Secure Shell hay SSH là một giao thức mạng, cho phép trao đổi dữ liệu được sử dụng một kênh an toàn giữa hai thiết bị mạng, được sử dụng chủ yếu vào Linux và Unix dựa trên hệ thống để truy cập vào tài khoản ngoài, SSH được thiết kế như là một thay thế cho Telnet và khác không an toànbao xa, trong đó gửi thông tin, đặc biệt là các mật khẩu, trong bản rõ, để họ mở cho đánh chặn .Các mã hóa được sử dụng bởi SSH cung cấp bảo mật và tính toàn vẹn của dữ liệu qua một mạng không an toàn, chẳng hạn như Internet trong. Năm 1995, Tatu Ylönen, một nhà nghiên cứu tại Đại học Công nghệ Helsinki, Phần Lan, được thiết kế phiên bản đầu tiên của giao thức (bây giờ gọi là SSH) nhắc bằng một mật khẩu-sniffing tấn công vào mạng lưới các trường đại học của mình.
2.3.8.1.Định Nghĩa
SSH sử dụng mật mã học-công chính để xác thực máy tính từ xa và cho phép máy tính từ xa để xác thực người dùng, nếu cần thiết .
SSH thường được sử dụng để đăng nhập vào một máy từ xa và thực hiện lệnh, nhưng nó cũng hỗ trợ các đường hầm, chuyển tiếp TCPcổng và kết nối X11, nó có thể chuyển các tập tin bằng cách sử dụng SFTP liên quan hoặc SCP giao thức.SSH sử dụng client- server mô hình.
Các tiêu chuẩn cổng TCP 22 được giao cho liên lạc với máy chủ SSH
Một chương trình khách SSH thường được sử dụng để thiết lập kết nối đến một daemon SSH chấp nhận kết nối từ xa. Cả hai thường hiện nay trên hầu hết các hệ điều hành hiện đại, bao gồm Mac OS X,Linux, FreeBSD,Solaris và OpenVMS phần mềm sở hữu.
SSH là một giao thức có thể được sử dụng cho nhiều ứng dụng. Một số ứng dụng dưới đây có thể yêu cầu tính năng mà chỉ có sẵn hoặc tương thích với khách hàng cụ thể SSH hoặc máy chủ. Ví dụ, sử dụng giao thức SSH để thực hiện một VPN là có thể, nhưng hiện chỉ với máy chủ OpenSSH và thực hiện của khách hàng.
Để đăng nhập vào trình bao trên một máy chủ từ xa (thay thế Telnet và rlogin),để thực hiện một lệnh duy nhất trên một máy chủ từ xa (thay thế rsh) cho các tập tin sao chép từ một máy chủ của địa phương đến một máy chủ từ xa. Xem SCP, như một sự thay thế cho RCP kết hợp với SFTP, như là một thay thế an toàn để chuyển tập tin FTP kết hợp với rsync để backup, sao chép và nhân bản các tập tin hiệu quả và an toàn cho chuyển tiếp cổng hoặc đường hầm một cổng (không nên nhầm lẫn với một VPN mà các tuyến gói dữ liệu giữa các mạng khác nhau hoặc cầu hai lĩnh vực phát sóng thành một.).
Để sử dụng như một VPN-fledged đầy đủ mật mã. Lưu ý rằng chỉ có OpenSSH máy chủ và máy khách hỗ trợ tính năng này.Cho chuyển tiếp X11 thông qua nhiều host để duyệt web thông qua một kết nối proxy được mã hóa với khách hàng, SSH có hỗ trợ các giao thức SOCKS.Cho an toàn lắp một thư mục trên một máy chủ từ xa như là một hệ thống tập tin trên một máy tính sử dụng SSHFS.theo dõi từ xa tự động và quản lý các máy chủ thông qua một hoặc nhiều các cơ chế như được thảo luận ở trên.
