По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Первая часть тут
Как только изменение в топологии сети было обнаружено, оно должно быть каким-то образом распределено по всем устройствам, участвующим в плоскости управления. Каждый элемент в топологии сети может быть описан как:
Канал или граница, включая узлы или достижимые места назначения, прикрепленные к этому каналу.
Устройство или узел, включая узлы, каналы и доступные места назначения, подключенные к этому устройству.
Этот довольно ограниченный набор терминов может быть помещен в таблицу или базу данных, часто называемую таблицей топологии или базой данных топологии. Таким образом, вопрос о распределении изменений в топологии сети на все устройства, участвующие в плоскости управления, можно описать как процесс распределения изменений в определенных строках в этой таблице или базе данных по всей сети.
Способ, которым информация распространяется по сети, конечно, зависит от конструкции протокола, но обычно используются три вида распространения: поэтапное (hop-by-hop) распространение, лавинное (flooded) распространение и централизованное (centralized) хранилище некоторого вида.
Лавинное (flooded) распространение.
При лавинной рассылке каждое устройство, участвующее в плоскости управления, получает и сохраняет копию каждой части информации о топологии сети и доступных местах назначения. Хотя существует несколько способов синхронизации базы данных или таблицы, в плоскостях управления обычно используется только один: репликация на уровне записи. Рисунок 6 иллюстрирует это.
На рисунке 6 каждое устройство будет рассылать известную ему информацию ближайшим соседям, которые затем повторно рассылают информацию своим ближайшим соседу. Например, A знает две специфические вещи о топологии сети: как достичь 2001: db8: 3e8: 100 :: / 64 и как достичь B. A передает эту информацию в B, который, в свою очередь, передает эту информацию в C. Каждое устройство в сети в конечном итоге получает копию всей доступной топологической информации; A, B и C имеют синхронизированные базы данных топологии (или таблицы).
На рисунке 6 связь C с D показана как элемент в базе данных. Не все плоскости управления будут включать эту информацию. Вместо этого C может просто включать подключение к диапазону адресов 2001: db8: 3e8: 102 :: / 64 (или подсети), который содержит адрес D.
Примечание. В более крупных сетях невозможно уместить все описание подключений устройства в один пакет размером с MTU, и для обеспечения актуальности информации о подключении необходимо регулярно задерживать время ожидания и повторно загружать данные.
Интересная проблема возникает в механизмах распространения Flooding рассылки, которые могут вызывать временные петли маршрутизации, называемые microloops. Рисунок 7 демонстрирует эту ситуацию. На рисунке 7, предположим, что канал [E, D] не работает. Рассмотрим следующую цепочку событий, включая примерное время для каждого события:
Старт: A использует E, чтобы добраться до D; C использует D, чтобы добраться до E.
100 мс: E и D обнаруживают сбой связи.
500 мс: E и D рассылают информацию об изменении топологии на C и A.
750 мс: C и A получают обновленную информацию о топологии.
1000 мс: E и D пересчитывают свои лучшие пути; E выбирает A как лучший путь для достижения D, D выбирает C как лучший путь для достижения E.
1,250 мс: лавинная рассылка A и C информации об изменении топологии на B.
1400 мс: A и C пересчитывают свои лучшие пути; A выбирает B для достижения D, C выбирает B для достижения E.
1500 мс: B получает обновленную информацию о топологии.
2,000 мс: B пересчитывает свои лучшие пути; он выбирает C, чтобы достичь D, и A, чтобы достичь E.
Хотя время и порядок могут незначительно отличаться в каждой конкретной сети, порядок обнаружения, объявления и повторных вычислений почти всегда будет следовать аналогичной схеме. В этом примере между этапами 5 и 7 образуется микропетля; в течение 400 мс, A использует E для достижения D, а E использует A для достижения D. Любой трафик, входящий в кольцо в A или D в течение времени между пересчетом E лучшего пути к D и пересчетом A лучшего пути к D будет петлей. Одним из решений этой проблемы является предварительное вычисление альтернативных вариантов без петель или удаленных альтернатив без петель.
Hop by Hop
При поэтапном распределении каждое устройство вычисляет локальный лучший путь и отправляет только лучший путь своим соседям. Рисунок 8 демонстрирует это.
