OpenSSH
OpenSSH — відкрита реалізація клієнта і сервера для роботи за протоколами SSH та SFTP, набір програм, що надають шифрування сеансів зв'язку у комп'ютерних мережах. Він був створений під керівництвом Teo де Раадта як відкрита альтернатива власницькій реалізації від SSH Communications Security. ІсторіяOpenSSH був створений командою OpenBSD як альтернатива SSH, який досі є власницьким програмним забезпеченням. Розробники OpenSSH стверджують, що він безпечніший за оригінальний Secure Shell, завдяки їхній політиці чищення та аудиту коду. Хоча сирцевий код також тривалий час був доступний для оригінального SSH, обмеження його ліцензії спочатку робили OpenSSH привабливішим проектом для більшості програмістів. OpenSSH вперше з'явився в OpenBSD 2.6. У версії 5.9, котра вийшла 6 вересня 2011, з'явився експериментальний режим «пісочниці», з обмеженням на певні системні виклики . Мета цього — запобігання атаки на інші вузли мережі, наприклад, за допомогою запуску проксі або відкриття сокетів. Торгові маркиУ лютому 2001 Тату Ілонен (фін. Tatu Ylönen), голова та технічний директор SSH Communications Security, повідомив через поштову розсилку OpenSSH, що після спілкування з провідними розробниками OpenSSH компанія затвердила право власності на торгові марки «SSH» і «Secure Shell». Він також шукав можливості змінити назву протоколу на SecSH або secsh і запропонував змінити ім'я OpenSSH для уникнення судових позовів. У той же час «SSH», «Secure Shell» і «ssh» були використані в документах, що визначають протокол як відкритий стандарт і було виконано багато роботи без належності до торгових марок. Були висловлені сумніви в правильності претензій, адже пройшло вже 6 років з створення компанії і тим моментом, коли вона почала захищати торгову марку від вільних альтернатив, начебто OpenSSH, і що тільки OpenSSH піддався їхнім судовим нападкам. Обидва розробника OpenSSH та Ілонен були членами робочої групи IETF, що розробляє нові стандарти, які після невеликого обговорення відкинула будь-які домагання Ілонена на перейменування протоколу, посилаючись на те, що це створить небажаний прецедент для інших торгових марок. Члени робочої групи стверджували, що позначення «Secure Shell» і «SSH» є базовими поняттями і не можуть бути торговими марками. ПереносимістьЧастково тому, що OpenSSH необхідно виконувати автентифікацію, виконання якої може сильно відрізнятися на різних операційних системах, була створена потужна інфраструктура для забезпечення переносимості. Те, що не включалося безпосередньо в OpenBSD, було виділено окремо групою розробників в складі Дамієна Міллера (англ. Damien Miller), Філіпа Гендса (англ. Philip Hands) та інших як субпроект OpenSSH Portable. Тепер паралельно і одночасно з релізом OpenSSH «для OpenBSD» стали випускатися так звані «portable releases». Ці релізи позначаються в кінці буквою «p», наприклад: OpenSSH_5.1p1. Така організація процесу розробки пізніше стала використовуватися і в інших проектах, що розробляються всередині OpenBSD, наприклад, OpenNTPD. СкладНабір OpenSSH містить такі компоненти:
Безпечні тунеліПеренаправлення портівБільшість програм для встановлення з'єднання використовують протокол TCP, трафік якого можна передавати через безпечний тунель. Таким чином можна встановлювати безліч додаткових TCP-з'єднань поверх одного SSH-з'єднання. Це зручно для приховування з'єднань і шифрування протоколів, які є небезпечними, а також для обходу обмежень фаєрволів . UDP-з'єднання іноді теж можливо тунелювати за допомогою додаткових програм, таких як netcat. Простими для тунелювання є такі протоколи як, наприклад, HTTP, POP3 і VNC. Перенаправлення портів можливо в будь-яку сторону. Крім того, деяке програмне забезпечення може автоматично використовувати OpenSSH для створення тунелю. Наприклад DistCC, CVS, rsync, fetchmail. З протоколів, які складніше тунелювати, варто відзначити FTP, який часто можна замінити SFTP, і SMB. У деяких операційних системах віддалені файлові системи можна монтувати через ssh використовуючи shfs, lufs та інші аналогічні компоненти. X Window SystemOpenSSH дозволяє безпечно організовувати підключення до X Window System з урахуванням «перевороту» семантики: хост-клієнт SSH для X Window System є сервером, і навпаки. Для цього OpenSSH здійснює додаткові операції начебто установки змінної оточення DISPLAY. SOCKSOpenSSH можливо використовувати як спеціальний SOCKS-проксі-сервер, котрий підтримує гнучкіше проксіювання, ніж просто перенаправлення портів. VPNПочинаючи з версії 4.3, OpenSSH може використовувати тунельні мережеві інтерфейси 2-го і 3-го рівнів моделі OSI (tun). Таким чином можна організувати захищену VPN і обійтися без необхідності переробки застосунків для підтримки SOCKS. АвтентифікаціяOpenSSH сервер може автентифікувати користувачів, використовуючи такі вбудовані механізми автентифікації: На додаток OpenSSH Portable зазвичай може використовувати методи автентифікації, доступні в конкретній операційній системі, наприклад, BSD Authentication або PAM. Джерела
Посилання
|