1.1 Де я можу взяти це опис?
1.2 Куди я можу задати питання, поправки і тд, за цим документом?
2.1 Що таке ssh?
Витяг з README файлу:
Ssh (Secure Shell) це програма для входу в інші комп'ютери доступні через мережу, для виконання команд або програм на віддалених комп'ютерах і для передачі файлів з одного комп'ютера на інший. Вона забезпечує сувору перевірку справжності та безпеки з'єднань по незахищених каналах. І використовується як заміна rlogin, rsh, і rcp.
Додатково, ssh забезпечує безпеку X-ових з'єднань і безпечне перенаправлення інших, необхідних вам TCP з'єднань.
2.2 Чому бажано використовувати ssh?
Традиційні BSD 'r' - команди (rsh, rlogin, rcp) уразливі для різних видів хакерських атак. Крім того, якщо хтось має "привілейовані" [root] доступ до машин мережі або можливість фізичного підключення до мережевих комунікацій, то це дозволить збирати весь проходить трафік, як вхідний, так і вихідний включаючи паролі, оскільки TCP / IP є "чистим "протоколом (ssh ніколи не посилає паролі в чистому вигляді).
X Window System має теж достатня кількість "вузьких" місць в плані безпеки. Але за допомогою ssh можна створювати безпечні віддалені X-ові сеанси, які будуть також прозорі для користувача як і раніше. Сторонній - непрямий ефект використання ssh при запуску віддалених X-ових клієнтських додатків це ще більша простота для користувача.
При цьому можна як і раніше використовувати налаштування в старих файлах .rhosts і /etc/hosts.equiv. ssh прекрасно їх розуміє. А якщо віддалена машина не підтримує ssh, то спрацює "зворотний механізм" повернення до rsh, який включений в ssh.
2.3 Від яких видів атак ssh захищає?
Ssh захищає від:- "IP spoofing'а" [ip-підміни], коли віддалений [атакуючий] комп'ютер висилає свої пакети симулюючи нібито вони прийшли з іншого комп'ютера, з якого дозволений доступ. Ssh захищає від підміни навіть в локальній мережі, коли хтось наприклад, вирішив підмінити ваш роутер назовні "собою".
- "IP source routing" [ip вихідний маршрутизатор], коли комп'ютер може симулювати що IP-пакети приходять від іншого, дозволеного комп'ютера.
- "DNS spoofing", коли атакуючий фальсифікує записи "name Server'а"
- Прослуховування нешифрованих паролів і інших даних проміжними комп'ютерами.
- Маніпуляцій над вашими даними людьми керують проміжними комп'ютерами.
- Атак заснованих на прослуховуванні "X authentication data" і підробки з'єднання до X11 сервера.
Все вищесказане ВІРНО лише при використанні шифрування. Однак Ssh має опцію шифрування "none", яка необхідна лише для налагодження і ні в якому разі не повинна бути використана для звичайної роботи.
2.4 Від яких видів атак ssh не захистить?
Ssh не допоможе вам в разі порушення безпеки вашої машини іншими методами. Наприклад, якщо хакер зламав вашу машину або отримав привілейований-root доступ ЗСЕРЕДИНИ, що дозволить йому "перекрутити-перевернути" і роботу ssh теж.
Якщо який-небудь недоброзичливець має доступ в вашу домашню директорію то безпеку так же під питанням, однією з частих тому причин є, наприклад експортування домашньої директорії по NFS.
2.5 Як він працює?
2.5.1 SSH версія 1.2.x.
Для більш широкої інформації, прочитайте будь ласка RFC і файл READMEREADME з дистрибутива SSH.
Всі комунікації шифруються з використанням методу IDEA або будь-яким на вибір з наступних: three-key triple-DES, DES, Blowfish. Для обміну ключів шифрування використовується RSA метод, дані обміну знищуються кожну годину (ключі ніде не зберігаються) .Каждая машина має свій RSA-ключ який використовується для перевірки достовірності машини при задіюється методу "RSA host authentication". Шифрування іспользуетс для запобігання "IP-Spoofing"; перевірка достовірності публічних ключів проти "DNS і Routing Spoofing".
RSA-ключі використовуються для перевірки достовірності комп'ютерів.
2.5.2 SSH версія 2.x (ssh2).
3.1 Яка остання версія ssh?
Останні Офіційні реалізації на даний момент - 1.2.27 (ssh1) і 2.0.13 (ssh2).
На даний момент Ssh працює на Unix-based платформах. І успішно портований на всі "провідні" Unix ситеми.
3.2 Чи можу я законно використовувати ssh?
Реалізацію ssh-1.2.27 для OS Unix можна вільно використовувати в некомерційних цілях і не можна продавати як окремий продукт або частина великого продукту або проекту, іншими словами не можна використовувати SSH для отримання фінансової вигоди без придбання сепціальной [окремої] ліцензії. Визначення "комерційне використання" щодо ssh слід сприймати як витяг фінансовойвигоди з чого-небудь, як наприклад використання ssh для входу на комп'ютери замовника з метою їх віддаленого адміністрування або наприклад, використання з метою безпечного входу до партнерів, продавцям і тд і тп пов'язаних прямо або побічно комерційними інтересами.
