سواءً كُنت تمتلك شركة ضخمة أو كُنت مدوّن، فأنت بحاجة إلى التأكّد مِن أن عُملائكً يرونك بأفضل صورة ممكنة. من الضروري أن تتخذ خُطوات أمنيّة وتحمي من إختراق الموقع الإلكتروني. هُناك عدّة طُرق للدّفاع. يُعد إستخدام بروتوكول SSH واحد منهم.
ما هو الـ SSH؟
يُشار إلى Safe Shell بإسم SSH. وهو مِعيار لبرُوتوكولات إتصال العَميل والخادِم لشبكات الكُمبيوتر TCP/IP. فمن الممكن تَسجيل الدّخول وتشغيل الأوامر على أَجهزة الكُمبيوتر البَعيدة بإستخدام بروتوكول Secure Shell. فهو نُموذج خادِم العَميل للإتصال عَن بُعد. على عكس TELNET، الذي كان رائد لبروتوكول SSH، فإن إتصال SSH مُشفّر.
ومن السّهل إعتراض البَيانات الغير مُشفرة؛ كل ما تحتاج لمعرفته بخصوص طَبقة الإتصال أَمر أساسي. يُعد إعداد طبقة مصادقة المُستخدم أمر شائع لأنه أكثر أمانًا للإستخدام من أساليب الصُدفة البعيدة الغير محمية.
وينقسم مُستخدمو Secure Shell إلى فئتين أساسيتين. ويتم إستخدامه من قبل مسؤولي الشّبكات للتحكّم في خوادِم SSH البَعيدة. فيقوم عُملاء الإستضافة بإدارة خوادِمهم بإستخدام تقنيات مُصادقة مُخصّصة عبر إتصال SSH. ويمكنك الوصول إلى قواعد البيانات البعيدة، وإصلاح جهاز التوجيه المعطل، وإعداد جهاز كُمبيوتر عن بعد. فأصبح البَريد الإلكتروني ونقل الملفّات بشَكل آمن مُمكنًا بفضل البروتوكول.
ويعمل بروتوكول Secure Switch Shell على تعزيز أمان طبقة الإتصال بشَكل كَبير وهو مُفيد للعمليات الروتينية على الأجهزة البعيدة. فيمكنك الدفاع ضد الهجمات الخارجية على موقعك الإلكتروني، مِثل تلك التي تحاول إلتقاط كلمات المرور أو الظهور كخوادم DNS، وذلك بإستخدام بروتوكول شبكة التشفير.
وبإستخدام عميل SSH، سيمكنك الإتصال بخادمك المُخصّص أو خادم الـ VPS. ويمكن تغيير ملفات نظام الخادم، ويمكن تثبيت أَدوات جَديدة. ويمكنك حَزم الملفّات وتفريغها مباشرة على الخادم، وعرض الملفات على الخادِم ونَقلها ونَسخها وتَحريرها، وإنشاء نُسخ إحتياطية وإستعادتها من خلال الإستضافة المُشتركة.
راجع هذه الصفحة للتعرف على الإختلافات بين الخادم المُخصّص والخادم الإفتراضي الخاص. وستكتشف متى يَكون من المنطقي إنفاق الأموال عَلى حَل متخصص ومتى يَكون الحَل الإفتراضي كافٍ.
آليّة البروتوكول SSH
ما هُو بروتوكول نَقل الملفّات SSH، أنت تعرف بالفعل ما هو. ويمكنك العَمل في هَيكل نِظام بَعيد كَما لو كان نظام محلّي بإستخدام برنامج عميل Shell الآمن. كان الحل لمُشكلة ضَعف بروتوكول Telnet هو إستخدام تقنية Secure Shell. وهو يَعمل على تصميم خادِم العميل، بحيث يَستمع الخادِم على المَنفذ 22 إفتراضيًا. بفضل إمكانيّاته الأمنيّة الممتازة، يُمكن لجِهازي كُمبيوتر التفاعل بدون القَلق بشأن سرقة البَيانات.
الأَساس لفِهم تشغيل إتصال SSH الكامل هو خوارزمية تبادل مفاتيح التشفير. فأصبحت مُصادقة العَميل الرئيسيّة المُتماثلة ممكنة بواسطة SSH أَثناء الإتصال بأنظِمة تَشغيل بعيدة مُختلفة. البرامج التي تستخدم بروتوكول SSH تقدم أيضًا:
- إختيار نظام المُصادقة على أساس كلمة المرور.
