8 Giao Thức SECURE SHEL

Một phần của tài liệu đồ án công nghệ thông tin Xây dựng website giới thiệu và bán sàn gõ trên nền CMS Drupal (Trang 74 - 87)

Secure Shel hay SS là một giao thức mạng cho phép trao đổi dữ liệu được sử dụng một kênh an t giữa hai thiết bị mạn được sử dụng chủ yếu vào Linu và Uni dựa trên hệ thống để truy cập vào tài khoảnni ,

SSH được thiết kế như là một thay thnet và

khôan

bao

xa, trong đó gửi thông tin, đặt là

cáct khẩu,rong bản rõ,

để họ mở cho áh ch Các mã hóa

được sử dụng bởi SSH cung cấp bảo mật và tính toàn vẹn của dữ liệu qua một mạng không an toàn, chẳn như

Internet trong. N95,

một nhà nghiêntại

Đại học Công nghệ sinki,

Phần Lan, được thiết kế phiên bản đầu tiên của giao thức (bây gi gọilà SSH) nhắc

bằngmật

khẩuiffing tấn vào

mạng lưới các trườnại học c mình. 2.3.8..Đnh h ĩa SSHụng mật mã học-c chí để c thực

máy tính từ xa và cho phép máy tính từ xa để xác thực người dùng, nếu cn hiết .

SSH thường được sử dụng để đăng nhập vào một máy từ xa và thực hiện lệnh, nhưng nó cũng hỗcác đg hầm, chuiếp cổng và ki X11, nó có thể chuyển các tập tin bằng cách sg SFTP liên quac SCP giao thức.SSH sg clientrver m hìnhc tiêu chuẩn c TCP

22 được giao cho liên lạc với máy c SSH

hách

SSH thường được sử dụng để thiết lập kết nối đến một daemon SSH chấp nhận kết nối từ xa. Cả hai thường hiện nay trên ht

các hệ đihành hiện đại, bm MaS n FB arisà n phần mềm ữu. 23.8.2.Công ụng C a SSH

S SH là một giao thức có thể được sử dụng cho nhiều ứng dụng. Một số ứng dụng dưới đây có thể yêu cầu tính năng mà chỉ có sẵn hoặc tương thích với khách hàng cụ thể SSH hoặc máy chủ. Ví dụ, sử dụng giao thức SSH để thực hit

VPN

là có thể, nhưng hiện chỉ với máy chủ OpenSSH và thực hiện của khác

hàng Đ ể đăng nhập vào trình bao trên một máy chủ từ xa (thay thế Telnet và rlgn) , để thực hiện một lệnh duy nhất trên một máy chủ từ xa (thay thế rsh) cho các tập tin sao chép từ một máy chủ của địa phương đến một máy chủ từ xa.

S như một sự thay thế cho RC kết hợp với SFTP như là một thay thế an toàn để chuyển tập ti

F kết hợp với rsync để backup, sao chép và nhân bản các tập tin hiệu quả và an toàn ch chuyển tiếp cổng hoặc đường h

một cổng (không nên nhầm lẫn với mộ V

m các tuy

gói dữ liệu giữa các mạng khác nhau hoặ c

ha

lĩnh vực phát só thành một.

Để sử dụng như một VPN-fledged đầy đủ mật mã. Lưu ý rằng chỉ có OpenSSH máy chủ và máy khách hỗ trợ tính năng này.Cho chuyển tiếp X11 thông qua nhiều host để duyệt web thông qua một kết nối proxy được mã hóa với khách hàng, SSH có hỗ trợ

các giao thức SOCKS.Cho an toàn lắp một thư mục trên một máy chủ từ xa như là một hệ thống tập tin trên một máy tính sử dụng SSHFS.theo dõi từ xa tự động và quản lý các máy chủ thông qua một hoặc nhiều các cơ chế như được thảo luận ở trên.

2.3.8.3.SSH Kiến Trúc

- Các giao thức SSH-2 có một kiến trúc nội bộ (được định nghĩa trong RFC 4.251) với những lớp tách biệt nhau. Đó là:

- Lớp vận tải (RFC 4.253). Lớp này xử lý ban đầu trao đổi khóa và xác thực máy chủ và thiết lập mã hóa, nén và xác minh tính toàn vẹn. It exposes đến lớp trên một giao diện cho việc gửi và nhận rõ các gói dữ liệu lên đến 32.768 byte mỗi thêm (có thể cho phép thực hiện). Lớp vận tải cũng sắp xếp để tái key-trao đổi, thường là sau 1 GB dữ liệu đã được chuyển giao hoặc sau 1 giờ đã được thông qua, lấy điều nào sớm hơn.