2.3.8.3.SSH Kiến Trúc
- Các giao thức SSH-2 có một kiến trúc nội bộ (được định nghĩa trong RFC 4.251) với những lớp tách biệt nhau. Đó là:
- Lớp vận tải (RFC 4.253). Lớp này xử lý ban đầu trao đổi khóa và xác thực máy chủ và thiết lập mã hóa, nén và xác minh tính toàn vẹn. It exposes đến lớp trên một giao diện cho việc gửi và nhận rõ các gói dữ liệu lên đến 32.768 byte mỗi thêm (có thể cho phép thực hiện). Lớp vận tải cũng sắp xếp để tái key-trao đổi, thường là sau 1 GB dữ liệu đã được chuyển giao hoặc sau 1 giờ đã được thông qua, lấy điều nào sớm hơn.
- Việc xác thực người dùng lớp (RFC 4.252). Lớp này xử lý xác thực khách hàng và cung cấp một số phương pháp xác thực. Xác thực là khách hàng-hướng: khi một là hỏi mật khẩu, nó có thể được ứng dụng khách SSH nhắc, không phải là máy chủ. Máy chủ chỉ đáp ứng yêu cầu chứng thực của khách hàng. Sử dụng rộng rãi các phương pháp xác thực người sử dụng bao gồm:
- Mật khẩu: đây là phương pháp xác thực mật khẩu đơn giản, bao gồm một cơ sở cho phép một mật khẩu phải được thay đổi. Phương pháp này không được thực hiện bởi tất cả các chương trình.
- publickey: đây là phương pháp khóa công khai, xác thực dựa, thường là hỗ trợ ít nhất là DSA hoặc RSA keypairs, với việc triển khai hỗ trợ khác cũng có giấy chứng nhận X.509.
- bàn phím-tương tác (RFC 4256): một phương pháp linh hoạt, nơi máy chủ sẽ gửi một hoặc nhiều nhắc nhở để nhập thông tin khách hàng và hiển thị chúng và gửi lại phản ứng keyed-in của người dùng. Được sử dụng để cung cấp một lần mật khẩu xác thực như S / khóa hoặc SecurID. Được sử dụng bởi một số cấu hình OpenSSH khi PAM là chủ nhà cung cấp dịch vụ chứng thực nằm bên dưới để có hiệu quả cung cấp chứng thực mật khẩu, đôi khi dẫn đến mất khả năng đăng nhập với một khách hàng chỉ cần có hỗ trợ các phương pháp xác thực đồng bằng mật khẩu.
- GSSAPI phương pháp xác thực mà cung cấp một đề án mở rộng để thực hiện cơ chế xác thực SSH sử dụng bên ngoài như Kerberos 5 hay NTLM, cung cấpđăng nhập một ngày khả năng phiên SSH. Những phương pháp này thường được thực hiện bởi việc triển khai thương mại SSH để sử dụng trong các tổ chức, mặc dù OpenSSH không có một thực hiện GSSAPI làm việc.
- Lớp kết nối (RFC 4.254). Lớp này định nghĩa khái niệm về kênh, yêu cầu kênh và yêu cầu toàn cầu bằng cách sử dụng những dịch vụ SSH được cung cấp. Một đơn SSH kết nối có thể lưu trữ nhiều kênh khác nhau cùng một lúc, mỗi lần chuyển dữ liệu trong cả hai hướng. Kênh yêu cầu được sử dụng để tiếp sức out-of-dữ liệu kênh ban nhạc cụ thể,
chẳng hạn như thay đổi kích thước của một cửa sổ nhà ga hoặc mã theo lối ra của một server-side quá trình. Các yêu cầu của khách hàng SSH server-side cổng để được chuyển tiếp bằng cách sử dụng một yêu cầu toàn cầu. Tiêu chuẩn loại kênh bao gồm: vỏ cho các hệ vỏ ga, SFTP và yêu cầu exec (kể cả chuyển SCP)
Tcpip trực tiếp cho khách hàng để chuyển tiếp kết nối máy chủ chuyển tiếp-Tcpip cho máy chủ để khách hàng chuyển tiếp kết nối
- Các SSHFP DNS record (RFC 4255) cung cấp các máy chủ lưu trữ khóa vân tay để hỗ trợ trong xác minh tính xác thực của máy chủ này.