- إتصالات أنفاق SSH TCP.
- نَفق جلسات X-Window.
- النّقل الآمن لبيانات SCP.
- دَعم تقنيات المُصادقة الخارجيّة (مِثل البطاقات الذكية والشّهادات الرّقمية وKerberos).
وبالتالي، فإن مُستخدمي تقنيّة Secure Shell محميون من الأنواع التالية من الهجمات:
- جلسات الغش والإستنشاق.
- مُحاكاة خادِم DNS.
- تَوجيه مَصدر IP، أو التظاهر بأنه نظام موثوق.
- مُحاكاة خادِم هدف بعيد عن طريق إنتحال IP.
- سرقة كلمات المُرور.
قام فريق عمل هندسة الإنترنت (IETF) بإنشاء بروتوكول SSHv2 الجديد، وهو البديل لبروتوكول SSHv1 السابق. وعلى الرّغم مِن إختلاف تقنيات التّشفير المُستخدمة، إلا أن الفكرة الأساسية وراء تَشفير المِفتاح العام للعَميل والخادِم تظل كما هي.
سأركّز عَلى بروتوكول SSHv2 وألفت الإنتباه إلى الإختلافات عَن أَخيه الأَكبر. سُرعان ما أصبح SSHv1 أقل شيوعًا لصالح بديله، SSHv2، نظرًا لأن معيار التّشفير المُتطور الخاص بـ SSHv1 يَمنع هجمات إختطاف الجلسة الناجحة.
تَرخيص عَميل SSH وخادِم SSH
كُل جهاز يَستخدم أَحدث إصدار من بروتوكول عَميل SSH له تَنسيق مَلف مِفتاح عام مُختلف، إما RSA أو DSA. يتميّز SSHv1 بخادِم RSA واحد. يبلُغ الحد الأدنى لطول مِفاتيح SSH هذهِ 1024 بت. فيتم إنشاء زَوج مَفاتيح عام-خاص يتم تبادُله بشَكل مُنتظم ويبلغ طوله الحد الأدنى 768 بت بواسطة الخادم في SSHv1. فيتم إنشاء مفتاحي SSH بواسطة خادم الجهاز البعيد: مِفتاح مُضيف ومفتاح خادم.
ويحصل عُملاء SSH على مفاتيحهم العامّة أثناء الإتصالات؛ وهي تتكون من مفتاح 768 بت يتم تَحديثه بشَكل مُنتظم ومفتاح دائم 1024 بت يتم تعيينه للخادم. ويتحقق العميل لمعرفة ما لو كان مُتصل بخادِم SSH المُناسب عن طريق مقارنة المفتاح الدائم بالمفتاح الرئيسي الخاص به.
وبعد هذا، بإستخدام المَفاتيح العامّة التي حصل عليها من الخادم، يقوم العميل بتشفير رقم وإرساله مرّة أُخرى. وبإستخدام مفاتيحه الخاصة، يَقوم الأخير بعد ذلك بفَك تَشفير القيمة التي تلقّاها. من أجل تشفير جلسة الإتصال المُناسبة، تستخدم الخوارزميات المُتماثلة قيمة الإخراج كمفتاح لها. تقنيات التشفير الأكثر إستخدام للجلسات هي Triple DES و Blowfish.
وفي المقابل، لا يتِم عمل مِفتاح الخادم أثناء إستخدام SSHv2. بدلاً من ذلك، يتم إنشاء مِفتاح الجَلسة بشكل تلقائي بواسطة خوارزمية Diffie-Hellman. ويتم إستخدام العَديد مِن الأساليب بواسطة SSHv2 لتَشفير البيانات، بما في ذلك Blowfish وTriple DES وCAST128 وArcfour، أضف إلى ذلك AES (128، 192، 256 بت). بالإضافة إلى ذلك، تضمن إحدى خوارزميّات التَجزئة — SHAv1 أو MD5 — سلامة الجَلسة.
ويُمكن للمُستخدم الوُصول إلى الخادِم البَعيد وبدء عمليّات نَقل البَيانات في حالة إكتمال الإذن. والتقنيات الرئيسية لمصادقة المستخدم هي بروتوكولات التشفير التي تَعتمد على إذن المُضيف وتبادل البَيانات بإستخدام المَفاتيح العامّة.
