مدیریت از راه*دور با استفاده از SSH

[sinaeslami]

مدیریت از راه*دور با استفاده از SSH

مدیریت راه*دور سیستم*های لینوکس در حالت متنی

هر مدیر سیستمی که عهده*دار اداره دو یا چند سرویس*دهنده شبکه است، نیاز به اداره کردن آنها از راه دور دارد. وجود چنین امکانی امکان فراهم کردن یک مدیریت تمرکزیافته*تر را فراهم می*سازد.
سیستم*عامل لینوکس ابزارهای مدیریت سیستم بسیار کارآمدی را فراهم کرده است به نحوی که می*توانید مانیتور و صفحه*کلید را از روی تمامی سرویس*دهنده*های خود حذف نموده و تنها کیس سیستم را در اتاق سرویس*دهنده*ها قرار دهید که این به نوبه خود امنیت سیستم*ها را در مقابل حملات محلی نیز افزایش خواهد داد. با استفاده از این ابزارها شما به هیچ وجه احساس نخواهید کرد که در پشت کنسول سرویس*دهنده مورد نظر قرار ندارید.
ابزارهای مدیریت راه دور نه تنها برای اداره سرویس*دهنده*ها مناسب هستند، بلکه برای تنظیم و پیکربندی ایستگاه*های کاری موجود روی شبکه نیز ابزارهای بسیار سودمندی به شمار می*روند. تصور کنید هنگامی که نیاز دارید تا تنظیمی را روی یک ایستگاه کاری شبکه خود انجام دهید در حالی که سرتان بسیار شلوغ است و اصلا مایل نیستید که از پشت میزتان تکان بخورید و چند طبقه بالا و پایین حرکت کنید. به سرعت می*توانید وارد ایستگاه کاری مورد نظر شده و تنظیمات لازم را انجام دهید. بدون اینکه حتی ۱ متر از جای خود حرکت کرده باشید.
برای اداره سیستم در حالت متنی، ابزارهای متفاوتی مانند telnet، rsh و ssh وجود دارند. به هیچ وجه توصیه نمی*کنیم که از rsh یا telnet برای مدیریت راه*دور سیستم*های خود استفاده نمایید. زیرا ارتباطات این دو ابزار در مقابل حملات حفاظت شده نیستند. در صورتی که یک نرم*افزار sniffer در شبکه شما جاسازی شده باشد، حمله کننده قادر خواهد بود تمامی کلمات عبور شما را کشف نماید. SSH از پروتکل SSL جهت رمزنگاری اطلاعات ارسال/دریافتی شما استفاده می*کند. علاوه بر SSL، از امضاهای دیجیتالی نیز برای امنیت بیشتر استفاده می*شود. SSH مخفف Secure Shell می*باشد.
SSH شامل دو بخش سرویس*دهنده و سرویس*گیرنده است. سرویس*دهنده و سرویس*گیرنده SSH معمولا در تمامی توزیع*های لینوکس هنگام نصب بصورت پیش*گزیده نصب و تنظیم می*شوند. سرویس sshd موجود بر روی سیستم*عامل لینوکس بر گرفته از OpenBSD می*باشد.
فایل*های پیکربندی SSH در مسیر etc/ssh/ ذخیره می*شوند. فایل پیکریندی سرویس*دهنده SSH یا sshd به نام sshd_config می*باشد. گزینه*های امنیتی و سیستمی sshd را می*توانید از طریق این فایل تنظیم نمایید. برخی از این گزینه*ها عبارتند از:

- Port : شماره پورتی که سرویس*دهنده sshd آنرا کنترل خواهد کرد. پورت شماره ۲۲ پیش*گزیده است.
- Protocol : شماره نسخه پروتکل SSL مورد استفاده. شماره ۲ معمولا پیش*گزیده است.
- PermitRootLogin : اجازه ورود به کاربر ریشه داده شود یا خیر. گزینه را باید با واژه*های yes یا no تنظیم نمایید. پیش*گزیده yes می*باشد.
- PasswordAuthentication : فعال سازی احراز هویت با استفاده از کلمات عبور. پیش*گزیده yes می*باشد.
- PermitEmptyPasswords : آیا کاربران بدون کلمه عبور قادر به ورود باشند یا خیر؟ پیش*گزیده no می*باشد.
- AllowUsers : با استفاده از این گزینه می*توانید کاربرانی را که قادر به ssh کردن به یک سیستم هستند را محدود نمایید. کاربران مجاز را با یک فاصله جلوی گزینه فوق بنویسید. این گزینه معمولا بصورت پیش*گزیده وجود ندارد.