В ході листування між "Data Fellows" і ведучим цього FAQ'а було запропоновано такі питання і відповідно отримані відповіді:
S: Steve Acheson. FAQ Maintainer
P: Petri Nyman. F-Secure SSH Product Manager for Data Fellows
S> Can a company use the 1.2.26 release of the SSH software freely for
S> internal support and administration without violating the license
S> agreement?
переклад
S> Чи може компанія вільно використовувати 1.2.26 реалізацію SSH
S> в цілях внутрішньої підтримки та адміністрування не порушуючи при цьому
S> договори для отримання ліцензій?
P> You can freely use it for internal support and administration of your own
P> equipment located in your premises.
переклад
P> Ви особисто можете вільно використовувати для внутрішньої підтримки та
P> адміністрування вашого власного обладнання знаходиться
P> у вашій власності.
S> Does connecting from one machine to another via SSH to
S> read email, do work, etc, violate this agreement?
переклад
S> Чи порушує угоду з'єднання з однієї машини на одному з SSH
S> читати електронні листи, виконання роботи і тд і тп?
P> No, unless you provide this ability to a third party or connect to a third
P> party's computer to provide a service.
переклад
P> Ні, в тому випадку якщо якщо ви для використання цих сервісів з'єднуєтеся
P> з комп'ютерами _третьей_сторони_ або надаєте сервіс _третьей_стороне_.
S> Does connecting from a purchased PC client SSH software to a non-licensed
S> SSH server violate the agreement?
переклад
S> Чи порушується угода якщо з'єднання встановлено між клієнтом
S> SSH мають ліцензію і неліцензованим SSH сервером?
S> Does connecting to a remote site, that is not company owned, but company
S> administered, via SSH to do administrative work violate the agreement?
переклад
S> Чи порушується угода якщо встановлюється з'єднання з комп'ютером не належить
S> компанії, але нею адмініструється, з метою проведення адміністративних робіт.
P> Yes. You need a commercial license for that.
переклад
P> Так. Для таких цілей необхідно придбати ліцензію.
Unix версії ssh 2.0.13 можуть бути використані ТІЛЬКИ в разі персонального використання або з метою навчання (див. License agreement). У разі комерційного використання необхідно купити ліцензію у Data Fellows.
У деяких країнах, особливо Франції, Росії, Іраку і Пакистані, зовсім заборонено використання шифрування без особливого на те дозволу.
Якщо перебуваєте в USA, то повинні усвідомлювати що будь-яка спроба експортувати ssh за межі штатів буде розглядатися як кримінально-карана, сюди ж відноситься і спроба розміщення на ftp серверах знаходяться за межами USA, не дивлячись на те що сам SSH був написаний за межами USA і з використанням лише вільно доступних матеріалів. Для отримання більш повної інформації звертайтеся до відомства "Defence Trade Controls".
Алгоритми RSA і IDEA, які використовуються в ssh, маю самостійні патентні права в різних країнах, включаючи US. Замість них можна скористатися бібліотекою RSAREF, однак законність використання в некомерційних цілях ssh в US в такому випадку, може сприйматися двояко. Вам може знадобитися придбання ліцензії для комерційного використання IDEA; проте ssh буде прекрасно працювати будучи налаштований і без нього.
3.3 Що можна сказати про комерційне використання ssh?
Некомерційні використання версії ssh 1.2.x було абсолютно вільно в Unix середовищі і майже безумовно залишиться таким в майбутньому.
Використання версії ssh 2.x було суттєво обмежено.
3.4 Де можна взяти ssh?
3.5 Як встановити ssh?
Візьміть файл дистрибутива з найближчого до вас дзеркала, потім розпакуйте його після чого перейдіть в директорію ssh-1.2.27. прочитайте файл INSTALL. і дотримуючись рекомендацій встановіть SSH.
3.6 Чи може встановити ssh "непрівелігірованний" користувач в OS Unix?
Якщо ви запустили сервер - sshd, як користувач відмінний від root, ви отримаєте доступ - login тільки для того користувача від якого був запущений сам sshd.
Якщо ви встановили клієнтську частину без setuid root, то це не завадить вам з'єднуватися і входити на віддалені сервера, АЛЕ ви не зможете використовувати форму .rhosts перевірки автентичності входить.
Ви можете запустити sshd з під свого account'а застосувавши опцію -p для використання ssh на непрівелігерованном порту (> 1024), щоб мати можливість з'єднання з інших машин по заданому порту ssh -p. Даний метод, як було зазначено вище, дозволяє виробляти з'єднання тільки під тим користувачем, під яким був запущений власне sshd. і як правило чорт не перестартует після перезавантаження машини.
Ви самі повинні вирішувати який метод використовувати в залежності від ситуації.
3.7 Де можна отримати допомогу?
Якщо ці ресурси не допоможуть, ви можете надіслати питання в групу новин Usenet comp.security.ssh або відправити своє питання в список розсилки користувачів ssh [email protected] Для підписки відішліть листа на [email protected] c
3.8 Чи існують версії ssh для Non-Unix операційних систем?
нижче список ssh клієнтів і серверів.- кожен рядок містить посилання на клієнта.
- список впорядкований по os.
- основні розповсюджувачі НЕ вкючая.
- спасибі всім хто надіслав доповнення / зміни.