UID0
06.11.2008, 12:52
SSH обеспечивает возможность удаленного выполнения команд (вместо telnet, rsh и всего, что над ним построено - rsync, rdist и т.д.) и копирования файлов (вместо rcp, ftp) с аутентификацией клиента и сервера и шифрованием (и сжатием) передаваемых данных (пароли также шифруются). Дополнительно обеспечивается шифрование данных X Windows и перенаправление любых TCP-соединений (а это уже ухудшает безопасность, т.к. позволяет делать туннели в обход сетевого экрана). Защищает от атак с подделкой (spoof) IP-адресов (включая source routing), DNS-сервера и маршрутизации, от подслушивания паролей и X аутентификации, от подслушивания и манипуляции данными на промежуточных хостах или локальной сети. SSH не защищает, если атакующий получил права root на вашем хосте или права к домашней директории (а парольная фраза?).
Файлы на сервере, используемые при входе ssh
/etc/nologin - при наличии этого файла запрещается вход пользователей, кроме root. Содержимое файла выдается в качестве сообщения о причине.
/etc/hosts.allow, /etc/hosts.deny - при компиляции с libwrap используется для контроля доступа как описано в hosts_access(5).
~/.rhosts - на каждой строке пара: хост - пользователь, разделенные пробелом. Данному пользователю с данного хоста разрешается заходить без указания пароля при использовании RhostsAuthentication и RhostsRSAAuthentication (этот же файл используется rlogind и rshd). Чтение и запись только для владельца.
~/.shosts - то же самое, но не используется командами rlogind и rshd.
/etc/hosts.equiv - список хостов, пользователи с которых могут заходить, не указывая паролей под теми же самыми именами. За именем хоста можно указывать имя конкретного пользователя. Право на запись только для root. Отрицание обозначается знаком "-". Обычно используется в сочетании с RSA аутентификацией хоста. Очень не рекомендуется.
/etc/shosts.equiv - аналогично, но не используется командами rsh/rlogin.
~/.ssh/environment - содержит пары вида имя=значение, которые помещаются в окружение при входе.
~/.ssh/rc, /etc/ssh/sshrc (/usr/local/etc/sshrc) - выполняется /bin/sh при входе после чтения окружения, но до запуска shell или команды (при перенаправлении X должен обрабатывать куки со стандартного ввода и вызывать xauth).
Директория /var/empty/sshd используется для временного chroot до аутентификации. Владельцем д.б. root. Права - 111.
Файлы на сервере, используемые при входе ssh
/etc/nologin - при наличии этого файла запрещается вход пользователей, кроме root. Содержимое файла выдается в качестве сообщения о причине.
/etc/hosts.allow, /etc/hosts.deny - при компиляции с libwrap используется для контроля доступа как описано в hosts_access(5).
~/.rhosts - на каждой строке пара: хост - пользователь, разделенные пробелом. Данному пользователю с данного хоста разрешается заходить без указания пароля при использовании RhostsAuthentication и RhostsRSAAuthentication (этот же файл используется rlogind и rshd). Чтение и запись только для владельца.
~/.shosts - то же самое, но не используется командами rlogind и rshd.
/etc/hosts.equiv - список хостов, пользователи с которых могут заходить, не указывая паролей под теми же самыми именами. За именем хоста можно указывать имя конкретного пользователя. Право на запись только для root. Отрицание обозначается знаком "-". Обычно используется в сочетании с RSA аутентификацией хоста. Очень не рекомендуется.
/etc/shosts.equiv - аналогично, но не используется командами rsh/rlogin.
~/.ssh/environment - содержит пары вида имя=значение, которые помещаются в окружение при входе.
~/.ssh/rc, /etc/ssh/sshrc (/usr/local/etc/sshrc) - выполняется /bin/sh при входе после чтения окружения, но до запуска shell или команды (при перенаправлении X должен обрабатывать куки со стандартного ввода и вызывать xauth).
Директория /var/empty/sshd используется для временного chroot до аутентификации. Владельцем д.б. root. Права - 111.