На рисунке 8 каждое устройство объявляет информацию о том, что может достигнуть каждого из своих соседей. D, например, объявляет о достижимости для E, а B объявляет о доступности для C, D и E для A. Интересно рассмотреть, что происходит, когда A объявляет о своей доступности для E через канал на вершине сети. Как только E получит эту информацию, у него будет два пути к B, например: один через D и один через A. Таким же образом у A будет два пути к B: один напрямую к B, а другой через E. Любой из алгоритмов кратчайшего пути, рассмотренные в предыдущих статьях, могут определить, какой из этих путей использовать, но возможно ли формирование микропетель с помощью лавинного механизма распределения?
Рассмотрим:
E выбирает путь через A, чтобы добраться до B.
Канал [A, B] не работает.
A обнаруживает этот сбой и переключается на путь через E.
Затем A объявляет этот новый путь к E.
E получает информацию об измененной топологии и вычисляет новый лучший путь через D.
В промежутке между шагами 3 и 5 А будет указывать на Е как на свой лучший путь к В, в то время как Е будет указывать на А как на свой лучший путь к В—микропетля. Большинство распределительных систем hop-by-hop решают эту проблему с помощью split horizon или poison reverse.
Определены они следующим образом:
Правило split horizon гласит: устройство не должно объявлять о доступности к пункту назначения, который он использует для достижения пункта назначения.
Правило poison reverse гласит: устройство должно объявлять пункты назначения по отношению к соседнему устройству, которое оно использует, чтобы достичь пункта назначения с бесконечной метрикой.
Если разделение горизонта (split horizon) реализованный на рисунке 8, E не будет объявлять о достижимости для B, поскольку он использует путь через A для достижения B. В качестве альтернативы E может отравить путь к B через A, что приведет к тому, что A не будет иметь пути через E к B.
Централизованное Хранилище.
В централизованной системе каждое сетевое устройство сообщает информацию об изменениях топологии и достижимости контроллеру или, скорее, некоторому набору автономных служб и устройств, действующих в качестве контроллера. В то время как централизация часто вызывает идею единого устройства (или виртуального устройства), которому передается вся информация и который передает правильную информацию для пересылки всем устройствам обработки пакетов в сети, это чрезмерное упрощение того, что на самом деле означает централизованная плоскость управления. Рисунок 9 демонстрирует это.
На рисунке 9, когда канл между D и F не работает:
D и F сообщают об изменении топологии контроллеру Y.
Y пересылает эту информацию другому контроллеру X.
Y вычисляет лучший путь к каждому месту назначения без канала [D, F] и отправляет его каждому затронутому устройству в сети.
Каждое устройство устанавливает эту новую информацию о пересылке в свою локальную таблицу.
Конкретный пример шага 3 - Y вычисляет следующий лучший путь к E без канала [D, F] и отправляет его D для установки в его локальной таблице пересылки. Могут ли микропетли образовываться в централизованной плоскости управления?
Базы данных в X и Y должны быть синхронизированы, чтобы оба контроллера вычисляли одинаковые пути без петель в сети
Синхронизация этих баз данных повлечет за собой те же проблемы и (возможно) использование тех же решений, что и решения, обсуждавшиеся до сих пор в этой статье.
Подключенным устройствам потребуется некоторое время, чтобы обнаружить изменение топологии и сообщить об этом контроллеру.
Контроллеру потребуется некоторое время, чтобы вычислить новые пути без петель.
Контроллеру потребуется некоторое время, чтобы уведомить затронутые устройства о новых путях без петель в сети.
Во время временных интервалов, описанных здесь, сеть все еще может образовывать микропетли. Централизованная плоскость управления чаще всего переводится в плоскость управления не запущенными устройствами переадресации трафика. Хотя они могут казаться радикально разными, централизованные плоскости управления на самом деле используют многие из тех же механизмов для распределения топологии и достижимости, а также те же алгоритмы для вычисления безцикловых путей через сеть, что и распределенные плоскости управления.
Плоскости сегментирования и управления.
Одна интересная идея для уменьшения состояния, переносимого на любое отдельное устройство, независимо от того, используется ли распределенная или централизованная плоскость управления, заключается в сегментировании информации в таблице топологии (или базе данных). Сегментация-это разделение информации в одной таблице на основе некоторого свойства самих данных и хранение каждого полученного фрагмента или фрагмента базы данных на отдельном устройстве. Рисунок 10 демонстрирует это.