- Việc xác thực người dùng lớp (RFC 4.252). Lớp này xử lý xác thực khách hàng và cung cấp một số phương pháp xác thực. Xác thực là khách hàng-hướng: khi một là hỏi mật khẩu, nó có thể được ứng dụng khách SSH nhắc, không phải là máy chủ. Máy chủ chỉ đáp ứng yêu cầu chứng thực của khách hàng. Sử dụng rộng rãi các phương pháp xác thực người sử dụng bao gồm:

- Mật khẩu: đây là phương pháp xác thực mật khẩu đơn giản, bao gồm một cơ sở cho phép một mật khẩu phải được thay đổi. Phương pháp này không được thực hiện bởi tất cả các chương trình.

- publickey: đây là phương pháp khóa công khai, xác thực dựa, thường là hỗ trợ ít nhất là DSA hoặc RSA keypairs, với việc triển khai hỗ trợ khác cũng có giấy chứng nhận X.509.

- bàn phím-tương tác (RFC 4256): một phương pháp linh hoạt, nơi máy chủ sẽ gửi một hoặc nhiều nhắc nhở để nhập thông tin khách hàng và hiển thị chúng và gửi lại phản ứng keyed-in của người dùng. Được sử dụng để cung cấp một lần mật khẩu xác thực như S / khóa hoặc SecurID. Được sử dụng bởi một số cấu hình OpenSSH khi PAM là

chủ nhà cung cấp dịch vụ chứng thực nằm bên dưới để có hiệu quả cung cấp chứng thực mật khẩu, đôi khi dẫn đến mất khả năng đăng nhập với một khách hàng chỉ cần có hỗ trợ các phương pháp xác thực đồng bằng mật khẩu.

- GSSAP phương pháp xác thực mà cung cấp một đề án mở rộng để thực hiện cơ chế xác thực SSH sử dụng bên ngoài nh Kerberos ha NTL cung c đăng nhập một ng

khả năng phiên SSH. Những phương pháp này thường được thực hiện bởi việc triển khai thương mại SSH để sử dụng trong các tổ chức, mặc dù OpenSSH không có một thực hiện GSSAPI làm việ

- Lớp kết nối (RFC 4.254). Lớp này định nghĩa khái niệm về kênh, yêu cầu kênh và yêu cầu toàn cầu bằng cách sử dụng những dịch vụ SSH được cung cấp. Một đơn SSH kết nối có thể lưu trữ nhiều kênh khác nhau cùng một lúc, mỗi lần chuyển dữ liệu trong cả hai hướng. Kênh yêu cầu được sử dụng để tiếp sức out-of-dữ liệu kênh ban nhạc cụ thể, chẳng hạn như thay đổi kích thước của một cửa sổ nhà ga hoặc mã theo lối ra của một server-side quá trình. Các yêu cầu của khách hàng SSH server-side cổng để được chuyển tiếp bằng cách sử dụng một yêu cầu toàn cầu. Tiêu chuẩn loại kênh bao gồm

vỏ cho các hệ vỏ ga, SFTP và yêu cầu exec (kể cả chuyển SCP

Tcpip trực tiếp cho khách hàng để chuyển tiếp kết nối máy chủ chuyển tiếp-Tcpip cho máy chủ để khách hàng chuyển tiếp kết nố

- Các SSHF DNS record (RFC 4255 cung cấp các máy chủ lưu trữ khóa vân tay để hỗ trợ trong xác minh tính xác thực của máy chủ này

2.3 9. Giao Thức Uniso

Uniso là một tập tin đồng b chương trình. Nó được sử dụng cho các tập tin đồng bộ giữa hai thư mục, hoặc là trên một máy tính, hoặc giữa một máy tính và thiết bị lưu trữ khác (ví dụ, một máy tính khác, hoặc một đĩa rời). Nó chạy trên Unix nh hệ điều hành (bao gồm cả Linux Mac OS X và Solaris) cũng như trên Windows

2.3.9.1 Chức ăn

Unison cho phép cùng một phiên bản các tập tin cần được duy trì trên các thiết bị tính toán nhiều. Nói cách khác, khi hai thiết bị được đồng bộ hóa, người sử dụng có thể chắc chắn rằng phiên bản mới nhất của một tập tin có sẵn trên cả hai thiết bị, không phân biệt nơi nó đổi lần cuối lúc

Nó chạy trên hệ điều hành rất nhiều, và có thể đồng bộ hóa các tập tin trên nền tảng, do đó, ví dụ một máy tính xách tay Windows có thể đồng bộ hóa với một máy chủ Unix Nó phát hiện 'xung đột' nơi một tập tin đã được sửa đổi trên cả hai nguồn, và hiển thị chúng cho người sử dụn

Nó truyền qua giao thức TCP / IP để cho bất kỳ hai máy với một kết nối internet có thể được đồng bộ. Điều này cũng có nghĩa là các dữ liệu được chuyển giao có thể được bảo đảm bằng đường hầm qua một kết nối ssh mật mã

Nó sử dụng các thuật toán rsyn phát triển bởi Andrew Tridgell Thuật toán chuyển tiền này chỉ có các bộ phận của một tập tin đó đã thay đổi, và như vậy là nhanh hơn so với việc sao chép các tập tin to

ộ.