برای کسب اطلاعات دقیق*تر در مورد تنظیمات فایل sshd_config به manual آن مراجعه نمایید. کافی است دستور man sshd_config را وارد نمایید.
جهت راه*اندازی سرویس*دهنده sshd بر روی یک سرویس کافی است دستور etc/init.d/ssh start/ را در حالتی که بصورت کاربر ریشه وارد سیستم شده*اید وارد نمایید:

# /etc/init.d/ssh start
Starting OpenBSD Secure Shell server: sshd.

سرویس*دهنده SSH شروع به کار کرده و شما اکنون قادر به کنترل از راه*دور سیستم مورد نظر هستید. برای اتصال به سیستم مورد نظر باید از دستور ssh استفاده نمایید. پس از دستور ssh ، نام کاربر و نام ماشین مورد نظر را وارد نمایید:

# ssh root@memphis

نخستین باری که سعی در اتصال یه یک سیستم دارید، هشداری مبتنی بر ناشناس بودن سیستم مورد نظر برای شما نمایش داده شده و از شما برای ادامه سوال می*شود. در صورتی که سوال مورد نظر را با yes پاسخ دهید، RSA key fingerprint سیستم فوق در فایل ssh/known_hosts./ ذخیره خواهد شد و در دفعات بعدی از شما سوال نخواهد شد. فقط در صورتی که RSA key fingerprint سیستم مورد نظر تغییر کند، یک هشدار امنیتی در مورد حمله نوع man in the middle برای شما نمایش داده خواهد شد:

The authenticity of host 'memphis (127.0.0.1)' can't be established.
RSA key fingerprint is a2:c6:70:3e:73:00:b3:ed:90:b1:9a:bc:e7:d5:32:ba.
Are you sure you want to continue connecting (yes/no)? Yes
Warning: Permanently added 'memphis' (RSA) to the list of known hosts.

با استفاده از دستور ssh-keygen قادر خواهید بود کلیدهای RSA جدیدی بر روی سیستم خود ایجاد نمایید که برای رمزنگاری کلمات عبور شما از آن استفاده خواهد شد:

# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
9a:03:7d:69:fc:fb:81:1a:52:9d:2c:d1:05:2a:e4:b8 root@memphis

پس از آن ار شما کلمه عبور سیستم مورد نظر درخواست خواهد شد که شما باید کلمه عبور کاربر مورد نظری که با آن مایل به برقراری اتصال هستید را وارد نمایید:

root@memphis's password:

پس از آن کنسول سیستم مورد نظر برای شما نمایش داده خواهد شد و شما مانند اینکه پشت سیستم خودتان مشغول کار هستید می*توانید آنرا کنترل و تنظیم نمایید:

Last login: Sat May 1 19:35:42 2004 on tty4
Linux memphis 2.6.5 #1 Mon Apr 5 23:23:54 IRST 2004 i686 unknown unknown GNU/Linux
Libranet GNU/Linux
Last login: Sat May 1 19:35:42 2004
root@memphis:~#

پس از اتمام عملیات بر روی سیستم راه*دور، کافی است دستور logout را برای بستن اتصال وارد نمایید:

# logout
Connection to memphis closed.

به طور کلی، SSH یک راه سریع، امن و عالی جهت اداره سیستم*های موجود بر روی شبکه محلی و سرویس*دهنده*های راه*دور فراهم می*نماید. مخصوصا اینکه بدلیل متنی بودن کامل اتصالات، آنرا جهت استفاده در اتصالات کندی مانند خطوط تلفن نیز مناسب می*سازد.

منبع technotux.org