? Hostname : تنظیم شدن نام حقیقی ماشینی که به آنlogin می شود
? Identityfile : تنظیمات مربوط به فایل های شناسهRSA
? passwordAuthentication : فعال کردن رمزعبوردرفرایند احراز

منبع:http://mecenter.ir