![[LinuxFocus-icon]](../../common/images/logolftop.gif){kind=small} |
|
|
 |
|
| Bu makalenin farkl� dillerde bulundu�u adresler: English Castellano Deutsch Francais Italiano Nederlands Portugues Russian Turkce Arabic |
![[Photo of the Author]](../../common/images/Georges-Tarbouriech.jpg)
taraf�ndan Georges Tarbouriech Yazar hakk�nda:
Georges uzun s�reden beri Unix kullanmakta(ticari ve serbest). G�venlik ile ilgileniyor ve bu alanda
yapt��� b�y�k i�lerden dolay� �cretsiz yaz�l�m topluluklar�na te�ekk�r
ediyor.
��erik: |
�zet:
SSH,g�venli kabuk (secure shell), �ok iyi bir ticari �r�n.
Fakat, Unix veya di�er i�letim sistemleri i�in (ticari veya
serbest) �e�itli �cretsiz
ssh istemci veya sunucu uygulamalar� mevcut.
Bunlar�n en iyisi OpenSSH, bu linkten alabilirsiniz http://www.openssh.org. Bu y�reden Unix sistemlerine, windos'a, Mac'e...
alternatifler bulabilirsiniz. Windos gibi baz� �r�nler i�in sadece
�cretsiz istemciler alabilirsiniz.
Bu makalede, harici uygulamalardan harici uygulamalara t�nel a�mak i�in
ssh'� nas�l kullanaca��m�z
�zerine birka� �rnek sunaca��z. VPN (Virtual Private Network(Sanal �zel
Ag)) ssh'a ba�l�d�r
, fakat farkl� bir yoldan, bizim burada ald���m�zdan �ok daha ayr�nt�l�
bir yoldan. Ba�ka bir
karma�ik ��z�m, VTun'u kullanmakt�r.
Bu y�zden, bu t�nel a�may�, heterojen bir a�da verilerin ba�kalar�
taraf�ndan g�r�lmesini engellemek
i�in verileri �ifreleyen basit ve sade bir y�ntem olarak
d���nelim. A��k�a, bu yerel ve uzak
a�lar�n her ikisine de uygulanabilir. Fakat, hat�rlarsan�z, ssh sadece
verileri �ifreler, a�� kendi �z�nde g�venli yapmaz...
Uyar�ld�n�z !
SSH bir �nceki makalede
bahsedilen telnet, rsh veya rlogin'in
yerine ge�er. SSH'da baz� g�venlik problemleri bulunmu� olsa da, hen�z
verileri �ifrelemede iyi bir g�venlik arac�.
Bu arada, yukar�da bahsedilen g�venlik problemi �ifrelerle ilgiliydi
Buras� "passphrases" kullan�m�ndan �iddetle ka��nmay� �neriyor ve de elbette RSA a�k�lar�n�!
SSH'i kullanma sizin
, "tcpwraper" gibi, ba�ka g�venlik ara�lar� kullanman�z� engellemez.
Bir a� �zerinde dola�an verileri "tcpdump" ve "snoop" gibi ara�lar� kullanarak
izinsiz olarak izlemek olduk�a
kolayd�r. Bunu, �rne�in, telnet'i kullanarak veri de�i�toku� eden iki
bilgisayar i�eren bir a�da deneyim edebilirsiniz.
�rne�in Linux alt�nda �al��an ���nc� bir makinadan, tcpdump'� �al��t�r�n(
root olarak elbette ) ve ne oldu�unu
g�r�n. T�m verileri okuyabilirsiniz !
Elbette ekrandaki g�r�nt�ler okunamayacak kadar h�zl�d�r, fakat hi�bir �ey
sizin ��kt�y� bir dosyaya y�nlendirmenize
ve bunu bir fincan kahve i�erken izlemenize engel olmaz. E�er bu veriler
i�in do�ruysa �ifreler i�in de do�rudur:
yani kap�lar k�r�c�lar i�in a��z�na kadar a��kt�r. Onlara evinize
girmelerini sa�layacak a�k�y� vermi� oldunuz.
Dola�an verilerin gizli oldu�unu hayal edin... E�er siz bir sistem
y�neticiyseniz korkar�m patronunuz sizden ba�ka
bir i� bulman�z� isteyecektir.
Uzak komutlar, rsh, rcp, rlogin de olduk�a tehlikelidir, bunlarda da
veriler �ifrelenmez. E�er ssh'�n rsh veya
rlogin'in yerini almas� iyi ise, scp olarak rcp'nin yerini almas� da
iyidir. Yani, e�er ssh'� kullan�yorsan�z
art�k ba�ka uzak komutlara veya telnet'e daha fazla gereksiniminiz yoktur,
en az�ndan onlar� kullanmamal�s�n�z.