Rhosts ترخيص
ويتطلب أن يكون لدى خادِم SSH إِدخال في /etc/hosts.equiv أو /etc/shosts.equiv أو .shosts أو .rhosts ويحتوي على جهاز العَميل وأسم المثستخدم. فيتم مَنح الوصول الآمن تلقائيًا (دون المطالبة بكلمة مرور) لو كانت الملفات المُدرجة تحتوي على نفس المعلومات.
تَرخيص المِفتاح العام
يستخدم خادم Secure Shell RSA لتخزين المفتاح العام للمُستخدم. ويعلن العَميل عَن المَفاتيح العامّة التي يرغب في إستخدامها في بداية الإتصال. ويستجيب الخادم عن طريق إرسال رَقم عشوائي مشفر بإستخدام المِفتاح العام الذي إختاره العَميل. ويجب على العَميل فَك تَشفير الرقم بإستخدام مِفتاحه السري، وهو نفس المِفتاح العام الذي يختاره.
وفي حالة نجاح هذه المرحلة، يتم تشفير الرّقم مِن قِبل العَميل بإستخدام مِفتاحه الخاص، وعلى الخادم إستخدام المِفتاح العام المُطابق لفك تشفيره. فيكون تَرخيص العميل ناجح لو حَصل الخادِم على الرّقم الذي قدّمه مُسبقًا للعميل (المشفر بمفتاحه العام).
تختلف مُصادقة المِفتاح العام وتَشفيره في SSHv2. ويستخدم مَفاتيح DSA وRSA للبِدء. بإستخدام المٍفتاح الخاص وطريقة Diffie-Hellman، يقوم الخادم بالتوقيع على مِفتاح الجَلسة المُتفق عَليه عندما يُرسل للعميل عدد صحيح عشوائي مُشفر. بإستخدام المِفتاح العام للمُستخدم، يَقوم خادِم SSH بتوثيق الإتصال.
وعلاوة على ذلك، يُمكن إستخدام تقنيّات المُصادقة الخارجيّة المُستندة إلى X.509 وKerberos والبِطاقات الذكيّة بواسِطة الأَنظمة المُستندة إلى SSHv2.
بعد الإنتهاء مِن عمليّة الحُصول على إذن المُستخدم، يمكنك البدء في إستخدام جِهاز كُمبيوتر بَعيد. والتنفيذ الغير تفاعلي لتعليمات SSH المُرسلة مِن مُستوى العميل هو الوضع الأول. إن مَنح المُستخدم إمكانيّة الوصول إلى Shell البعيد هو الخيار الثاني والأكثر تعقيدًا. فهي طَريقة للوُصول إلى جِهاز كُمبيوتر بَعيد مِن مَسافة بعيدة.
حَجر الزّاوية في إدارة الأعمال هو الأمن. وإن تأمين موقعك الإلكتروني لا يقل أهمية عن تشفير بياناتك. فتعرف على كيفيّة حِماية ووردبريس!
طريقة إستخدام شل الآمنة؟
لربط عُملاء SSH بالخوادِم، يُمكنك إستخدام مجموعة متنوعة من الأدوات. ويعد OpenSSH وPuTTY الأكثر إستخدامًا. ويمكنك إستخدام تطبيقات إضافية على أنظمة التشغيل الأخرى بالإضافة إلى هذه. SSHdos (لـ DOS)، وSecureCRT (لـ Windows)، وMSSH، وWinSCP، وTTSSH، وMindTerm (لـ Java)، وNiftyTelnet SSH (لنظام التشغيل Mac OS).
إعدادات PuTTY
إنتقل إلى علامَة تبويب الجلسة لتمكين الإتصال. وأدخل إسم النطاق الذي تَم إعداده أو عُنوان IP الخاص بالخادم في قسم أسم المُضيف المُوقع. أدخل إسم المُستخدم وكلمة المرور، وأختر خيار SSH ضمن نوع الإتصال، ثُم قُم بتنفيذ الأمر فتح. يُمكنك الآن الوصول إلى الخادِم عَبر بروتوكول SSH.
إستخدم shell لإدخال أوامر shell للتحكم في الخادم:
- find – للبحث عَن مَلف بالأسم.
- ls – لقائمة الدّليل أو الملف.
- mkdir – لإنشاء دَليل جَديد.
