Kryptovany kanal - jak na to ============================ Typicke pouziti: U sluzeb, ktere se autentifikuji pomoci login/password a jmeno,heslo i vlastni data pritom posilaji v otevrenem tvaru. U takovych sluzeb totiz kazdy ucastnik pripojeny na libovolne casti site, pres niz se spojeni realizuje, muze snadno ziskat vsechna tato data. Na Unixech k tomu postaci prikaz tcpdump. Jedna se zejmena o sluzby jako POP, FTP nebo SMTP. Realizace je pomerne jednoducha, vyzaduje ovsem, abyste meli fyzicky ucet na stroji, k nemuz se chcete takto pripojovat. Pak staci pri vytvareni noveho profilu v ssh klientu stisknout tlacitko "local forwards", jako "local port" uvest nejaky volny port sveho pocitace (obvykle nad 1024), jako "host" jmeno serveru, na nemz sluzba bezi a na nejz se pripojujete, a jako "remote port" zadat cislo portu, na nemz sluzba na serveru bezi. Pak po navazani spojeni uz jen staci pripojit se k zadanemu portu vlastniho pocitace, a komunikujete se sluzbou na serveru pres kryptovany kanal. POZOR - Je nutne zasadne se pripojovat jen na localhost:xxxx , nikdy nepouzivat IP adresy ci host jmena Vaseho existujiciho sitoveho interface (sitova karta, ppp) Dale je vhodne pouzit nejake techniky, ktera znepristupni onen port vaseho pocitace okolnimu svetu, nebot pokud by se na nej nekdo zvenci pripojil, pak by mohl Vasim prostrednictvim smele komunikovat se serverem. Komunikace mezi jeho PC a vasim PC by byla otevrena, kryptovani by pochopitelne probihalo jen mezi Vasim PC a serverem. Toto omezeni lze jednoduse nastavit na Unixech pomoci IP firewalling. Na podivnych M$ nadstavbach dosu to bude holt problem. Pokud se tyce POP, je to zcela trivialni. Rekneme, ze pop server se jmenuje pop.xxx.com. Na vasem PC je volny port 4000 a mate zakazany pristup na nej zvenci. Pak stisknete "local forwards" a zadate: local port: 4000 host: pop.xxx.com remote port: 110 Pote staci Vas POP klient nakonfigurovat tak, ze jako jmeno POP serveru zadate "localhost" a jako cislo portu uvedete 4000. Analogicky postupujeme u FTP, jen jako "remote port" musite uvest port 21, a vasemu FTP klientu musite nastavit tzv. "passive mode"(tez "passive transfer"). FTP server toto pochopitelne musi podporovat. Passive transfer znamena, ze data i prikazy se posilaji z/na port 21 serveru. Defaultne se pouziva port 21 pro prikazovou interaktivni komunikaci a port 20 pro vlastni data. Pokud z nejakeho duvodu nemuzete mit na serveru A fyzicky account, je mozne postupovat tak, ze spravce nejakeho serveru B, ktery na serveru A account ma, udela forwarding na port xxx sveho stroje B, a Vam pak prideli account na tomto svem serveru B. Vy si pak otevrete kryptovany kanal mezi svym strojem a portem xxx jeho serveru B. V tomto pripade jsou otevreny 2 kanaly - mezi A a B a mezi B a Vasim PC. Spravce stroje B opet musi zajistit eventuelni omezeni pristupu na svuj port xxx. V ssh je drobna chybicka, takze se obcas polozi pri zadavani vice forwardu pro jedno spojeni. Chyba je v menu. Lepe je zeditovat ssh.ini, usetrite si cas a nervy. Viz ssh_ini.txt