SSH nas�l kurulur, �zel ve genel a�k�lar nas�l olu�turulur... bunlar bu
makalenin alan� dahilinde de�il.
Gereksiniminiz olan her�eyi indirdi�iniz ssh ar�ivinde veya the Linux Documentation
Project'daki bu konu hakk�ndaki dok�manlar� okuyarak bulabileceksiniz.
Bu g�nlerde bilgisayar kullanmak hemen hemen her zaman ��yle veya b�yle
veri nakletmek ise, ssh zorunlu olmal�...
bu size kalm��. Fakat ssh telnet'in veya uzak komutlar�n yerini almaktan
daha fazlas�n� yapabilir.
Harici uygulamalar aras�nda ve a��k�a farkl� i�letim sistemleri aras�nda
nakledilen verileri �ifrelemede kullan�labilir.
ayr�ca bu verileri s�k��t�rabilir de. S�kl�kla pop, ftp, http protokolleri
ile kullan�l�r... s�k��t�rmak veya
�ifrelemek i�in. Bu, �rne�in, siz bir sistem y�neticisi iseniz ve evden i�e
veya i�den eve ba�lanmak istiyorsan�z
�ok faydal� olur.
Bir istemci/sunucu uygulamas� olmas�ndan dolay�, ssh her ikisinde de
�al��mak zorundad�r: ssh'� sunucu olarak �al��t�ran
bir makinaya ve istemci olarak �al��t�ran bir di�er makinaya
gereksiniminiz var.
Bu a��k ger�ek �st�nde ni�in �srar ediyorum ? ��nk� �cretsiz yaz�l�mlar
hakk�nda konu�tu�umuzdan, Unix d���nda, bir�ok
i�letim sistemi �cretsiz sunuculara sahip de�ildir. Yani, bazen a��k�a
yapamayacaks�n�z, problemi �evirmeniz gerekecek:
E�er VNC'yi bilmiyorsan�z, t�m zamanlar�n en iyi ara�lar�ndan birini
ka��r�yorsunuz demektir. VNC hakk�nda daha fazla
bilgi edinmek i�in buraya bir
bak�n.
E�er
http://www.uk.research.att.com/vnc/docs.html'daki VNC'nin
sanal y�resine giderseniz bizim �u anda konu�tu�umuz �eyler hakk�nda
bir�ok dok�man bulabilirsiniz.
�rne�in, bir Windos ssh istemcisinden bir Unix ssh sunucusuna, ssh
�zerinden VNC'yi nas�l kullan�ca��n�z� bulabilirsiniz.
Bundan dolay�, Frank Stajano'nun yapt��� m�thi� i�i burada tekrar
yazmayaca��m, zaten onun yapt��� benim yapabilece�imden
�ok daha iyi.
�imdi, bunun nas�l �al��t���n� g�relim.
�lk �nce, �cretsiz bir Windos istemcisi se�mek zorundas�n�z. Bu �rnekte
biz Teraterm Pro'yu onun Ttssh uzant�s� ile
kullanaca��z. Onu �u adresten bulabilirsiniz http://hp.vector.co.jp/authors/VA002416/teraterm.html.
Ger�ekleri s�ylemek gerekirse, bu Fransa'da izin verilen bir s�r�m
oldu�undan Ttssf olarak adland�r�l�r. (Baz� �eyler de�i�iyor
, fakat haberdar olun ki, bir�ok �lke hen�z �ifrelemeyi kabul etmiyor. Sizin
�lkenizdeki �ifreleme durumunu kontrol etmek
i�in �u ba�lant�y� kullanabilirsiniz:
http://www2.epic.org/reports/crypto2000/countries.html.)
�imdi, ssh'� bir Unix sunucusunda �al��t�rd���n�z� kabul edelim. Ayn�
makinada bir
vnc sunucusu da �al��t�rabilece�inizi var say�yoruz. Bu iki sunucu �al��t�ktan sonra,
bir NT makinas�n�, �rne�in, bir Unix sunucusuna Ttssh'� kullanarak ba�lay�n.
Bu sizin iki makina aras�nda �ifrelenmi� bir ba�lant�ya sahip oldu�unuzu g�sterir.
Fakat bu sizin NT makinas�ndan bir �ifrelenmi� vnc izleyicisi protokol� (vncistemci)
�al��t�rman�za izin vermez. Bunu yapmak i�in ssh'a do�ru portu ilerletmesini (burada biz
devreye giriyoruz.) s�ylemeniz lazim.
vnc sunucusu'nu �al��t�ran Unix makinasina "bandit(haydut)" denir ve 5901
portunu kullan�r, ��nk� o g�r�nt� numaras� 1, tipik X g�r�nt� numaras� bu
makinada 0'dir. Normal kullan�m "vncviewer bandit: 1" komutunu g�ndermektir.