В сети на рисунке 10 предположим, что оба контроллера, X и Y, имеют информацию о топологии для всех узлов (устройств) и ребер (каналов) в сети. Однако для масштабирования размера сети доступные места назначения были разделены на два контроллера. Существует множество возможных схем сегментирования - все, что может разделить базу данных (или таблицу) на части примерно одинакового размера, будет работать. Часто используется хеш, так как хеши можно быстро изменить на каждом устройстве, где хранится сегмент, чтобы сбалансировать размеры сегментов.
В этом случае предположим, что схема сегментирования немного проще: это диапазон IP-адресов. В частности, на рисунке представлены два диапазона IP-адресов: 2001: db8: 3e8: 100 :: / 60, который содержит от 100 :: / 64 до 10f :: / 64; и 2001: db8: 3e8: 110 :: / 60, который содержит от 110 :: / 64 до 11f :: / 64. Каждый из этих диапазонов адресов разделен на один контроллер; X будет содержать информацию о 2001: db8: 3e8: 100 :: / 60, а Y будет содержать информацию о 2001: db8: 3e8: 110 :: / 64. Не имеет значения, где эти доступные пункты назначения подключены к сети. Например, информация о том, что 2001: db8: 3e8: 102 :: / 64 подключен к F, будет храниться в контроллере X, а информация о том, что 2001: db8: 3e8: 110 :: / 64 подключен к A, будет храниться на контроллере Y. Чтобы получить информацию о доступности для 2001: db8: 3e8: 102 :: / 64, Y потребуется получить информацию о том, где этот пункт назначения соединен с X. Это будет менее эффективно с точки зрения вычисления кратчайших путей, но он будет более эффективным с точки зрения хранения информации, необходимой для вычисления кратчайших путей. Фактически, возможно, если информация хранится правильно (а не тривиальным способом, используемым в этом примере), чтобы несколько устройств вычислили разные части кратчайшего пути, а затем обменивались только результирующим деревом друг с другом. Это распределяет не только хранилище, но и обработку.
Существует несколько способов, с помощью которых информация о плоскости управления может быть разделена, сохранена и, когда вычисления выполняются через нее, чтобы найти набор путей без петель через сеть.
Согласованность, доступность и возможность разделения.
Во всех трех системах распределения, обсуждаемых в этой статье, - лавинной, поэтапной и централизованных хранилищ - возникает проблема микропетель. Протоколы, реализующие эти методы, имеют различные системы, такие как разделение горизонта и альтернативы без петель, чтобы обходить эти микропетли, или они позволяют микропетлям появляться, предполагая, что последствия будут небольшими для сети. Существует ли объединяющая теория или модель, которая позволит инженерам понять проблемы, связанные с распределением данных по сети, и различные сопутствующие компромиссы?
Есть: теорема CAP.
В 2000 году Эрик Брюер, занимаясь как теоретическими, так и практическими исследованиями, постулировал, что распределенная база данных обладает тремя качествами: Согласованностью, Доступностью и устойчивость к разделению (Consistency, Accessibility Partition tolerance-CAP). Между этими тремя качествами всегда есть компромисс, так что вы можете выбрать два из трех в любой структуре системы. Эта гипотеза, позже доказанная математически, теперь известна как теорема CAP. Эти три термина определяются как:
Согласованность: Каждый считыватель видит согласованное представление содержимого базы данных. Если какое-то устройство С записывает данные в базу данных за несколько мгновений до того, как два других устройства, А и В, прочитают данные из базы данных, оба считывателя получат одну и ту же информацию. Другими словами, нет никакой задержки между записью базы данных и тем, что оба считывателя, А и В, могут прочитать только что записанную информацию.
Доступность: каждый считыватель имеет доступ к базе данных при необходимости (почти в реальном времени). Ответ на чтение может быть отложен, но каждое чтение будет получать ответ. Другими словами, каждый считыватель всегда имеет доступ к базе данных. Не существует времени, в течение которого считыватель получил бы ответ «сейчас вы не можете запросить эту базу данных».
Устойчивость к разделению: возможность копирования или разделения базы данных на несколько устройств.
Проще изучить теорему CAP в небольшой сети. Для этого используется рисунок 11.