2.3.9. Giao Thức Unison
Unison là một tập tin đồng bộ chương trình. Nó được sử dụng cho các tập tin đồng bộ giữa hai thư mục, hoặc là trên một máy tính, hoặc giữa một máy tính và thiết bị lưu trữ khác (ví dụ, một máy tính khác, hoặc một đĩa rời). Nó chạy trên Unix như hệ điều hành (bao gồm cả Linux,Mac OS X, và Solaris), cũng như trên Windows.
2.3.9.1.Chức Năng
Unison cho phép cùng một phiên bản các tập tin cần được duy trì trên các thiết bị tính toán nhiều. Nói cách khác, khi hai thiết bị được đồng bộ hóa, người sử dụng có thể chắc chắn rằng phiên bản mới nhất của một tập tin có sẵn trên cả hai thiết bị, không phân biệt nơi nó đổi lần cuối lúc.
-Nó chạy trên hệ điều hành rất nhiều, và có thể đồng bộ hóa các tập tin trên nền tảng, do đó, ví dụ một máy tính xách tay Windows có thể đồng bộ hóa với một máy chủ Unix. -Nó phát hiện 'xung đột' nơi một tập tin đã được sửa đổi trên cả hai nguồn, và hiển thị chúng cho người sử dụng
-Nó truyền qua giao thức TCP / IP để cho bất kỳ hai máy với một kết nối internet có thể được đồng bộ. Điều này cũng có nghĩa là các dữ liệu được chuyển giao có thể được bảo đảm bằng đường hầm qua một kết nối ssh mật mã.
-Nó sử dụng các thuật toán rsync phát triển bởi Andrew Tridgell. Thuật toán chuyển tiền này chỉ có các bộ phận của một tập tin đó đã thay đổi, và như vậy là nhanh hơn so với việc sao chép các tập tin toàn bộ.
-Nó được thiết kế để được mạnh mẽ trong trường hợp của một chương trình hay tai nạn hoặc không một hệ thống truyền thông.
Đây là mã nguồn mở.
-Nó được viết bằng ngôn ngữ CAML Mục tiêu.
2.3.9.2.Tình Trạng Phát Triển
Unison không còn theo sự phát triển tích cực.
Hỗ trợ cho Unison được cung cấp bởi các bên thứ ba cho hệ điều hành cụ thể.
Các phiên bản mới nhất ổn định, tính đến tháng 8 năm 2009, là 2.27.157 (có sẵn như là mã nguồn). Đối với các phiên bản nhị phân ổn định, sau đây là có sẵn:
- Linux: 2.27.57 - Win32: 2.27.157 - Mac OS X: 2.27.72
2.3.9.3.Nhược Điểm
Khi đồng bộ hóa dữ liệu giữa các hệ thống máy tính khác nhau, Unison có vấn đề quan trọng nếu các tên tập tin chứa các ký tự có dấu hoặc quốc tế. Khi xem danh sách các tập tin so với giao diện, lựa chọn có thể được thực hiện chỉ một dòng một lúc; so sánh với khả năng của IrfanView của nhiều trái / phải, chọn / de-chọn, vv Hơn nữa, việc sử dụng của Unison đang hoạt động, theo nghĩa mà người sử dụng cần để chạy Unison khi đăng xuất và trong của một máy tính được (so sánh với Windows Live Sync, mặc dù sau này không hỗ trợ nhiều hệ điều hành).
iSCSI là viết tắt của Internet Small Computer Syste Interface, một giao thức Internet (IP)-dựa lưu trữ mạng chuẩn cho liên kết các cơ sở lưu trữ dữ liệu.Bởi thực SCSI lệnh qua mạng IP, iSCSI được sử dụng để tạo thuận lợi cho giao dịch chuyển dữ liệu qua mạng nội bộ và quản lý lưu trữ trên một khoảng cách dài. iSCSI có thể được sử dụng để truyền dữ liệu qua mạng cục bộ (LAN), mạng diện rộng (WAN), hoặc Internet và có thể bật vị trí độc lập dữ liệu lưu trữ và truy xuất.