Bu ku�kusuz �al��acakt�r, fakat veriler �ifrelenmeden. Bunun yerine, NT
kabu�unu (yani Dos aray�z�) kullanarak, "/ssh-L5902:bandit:5901" komutunu
bo�luksuz g�nderin. B�ylece, 5902 yerel portunu olu�turmu� olursunuz. �imdi
"vncviewer localhost:2" gibi bir komut, VNC protokol� ile sizin NT makinan�z
aras�nda �ifrelenmi� bir ba�lant�y� �al��t�racakt�r. Bu, Ttssh grafiksel bir
aray�ze sahip oldu�undan, komut sat�r�n� kullanmadan da yap�labilir. Ekleyelim
ki bu s�zdizimi sadece Ttssh ile ilgilidir. Ayn� komutu bir Unix makinas�nda
yazmak �unu s�ylemeli: "ssh -L 5902:bandit:5901 bandit".
Bu elbette �ok temel bir �rnek: siz �ok daha karma��k �eyler yapabilirsiniz. VNC sanal
y�resindeki uygun d�k�manlar� kontrol edin, �zellikle Frank Stajano'nunkisini.
MySQL belkide en �ok kullan�lan
DBMS(Veritaban� Y�netim Sistemi)dir, �zellikle internet �zerinde. Yine,
MySQL'i g�venli yapmak bu makalenin alan�n�n d���nda Fakat, MySQL sunucusu ile
MySQL istemcisi aras�ndaki veri dola��m�n� �ifrelemek baglant�y� daha g�venli
yapar. SSH bunu yapmam�za izin verir, VNC ile yapt���m�z gibi, portu
ilerleterek.
Intranet ile ilgili bir �rnek alal�m. MySQL sunucusu bir
Linux kutusudur ve �o�u istemci NT makinalar�d�r. Bir kez daha, Windos
makinalar�nda Ttssh istemcilerini kullan�ca��z.
Tipik MySQL portu 3306'dir. Biz ayn� portu (3306) ilerletece�iz.
Bir yerel ilerletme veya uzak ilerletme yapabilirsiniz.
Yerel bir ilerletme bir NT makinas�nda "/ssh-L3306:localhost:3306" gibi veya bir Unix
makinas�nda "ssh -L 3306:localhost:3306" gibi olacakt�r. "localhost"'u kullanma size
verileri ev sahibi aray�z� yerine
Bu �rnekler ssh'�n �e�itli kullan�mlar�n� g�sterdi. Uygulamalar ve ssh ile �ok daha fazla
�ey yapabilirsiniz. Bu sizin ihtiya�lar�n�za ba�l�d�r. Fakat, felsefe herzaman ayn�d�r:
port ilerletme.
Yine de, daha karma��k ilerletmeleri kullan�rken dikkatli olun. Mesela, e�er ���nc�
bir makina �zerinden ilerletirseniz, ba�lant�n�n ortas�ndaki veri dola��m�
�ifrelenmeyecektir.
Windos Ttssh istemcileri kullananlar i�in ba�ka bir sorun. �lerletilen portlara olan ba�lant�
uzak komutlarda oldugu gibi IP adreslerine ba�l�d�r, b�ylece
G�venlik herkesi ilgilendirmeli, fakat durum b�yle de�il ! ssh sizin herg�n kullanabilece�iniz
g�venlik ara�lar�ndan sadece birisidir. Bu olduk�a iyi bir tanesi, ne oldu�unu d���nd���n�zde,
bir �ifreleme veya s�k��t�rma arac�d�r.
Kendinde, ssh hemen hemen kullan��s�zd�r, makinan�zda sahip olabilece�iniz
�e�itli deliklerin hi�birini ��zmez. Bir ev sahibini, bir a�� g�venli yapmak
�ok b�y�k bir i�tir ve ara�lar, olduk�a iyi olsalar da, her�eyi yapamazlar.
Olay g�venlik oldu�unda temel g�revler zorunludur. Kullan�lmayan t�m servisleri kald�rmay�
unutmay�n, SUID root programlar�n� kontrol edin, riskli programlar� kald�r�n... Yap�lacak
bir�ok �ey var ve hi�bir zaman yeterli olmayacak. T�m g�venlik ara�lar�n�
kurabilirsiniz, fakat e�er arka kap�lardan birini a��k b�rak�rsan�z bunlar�n
hepsi faydas�z olacakt�r. Elbette, bu ba�ka bir hikaye, fakat a��k olan�
unutmay�n.
SSH'a geri d�nelim, onu do�ru ve yap�ld��� i� i�in kullanmaya ba�lad���n�zda, onsuz
ayr�lamayaca��n�z bir ara� oldugunu d���nelim. Yine, onu
|
2001-08-03, generated by lfparser version 2.17