Предположим, что A содержит единственную копию базы данных, к которой должны иметь доступ как C, так и D. Предположим, что C записывает некоторую информацию в базу данных, а затем сразу же после, C и D считывают одну и ту же информацию. Единственная обработка, которая должна быть, чтобы убедиться, что C и D получают одну и ту же информацию, - это A. Теперь реплицируйте базу данных, чтобы была копия на E и еще одна копия на F. Теперь предположим, что K записывает в реплику на E, а L читает из реплики на F. Что же будет?
F может вернуть текущее значение, даже если это не то же самое значение, что только что записал К. Это означает, что база данных возвращает непоследовательный ответ, поэтому согласованность была принесена в жертву разделению базы данных.
Если две базы данных синхронизированы, ответ, конечно, в конечном итоге одинаковым, но потребуется некоторое время, чтобы упаковать изменение (упорядочить данные), передать его в F и интегрировать изменение в локальную копию F. F может заблокировать базу данных или определенную часть базы данных, пока выполняется синхронизация. В этом случае, когда L читает данные, он может получить ответ, что запись заблокирована. В этом случае доступность теряется, но сохраняется согласованность и разбиение базы данных.
Если две базы данных объединены, то согласованность и доступность могут быть сохранены за счет разделения.
Невозможно решить эту проблему, чтобы все три качества были сохранены, из-за времени, необходимого для синхронизации информации между двумя копиями базы данных. Та же проблема актуальна и для сегментированной базы данных.
Как это применимо к плоскости управления? В распределенной плоскости управления база данных, из которой плоскость управления черпает информацию для расчета путей без петель, разделена по всей сети. Кроме того, база данных доступна для чтения локально в любое время для расчета путей без петель. Учитывая разделение и доступность, необходимые для распределенной базы данных, используемой в плоскости управления, следует ожидать, что непротиворечивость пострадает - и это действительно так, что приводит к микропетлям во время конвергенции. Централизованная плоскость управления не «решает» эту проблему. Централизованная плоскость управления, работающая на одном устройстве, всегда будет согласованной, но не всегда будет доступной, а отсутствие разделения будет представлять проблему для устойчивости сети.
Камеры наблюдения сегодня можно встретить почти на каждом углу. Если с одной стороны это создает чувство вторжения в личное пространство, с другой стороны как-то спокойнее, что ничто не ускользнёт от зорького электронного глаза.
Но установка камер наблюдения удовольствие не из дешёвых. Правда, в сети можно найти очень много доступных продуктов, которые даже не трубуют особых навыков установки и устройств хранения. Некоторые модели "из коробки" идут с функцией просмотра через Интернет.
Но что делать, если вам нужно установить наблюдение, но особо тратиться не хотите. В таком случае подойдёт любая веб-камера, которую вы используете для общения по мессенджерам. Даже встроенная в ноутбук.
В просторах Интернета очень много программ, которые позволяют организовать видеонаблюдение, задействуя встроенную или подключённую веб-камеру.
Одна из таких программ iVideon. Программа поставляется в двух версиях: для бизнеса и для домашнего пользования. Можно выбрать разные тарифы, которые дают дополнительные возможности. Со всеми планами можно познакомиться на сайте разработчика. Также есть клиенты по все мобильные и компьютерные операционные системы. Установив клиентскую часть на мобильный телефон можно везде где есть доступ в Интернет просматривать камеры в онлайн режиме. Также программа посылает push-уведомления при обнаружении подозрительных действий.
Для начала нужно скачать серверную часть программы с сайта разработчика iVideon. Далее выполняем стандартную процедуру установки. При установке рекомендуется отметить Install as a service. Это позволяет программе запускаться вместе с ОС и сразу же начинать снимать, даже если вы не вошли в систему.
После установки программа запускается и в первом окне нажимает Next и переходим к настройке конфигурации.
Как видно есть три способа настройки. Если у вас никогда не было аккаунта на этом сервисе выбираем New configuration. А если вам нужно восстановить или скопировать старую конфигурацию, то соответственно Restore или Copy configuration. В последних двух случаях вам нужен будет уже зарегистрированный аккаунт. А тут мы выберем первый способ.
Далее нам нужно ввести E-mail, которым зарегистрировались на сайте сервиса, если такового нет, то аккаунт будет создан автоматически, а затем выбираем из списка местоположение камеры. Если аккаунта нет, то предлагается ввести пароль и принять условия обслуживания.