2.3.10.1.Chức Năng
iSCSI sử dụng TCP / IP (thường là các cổng TCP 860 và 3260). Về bản chất, iSCSI chỉ đơn giản cho phép hai máy chủ để thương lượng và sau đó trao đổi SCSI lệnh bằng cách sử dụng mạng IP.
Mặc dù iSCSI có thể giao tiếp với các loại tùy ý của các thiết bị SCSI, quản trị hệ thống hầu như luôn luôn sử dụng nó để cho phép máy tính của máy chủ (như máy chủ cơ sở dữ liệu) để truy cập vào mảng khối lượng đĩa lưu trữ.
iSCSI SAN thường có một trong hai mục tiêu:
Lưu trữ hợp nhất
Tổ chức di chuyển các nguồn lực khác nhau từ các máy chủ lưu trữ trên mạng của mình đến các địa điểm trung tâm, thường xuyên tại các trung tâm dữ liệu; này cho phép hiệu quả hơn trong việc giao lưu trữ.Trong môi trường SAN, một máy chủ có thể được giao một khối lượng đĩa mới mà không có bất kỳ thay đổi phần cứng hoặc cáp.
Khả năng phục hồi
Các tổ chức nhân bản tài nguyên trung tâm dữ liệu lưu trữ từ một đến một trung tâm dữ liệu từ xa, có thể phục vụ như là một dự phòng nóng trong trường hợp cúp kéo dài. Đặc biệt, SAN iSCSI cho phép các mảng toàn bộ đĩa để được di chuyển qua một mạng WAN với những thay đổi cấu hình tối thiểu, có hiệu lực làm cho lưu trữ "định tuyến" theo cách tương tự như lưu lượng mạng.
2.3.10.2.Khái Niệm
Khởi đâu:
Một khởi chức năng như một máy khách iSCSI, thường phục vụ mục đích cùng với một máy tính như là một Host Bus Adapter, ngoại trừ thay vì thể chất cáp SCSI thiết bị (như ổ đĩa cứng và đổi băng), một khởi iSCSI sẽ gửi các lệnh SCSI trên mạng IP. Khởi An rơi vào hai loại rộng:
Phần mềm
Một khởi sử dụng phần mềm mã nguồn để thực hiện iSCSI. Thông thường, điều này xảy ra trong hạt nhân một-điều khiển thiết bị cư dân sử dụng các card mạng hiện có (NIC) và mạng lưới ngăn xếp để thi đua SCSI các thiết bị cho một máy tính bằng cách nói giao thức iSCSI. Phần mềm khởi xướng có sẵn cho hầu hết các hệ điều hành chính, và loại này là chế độ phổ biến nhất của việc triển khai iSCSI trên máy tính.
Phần cứng
Một khởi sử dụng phần cứng chuyên dụng phần cứng, thông thường kết hợp với phần mềm (firmware) chạy trên phần cứng đó, để thực hiện iSCSI. Một khởi phần cứng giảm nhẹ các overhead của iSCSI và chế biến thức TCP và ngắt Ethernet, và do đó có thể cải thiện hiệu suất của máy chủ sử dụng iSCSI.
Host Bus Adapter
Một máy chủ lưu trữ Host Bus Adapter thực hiện một khởi phần cứng. Một HBA điển hình là đóng gói như là một sự kết hợp của một Gigabit (hoặc 10 Gigabit) Ethernet NIC, một số loại thức TCP / IP offload engine và một Host Bus Adapter, mà là làm thế nào để nó xuất hiện hệ điều hành.
Một HBA iSCSI có thể bao gồm các tùy chọn ROMPCI để cho phép khởi động từ một mục tiêu iSCSI.
