RU
EN
UA
CZ
Традиционно для входа в любую компьютерную систему используется связка логин/пароль. Так входят в любую социальную сеть, системы интернет-банкинга, личный компьютер и арендованный сервер. Удобно и привычно, но с некоторых пор рискованно. Особенно для хранилищ ценной информации.
Особенности входа для компьютеров
Вводя логин и пароль, вы представляетесь системе. Если связка введена верно, вас пропускают и разрешают работать с заранее прописанными правами. Практически безграничные права имеет в компьютерной системе, построенной на базе операционной системы Linux, пользователь с логином «root». Так что злоумышленнику, желающему проникнуть в Linux-сервер, достаточно лишь подобрать пароль.
При использовании специальных алгоритмов это не так уж и сложно.
- Основная масса пользователей и даже некоторые системные администраторы вводят сравнительно несложные и осмысленные пароли, которые легко запомнить. В пароле используют имена родственников, значимые даты и так далее. Достаточно собрать всю доступную информацию о человеке, ответственном за сервер (современные социальные сети это позволяют), чтобы получить неплохой задел для начала подбора.
- Человек так устроен, что склонен устанавливать легко запоминающиеся пароли из цифр, букв и пары символов. Причем комбинация используется недлинная. Редко кто устанавливает зубодробительный набор из 12–20 символов.
- В итоге сервер, который по своей роли обязан круглосуточно присутствовать в интернете, уже через 10–15 минут после начала работы подвергается первым атакам по подбору пароля.
Комбинацию символов для входа можно банально подсмотреть или украсть во время негласного обыска (нанимают и таких «специалистов», когда охотятся за ценной информацией, находящейся внутри сервера).
SSH – протокол, который дарит альтернативу паролям
Подключение к серверам под управлением Linux осуществляется чаще всего по защищенному протоколу SSH. При этом все общение между компьютером вопрошающего и сервером шифруется, чтобы невозможно было подслушать разговор и извлечь из него что-то ценное (например, пароль к серверу). При работе с протоколом предусмотрена традиционная авторизация (логин/пароль) и вход по ключу.
При начале работы с SSH генерируется две последовательности символов из сотен цифр/спецсимволов/латинских букв верхнего и нижнего регистра. Общая длина последовательностей составляет от 1024 до 4096 бит. Ключи подразделяются на открытый и закрытый.
Что такое открытый (публичный) ключ SSH — замок
Это длинная сложная последовательность символов, которой шифруются сообщения, передаваемые по протоколу. Его можно свободно передавать коллегам – при попадании в руки злоумышленников он не работает без закрытого ключа.
Секретный (закрытый) ключ SSH – ключ к замку
Это последовательность символов для расшифровки сообщений, зашифрованных с помощью открытого ключа. Общение по протоколу SSH с использованием ключей происходит так.
- Клиент запрашивает начало разговора, используя открытый ключ.
- Сервер ищет в своих настройках полученную последовательность символов. Если находит, то отвечает кодовой фразой, зашифрованной открытым ключом (предоставляет доступ к замку).
- Клиент расшифровывает сообщение закрытым ключом (открывает замок) и отправляет результат серверу.
- При совпадении пары открытый-закрытый ключ происходит вход (сервер удостоверяется, что пользователь владеет закрытым ключом и имеет право войти).
Чем SSH пара ключ/замок лучше традиционного входа?
Даже используя суперкомпьютеры, невозможно вскрыть перебором последовательность из сотен символов. Теоретически такая операция возможна, но займет она несколько лет и будет стоить немыслимую сумму.
Приватный ключ хранится в каталоге всесильного пользователя «root» и недоступен из интернета. Чтобы узнать ключ, дающий абсолютный доступ, нужно этот абсолютный доступ иметь.
На случай, когда есть вероятность похищения закрытого ключа, вход по SSH можно дополнительно защитить паролем. Рекомендуем настроить вход по SSH при аренде VPS/VDS серверов в компании Firstbyte. Также не забудьте заблокировать после этого традиционный вход по логину/паролю. Так ваш сервер окажется недоступен для злоумышленников.
