Глава 13. OpenSSH – программное обеспечение для безопасного администрирования удаленных систем
Опция Host * предназначена для наложения ограничений на имена систем, с которыми разрешено
соединение. В рассматриваемом примере образец “*” не устанавливает никаких ограничений. Опция Host в
файле /etc/ssh/ssh_config может использоваться несколько раз, при этом задаваемый ей образец
имен систем, с которыми разрешено соединение, действует до следующего упоминания опции Host или
конца файла. Это позволяет реализовывать разные настройки клиента для соединения с различными систе-
мами.
Опции ForwardAgent no и ForwardX11 no запрещают автоматическое распространение сеансов
на вашу систему.
RhostsAuthentication no и RhostsRSAAuthentication no запрещают устаревшие и
ставшими небезопасными механизмы аутентификации пользователей.
Опция RSAAuthentication yes разрешает использовать RSA аутентификацию. Этот тип аутен-
тификации используется только протоколом SSH1. Протокол SSH2 использует DSA аутентификацию.
Опция PasswordAuthentication no повышает безопасность системы за счет запрещения ис-
пользования паролей для аутентификации пользователей. Более подробно назначение этой опции рассмат-
ривалось выше при конфигурировании сервера.
Опция FallBackToRsh no запрещает в случае неудачной попытки соединения с помощью ssh-
клиента автоматической попытки установки соединения с помощью rsh-клиента.
Опция UseRsh no запрещает использование небезопасных служб.
Опция BatchMode no требует безусловной проверки имени пользователя и пароля при установке
соединения. Значение опции должно быть изменено, если вы разрабатываете скрипты, предназначенные для
автоматической установки соединения, например, при резервном копировании данных.
Опция checkHostIP yes требует обязательной проверки соответствия IP-адреса и имени системы
при установке соединения.
Опция StrictHostKeyChecking yes запрещает автоматическое добавление ключей удаленных
систем в файл known_hosts. В начале, т. е. сразу после установки системы, можно изменить значение оп-
ции на “no”, установить соединения со всеми системами, с которыми имеется необходимость установки ssh-
соединений, при этом ключи автоматически добавятся в файл known_hosts. После чего необходимо уста-
новить значение опции “yes”.
Опции IdentityFile ~/.ssh/identity, IdentityFile ~/.ssh/id_dsa и Identity-
File ~/.ssh/id_rsa позволяют определить местоположение файлов, используемых при аутентифика-
ции.
Опция Protocol 2,1 определяет порядок версий протоколов, используемых при установке соеди-
нения. В рассматриваемом примере сначала будет предпринята попытка установки соединения по протоко-
лу версии 2 и если она окажется неудачной, будет предпринята попытка установления соединения по прото-
колу версии 1.
Опция Cipher blowfish определяет алгоритм шифрования информации. Шифр blowfish пре-
дусматривает использование 64-битных блоков и ключей длиной до 448 битов.
Опция EscapeChar ~ определяет возможность использования символа
сеанса.
Шаг 3
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12
Метки: chroot-jail, OpenSSH, ssh, администрирование