TCP offload Engine
Một TCP offload Engine, hoặc "TOE Card", cung cấp một cách thay thế cho một toàn iSCSI HBA. Một TOE "offloads" TCP / IP hoạt động cho giao tiếp mạng cụ thể từ các bộ vi xử lý máy chủ lưu trữ, giải phóng CPU chu kỳ cho các ứng dụng máy chủ lưu trữ chính. Khi một TOE được sử dụng chứ không phải là một HBA, bộ vi xử lý máy chủ vẫn phải thực hiện việc xử lý các lớp giao thức iSCSI chính nó, nhưng nguyên cần thiết cho công việc cho CPU đó là thấp.
iSCSI HBAs hoặc ngón chân được sử dụng khi việc tăng cường hiệu suất bổ sung biện minh cho những chi phí cộng thêm của việc sử dụng một HBA cho iSCSI, thay vì sử dụng một phần mềm dựa trên máy khách iSCSI.
2.3.10.3.Kiểm soát
Bởi vì iSCSI nhằm củng cố cho các máy chủ lưu trữ nhiều vào một mảng lưu trữ duy nhất, iSCSI yêu cầu triển khai các chiến lược để ngăn chặn không liên quan khởi xướng từ nguồn tài nguyên lưu trữ truy cập.
2.3.10.4.Bảo mật
Đối với hầu hết các phần, iSCSI hoạt động như là một giao thức cleartext mà không cung cấp bảo vệ mật mã cho dữ liệu trong chuyển động trong quá trình giao dịch SCSI. Kết quả là, một kẻ tấn công những người có thể nghe trong ngày iSCSI lưu lượng Ethernet có thể:
- tái tạo lại và sao chép các tập tin và hệ thống tập tin được chuyển tải trên dây - thay đổi nội dung tập tin bằng cách tiêm khung giả iSCSI
- hệ thống tập tin bị hỏng được truy cập bằng cách khởi xướng, xúc lỗi phần mềm máy chủ vào trong mã hệ thống tập tin kém-kiểm tra.
2.3.10.5.Hệ Điều Hành Hệ Thống Hỗ Trợ
OS Ngày phát hành
đầu tiên Phiên bản Những đặc tính
i5/OS 2006-10 i5/OS V5R4M0 Mục tiêu,
Multipath
VMware
ESX 2006-06 3.5.0 ESX, ESX 4,0
Initiator, Multipath
AIX 2002-10 AIX 5,3 TL10, AIX 6,1 TL3 Mục tiêu, Initiator
Windows 2003-06 2000, XP Pro, 2003, Vista, 2008, 2008 R2, 7
Initiator, Target †, Multipath
NetWare 2003-08 NetWare 5,1, 6,5, & oes Initiator, Target
HP-UX 2003-10 Máy 11i v1, HP 11i v2, HP 11i
v3 Initiator
Solaris 2005-02 10 Solaris, OpenSolaris Initiator, Target, Multipath, iSER
Linux 2005-06 2.6.12 Initiator, Target,
Multipath, iSER
NetBSD 2006-02 4.0, 5.0 Initiator (5,0),
Target (4,0)
FreeBSD 2008-02 7,0 Initiator, mục tiêu
từ NetBSD
OpenVMS 2008-02 8,3-1H1 Initiator
2.4.MỘT SỐ VẤN ĐỀ LIÊN QUAN ĐẾN NAS 2.4.1.So Sánh NAS Với DAS,SAN
Dữ liệu là huyết mạch của các doanh nghiệp ứng dụng công nghệ thông tin ngày nay. Có rất nhiều lựa chọn, trong đó phổ biến nhất là DAS (Direct Attached Storage), NAS (Network Attached Storage) và SAN (Storage Area Network). Không có giải pháp nào hợp lý cho tất cả. Thay vào đó, điều quan trọng là tập trung vào các yêu cầu cụ thể và mục tiêu kinh doanh lâu dài của doanh nghiệp. Các yếu tố cần xem xét bao gồm: