SSH
Что такое SSH?
SSHКриптографический сетевой протокол (RFC 4251, порт 22), обеспечивающий аутентифицированный, зашифрованный и целостный удалённый вход, выполнение команд и туннелирование через недоверенную сеть.
Secure Shell, описанный в RFC 4251-4254, заменил telnet и rlogin, объединив аутентификацию хоста, аутентификацию пользователя и зашифрованный канал поверх TCP-порта 22. Для выработки сессионных ключей применяется обмен Diffie-Hellman или ECDH, после чего трафик защищается аутентифицированным симметричным алгоритмом (обычно AES-GCM или ChaCha20-Poly1305). Аутентификация пользователя возможна по паролю, открытому ключу, хосту или сертификату; для автоматизации предпочтительна ключевая. SSH также поддерживает проброс TCP-портов, SOCKS-прокси, X11-форвардинг и служит транспортом для SFTP и scp. Усиление включает отключение паролей, ограничение алгоритмов, ротацию ключей хоста, использование bastion-узлов и мониторинг authorized_keys.
● Примеры
- 01
Инженер выполняет ssh -i id_ed25519 user@bastion, чтобы попасть на внутренний jump-узел.
- 02
Конвейер CI/CD доставляет релизы через ssh git@github.com, используя deploy-ключ.
● Частые вопросы
Что такое SSH?
Криптографический сетевой протокол (RFC 4251, порт 22), обеспечивающий аутентифицированный, зашифрованный и целостный удалённый вход, выполнение команд и туннелирование через недоверенную сеть. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает SSH?
Криптографический сетевой протокол (RFC 4251, порт 22), обеспечивающий аутентифицированный, зашифрованный и целостный удалённый вход, выполнение команд и туннелирование через недоверенную сеть.
Как работает SSH?
Secure Shell, описанный в RFC 4251-4254, заменил telnet и rlogin, объединив аутентификацию хоста, аутентификацию пользователя и зашифрованный канал поверх TCP-порта 22. Для выработки сессионных ключей применяется обмен Diffie-Hellman или ECDH, после чего трафик защищается аутентифицированным симметричным алгоритмом (обычно AES-GCM или ChaCha20-Poly1305). Аутентификация пользователя возможна по паролю, открытому ключу, хосту или сертификату; для автоматизации предпочтительна ключевая. SSH также поддерживает проброс TCP-портов, SOCKS-прокси, X11-форвардинг и служит транспортом для SFTP и scp. Усиление включает отключение паролей, ограничение алгоритмов, ротацию ключей хоста, использование bastion-узлов и мониторинг authorized_keys.
Как защититься от SSH?
Защита от SSH обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SSH?
Распространённые альтернативные названия: Защищённая оболочка.
● Связанные термины
- network-security№ 1022
SFTP
Безопасная подсистема передачи файлов, работающая внутри SSH-сессии на TCP-порту 22 и обеспечивающая аутентифицированные шифрованные операции с файлами и каталогами.
- network-security№ 1134
TCP
Транспортный протокол с установлением соединения (RFC 9293), доставляющий по IP упорядоченный, надёжный поток байтов с управлением перегрузкой между двумя конечными точками.
- cryptography№ 067
Асимметричное шифрование
Криптографическая схема, использующая математически связанные пары ключей (открытый — для шифрования, закрытый — для расшифрования) и позволяющая безопасно общаться без предварительного обмена секретом.
- identity-access№ 076
Аутентификация
Процесс проверки того, что субъект — пользователь, устройство или сервис — действительно является тем, за кого себя выдаёт, перед предоставлением доступа.
- network-security№ 437
FTP
Устаревший протокол передачи файлов (RFC 959), использующий TCP-порт 21 для управления и порт 20 для данных и передающий учётные данные и файлы в открытом виде, поэтому в основном выведен из эксплуатации.
- network-security№ 1160
Рукопожатие TLS
Начальный обмен протокола Transport Layer Security, в ходе которого аутентифицируется сервер (и при необходимости клиент) и вырабатываются симметричные ключи для шифрования остальной сессии.
● См. также
- № 1088Перенаправление SSH-агента
- № 1089Типы SSH-ключей
- № 594Файл known_hosts