- Nó được thiết kế để được mạnh mẽ trong trường hợp của một chương trình hay tai nạn hoặc không một hệ thống truyền

ông. Đ

mã ngu ở

- Nó được viết bằng ngôn

CAML Mục t

2.3.9.. TìnhT rạngP hátT ri

Unison không còn theo sự phát triển tích cực.

Hỗ trợ cho Unison được cung cấp bởi các bên thứ ba cho hệ điều hành cụ thể.

Các phiên bản mới nhất ổn định, tính đến tháng 8 năm 2009, là 2.27.157 (có sẵn như là mã nguồn). Đối với các phiên bản nhị phân ổn định, sau đây là có sẵn:

- Linux: 2.27.57 - Win32: 2.27.157 - Mac OS X: 2.27.72

2.3.9.3.Nhược Điểm

Khi đồng bộ hóa dữ liệu giữa các hệ thống máy tính khác nhau, Unison có vấn đề quan trọng nếu các tên tập tin chứa các ký tự có dấu hoặc quốc tế. Khi xem danh sách các tập tin so với giao diện, lựa chọn có thể được thực hiện chỉ một dòng một lúc; so sánh với khả năng của IrfanView của nhiều trái / phải, chọn / de-chọn, vv Hơn nữa, việc sử dụng của Unison đang hoạt động, theo nghĩa mà người sử dụng cần để chạy Unison khi đăng xuất và trong của một máy tính được (so sánh với Windows Live Sync, mặc dù sau này không hỗ trợ nhiều hệ điều hành).

2.3.10. Giao Thức iSCSI

iSCSI là viết tắt của Internet Small Computer Syste Interface, một giao thức Internet (IP)-dựa lưu trữ mạng chuẩn cho liên kết các cơ sở lưu trữ dữ liệu.Bởi thực SCSI lệnh qua mạng IP, iSCSI được sử dụng để tạo thuận lợi cho giao dịch chuyển dữ liệu qua mạng nội bộ và quản lý lưu trữ trên một khoảng cách dài. iSCSI có thể được sử dụng để truyền dữ liệu qua mạng cục bộ (LAN), mạng diện rộng (WAN), hoặc Internet và có thể bật vị trí độc lập dữ liệu lưu trữ và truy xuất.

2.3.10.1.Chức Năng

iSCSI sử dụng TCP / IP (thường là các cổng TCP 860 và 3260). Về bản chất, iSCSI chỉ đơn giản cho phép hai máy chủ để thương lượng và sau đó trao đổi SCSI lệnh bằng cách sử dụng mạng IP.

Mặc dù iSCSI có thể giao tiếp với các loại tùy ý của các thiết bị SCSI, quản trị hệ thống hầu như luôn luôn sử dụng nó để cho phép máy tính của máy chủ (như máy chủ cơ sở dữ liệu) để truy cập vào mảng khối lượng đĩa lưu trữ.

iSCSI SAN thường có một trong hai mục tiêu:

Lưu trữ hợp nhất

Tổ chức di chuyển các nguồn lực khác nhau từ các máy chủ lưu trữ trên mạng của mình đến các địa điểm trung tâm, thường xuyên tại các trung tâm dữ liệu; này cho phép

hiệu quả hơn trong việc giao lưu trữ.Trong môi trường SAN, một máy chủ có thể được giao một khối lượng đĩa mới mà không có bất kỳ thay đổi phần cứng hoặc cáp.

Khả năng phục hồi

Các tổ chức nhân bản tài nguyên trung tâm dữ liệu lưu trữ từ một đến một trung tâm dữ liệu từ xa, có thể phục vụ như là một dự phòng nóng trong trường hợp cúp kéo dài. Đặc biệt, SAN iSCSI cho phép các mảng toàn bộ đĩa để được di chuyển qua một mạng WAN với những thay đổi cấu hình tối thiểu, có hiệu lực làm cho lưu trữ "định tuyến" theo cách tương tự như lưu lượng mạng.

2.3.10.2.Khái Niệm

Khởi đâu:

Một khởi chức năng như một máy khách iSCSI, thường phục vụ mục đích cùng với một máy tính như là một Host Bus Adapter, ngoại trừ thay vì thể chất cáp SCSI thiết bị (như ổ đĩa cứng và đổi băng), một khởi iSCSI sẽ gửi các lệnh SCSI trên mạng IP. Khởi An rơi vào hai loại rộng:

Phần mềm

Một khởi sử dụng phần mềm mã nguồn để thực hiện iSCSI. Thông thường, điều này xảy ra trong hạt nhân một-điều khiển thiết bị cư dân sử dụng các card mạng hiện có (NIC) và mạng lưới ngăn xếp để thi đua SCSI các thiết bị cho một máy tính bằng cách nói giao thức iSCSI. Phần mềm khởi xướng có sẵn cho hầu hết các hệ điều hành chính, và loại này là chế độ phổ biến nhất của việc triển khai iSCSI trên máy tính.