- mv – لنَقل الدّليل أو الملف.
- cp – لنَسخ الدّليل أو الملف.
- rm – لإزالة الدّليل أو الملف.
ومن المُهم التأكد من إيقاف تشغيل التّسجيل ومطالبة المُستخدم في كُل مرة. في عَلامة التبويب “المحطّة الطّرفية”، إختر:
- في البداية، تم تمكين وضع الإلتفاف التلقائي.
- لمَسح الشاشة، إستخدم لون الخلفيّة.
- الصدى المحلي: Automatic.
- Auto لتحرير الخط المحلي.
وأترك الإعدادات الإفتراضيّة في علامَة التّبويب لَوحة المفاتيح. حدد الخَيارين الأَخيرين ضِمن تَمكين مِيزات لَوحة المَفاتيح الإضافيّة لتمكين علامات التشكيل في اللغات الأخرى. فيمكنك إختيار الخَط المُناسب ضمن علامة التبويب المظهر. من خلال تحديد خَيار التّغيير، يمكنك تغيير واجِهة المُستخدم المرئية عن طريق تحديد نوع خط ونمط وحجم مختلف.
أقترح إختيار إستخدام الخَط في وَضعي ANSI وOEM ضِمن قائمة الترجمة. بعد ذلك، إختر خيار xterm من علامة التبويب “الإتصال” وأدخل معلومات تَسجيل الدّخول في مُربع إسم مُستخدم تَسجيل الدّخول التِلقائي. مِن المُمكن التّبديل مِن بروتوكول SSHv1 إلى بروتوكول SSHv2 في عميل PuTTY. يُرجى الإنتقال إلى خَيار SSH وإختيار الإصدار 2 لو كُنت ترغب في إستخدام بروتوكول SSHv2.
الخلاصة
ويعد بروتوكول نَقل الملفات (FTP) بديلاً آمنًا لـ FTP، وهو الأسلوب الأكثر إستخدامًا للإتصال بالخوادم. ومع ذلك، توفّر جلسات SSH إمكانات أَكثر مِن مُجرّد أَمان طَبقة النّقل: فيمكنك العَمل على الخادِم وتشغيل أَوامر مُختلفة، بينما يَسمح لك FTP/FTPS فقط بنَسخ الملفات إلى الخادم وتنزيلها على جهازك.
ويعد العمل على الملف الموجود على الخادِم أكثر مُلاءمة من تحريره محليًا أثناء إستخدام تقنية Secure Shell. تتضمن مُهمّة بروتوكول SSH أيضًا إستخدام إتصال وكيل مشفر لحماية الإتصال.
لإدارة الإستضافة المُخصّصة أو VPS، يُعد Secure Shell هو الخيار الأفضل نظرًا لأمانه العالي وإمكانياته الهائلة. بالإضافة إلى ذلك، لا أحتاج أن أشرح لك السّلامة لأنّها من أهم الجوانب. ولذلك، فإن إختيار مزوّد الإستضافة المُناسب لا يقل أهميّة عَن إختيار مُصادقة SSH.
تُعد UltaHost من بين شركات الإستضافة الأَكثر أمانًا. والهدف الأسمى لـ UltaHost هو الأمن. UltaHost هي شركة رائدة في مجال الإستضافة الآمنة بفضل العديد من مستويات الدفاع ضد جميع التهديدات، بما في ذلك هجمات الـ DDoS والبرامج الضارة، بالإضافة إلى أحدث التقنيات مع محركات أقراص NVme SSD. لديك خيار إستخدام بروتوكولات FTPS وSecure Shell لمُصادقة الخادِم في UltaHost.
وتعمل UltaHost على حماية تواجُدك على الإنترنت عن طريق فَحص موقعك الإلكتروني بَحثًا عن البرامج الضارة ونُقاط الضعف الأخرى، وكذلك عن طريق حماية مُستخدمي موقعك الإلكتروني وسُمعته من الهجمات على الإنترنت.
ومع ذلك، UltaHost هي أكثر من مُجرّد خِدمة إستضافة آمنة. وسوف تتلقّى المُساعدة من فريقنا على مَدار السّاعة. وتعطي بُنيتنا التحتيّة المَدعومة الأولوية للأداء والتوسع التلقائي. فتعال وألقٍ نظرة على الإختلافات لدينا! وألقِ نظرة على خططنا!