Một khởi sử dụng phần cứng chuyên dụng phần cứng, thông thường kết hợp với phần mềm (firmware) chạy trên phần cứng đó, để thực hiện iSCSI. Một khởi phần cứng giảm nhẹ các overhead của iSCSI và chế biến thức TCP và ngắt Ethernet, và do đó có thể cải thiện hiệu suất của máy chủ sử dụng iSCSI.

Host Bus Adapter

Một máy chủ lưu trữHost Bus Adapter thực hiện một khởi phần cứng. Một HBA điển hình là đóng gói như là một sự kết hợp của một Gigabit (hoặc 10 Gigabit) Ethernet NIC, một số loại thức TCP / IP offload engine và một Host Bus Adapter, mà là làm thế nào để nó xuất hiện hệ điều hành.

Một HBA iSCSI có thể bao gồm các tùy chọn ROMPCI để cho phép khởi động từ một mục tiêu iSCSI.

TCP offload Engine

Một TCP offload Engine, hoặc "TOE Card", cung cấp một cách thay thế cho một toàn iSCSI HBA. Một TOE "offloads" TCP / IP hoạt động cho giao tiếp mạng cụ thể từ các bộ vi xử lý máy chủ lưu trữ, giải phóng CPU chu kỳ cho các ứng dụng máy chủ lưu trữ chính. Khi một TOE được sử dụng chứ không phải là một HBA, bộ vi xử lý máy chủ vẫn phải thực hiện việc xử lý các lớp giao thức iSCSI chính nó, nhưng nguyên cần thiết cho công việc cho CPU đó là thấp.

iSCSI HBAs hoặc ngón chân được sử dụng khi việc tăng cường hiệu suất bổ sung biện minh cho những chi phí cộng thêm của việc sử dụng một HBA cho iSCSI, thay vì sử dụng một phần mềm dựa trên máy khách iSCSI.

2.3.10.3.Kiểm soát

Bởi vì iSCSI nhằm củng cố cho các máy chủ lưu trữ nhiều vào một mảng lưu trữ duy nhất, iSCSI yêu cầu triển khai các chiến lược để ngăn chặn không liên quan khởi xướng từ nguồn tài nguyên lưu trữ truy cập.

Đối với hầu hết các phần, iSCSI hoạt động như là một giao thức cleartext mà không cung cấp bảo vệ mật mã cho dữ liệu trong chuyển động trong quá trình giao dịch SCSI. Kết quả là, một kẻ tấn công những người có thể nghe trong ngày iSCSI lưu lượng Ethernet có thể:

- tái tạo lại và sao chép các tập tin và hệ thống tập tin được chuyển tải trên dây - thay đổi nội dung tập tin bằng cách tiêm khung giả iSCSI

- hệ thống tập tin bị hỏng được truy cập bằng cách khởi xướng, xúc lỗi phần mềm máy chủ vào trong mã hệ thống tập tin kém-kiểm tra.

2.3.10.5.Hệ iều ành ệ hống ỗ r

OS Ngày phát hành

đầu tiên Phiên bản Những đặc tính

i5/OS 2006-10 i5/OS V5R4M0 Mục tiêu,

Multipath VMware

ESX 2006-06 3.5.0 ESX, ESX 4,0

Initiator, Multipath

AIX 2002-10 AIX 5,3 TL10, AIX 6,1 TL3 Mục tiêu,

Initiator Windows 2003-06 2000, XP Pro, 2003, Vista,

2008, 2008 R2, 7

Initiator, Target †, Multipath NetWare 2003-08 NetWare 5,1, 6,5, & oes Initiator, Target HP-UX 2003-10 Máy 11i v1, HP 11i v2, HP 11i

Solaris 2005-02 10 Solaris, OpenSolaris Initiator, Target, Multipath, iSER

Linux 2005-06 2.6.12 Initiator, Target,

Multipath, iSER NetBSD 2006-02 4.0, 5.0 Initiator (5,0), Target (4,0) FreeBSD 2008-02 7,0 Initiator, mục tiêu từ NetBSD OpenVMS 2008-02 8,3-1H1 Initiator

Hình 2.3 : Danh sách hệ điều hành hỗ trợ iSCS

Một phần của tài liệu đồ án công nghệ thông tin Xây dựng website giới thiệu và bán sàn gõ trên nền CMS Drupal (Trang 74 - 87)

Tải bản đầy đủ (DOC)

(107 trang)
w