Далее выбираем нужную камеру:
Включаем архивацию:
Выбираем Запустить iVideon при старте системы и нажимаем Finish:
Далее откроется основное окно программы, где можно увидеть статус сервиса (выделено красным):
Чтобы добавить другие камеры кликаем на кнопочке Add device и из выпадающего списка выбираем нужную камеру. Сюда можно добавлять как IP камеры и DVR/NVR, так и веб-камеру. Чтобы добавить последнюю нужно просто подключить камеру к компьютеру и она отобразиться в списке:
Далее кликаем два раза на иконке веб-камеры и переходим к окну предварительного просмотра, где кликнув на кнопке Settings открываем настройки камеры.
Здесь можно активировать передачу и запись звука, для чего достаточно указать источник. На вкладке Recording можно определить периодичность записи.
По умолчанию запись идет при обнаружении движения или звука. Это экономит место на диске. Также можно вести непрерывную запись, запись по расписанию или вообще отключить её.
На вкладке Motion detector можно задать область обнаружения движения (выделено красным). Если действие происходит за пределами данной области запись не включается.
А вкладка Sound detector позволяет настроить порог звука для включения запись. Эта функция будет активно, если на вкладке General указан источник звука.
И последняя вкладка Schedule позволяет настраивать расписание записи.
Для внесения изменений кликаем на Edit и переходим на страницу редактирования расписания:
Чтобы вести запись непрерывно выбираем красный квадратик и мышкой выбираем область, когда нужно вести запись. А белый квадратик отключает запись в выбранное время. Данные настройки работают если во вкладке Recordings выбрано значение Schedule.
А теперь про настройки самой программы. В строке меню выбираем General --> Settings
Тут можно привязать программу к аккаунту на сайте сервиса если не сделали это в начале. Задаются параметры архивации и языка. Можно сменить место хранения архивов нажатием на кнопку с тремя точками и выбрав нужную папку. Также можно добавить дополнительное хранилище.
Если у вас настроен прокси-сервер, то нужно указать их на вкладке Advanced. Где также можно настроить качество записи.
А вкладка Analytics позволяет вести журналирование движения и определять область обнаружения.
Чтобы просмотреть камеры в онлайн режиме просто через браузер заходим на свой аккаунт на сайте программы и выбираем нужную камеру.
На этом всё. Надеюст материал окажется полезным. Удачи!
Удаленный доступ к системам давно стал необходимостью, и сейчас с трудом можно представить, что было бы, если бы мы не могли управлять компьютерами удаленно. Существует множество способов установить соединение с удаленным компьютером в зависимости от используемой операционной системы, но чаще всего используют два протокола:
Secure Shell (SHH) для компьютеров на базе Linux
Протокол удаленного рабочего стола (RDP - Remote Desktop Protocol) для компьютеров под управлением Windows
Эти два протокола используют клиентское и серверное приложения для установления удаленного соединения. Эти инструменты позволяют вам получать удаленный доступ и управлять другими компьютерами, передавать файлы и делать практически все, что вы могли бы сделать, физически сидя перед компьютером.
Предварительные требования
Прежде чем вы сможете установить безопасный протокол удаленного рабочего стола с удаленным компьютером, необходимо выполнить несколько основных требований:
Удаленный компьютер должен быть постоянно включен и быть подключенным к сети
Клиентские и серверные приложения должны быть установлены и активированы
Вам нужно знать IP-адрес или имя удаленного компьютера, к которому вы хотите подключиться
У вас должны быть необходимые полномочия для доступа к удаленному компьютеру
Настройки межсетевого экрана должны разрешать удаленное подключение
Что такое SHH?
Secure Shell, иногда называемый Secure Socket Shell, - это протокол, который позволяет безопасно подключаться к удаленному компьютеру или серверу при помощи текстового интерфейса.
Когда безопасное соединение SSH будет установлено, то запустится сеанс оболочки, и вы сможете управлять сервером, вводя команды на клиентской стороне на вашем локальном компьютере.
Чаще всего этот протокол используют системные и сетевые администраторы, а также все, кому необходимо удаленно управлять компьютером и при этом иметь высокий уровень защиты.
Как работает SSH?
Для того, чтобы установить SSH-соединение, необходимо иметь два компонента: клиентскую часть и соответствующий компонент на стороне сервера. Клиентская часть, или клиент, SSH – это приложение, которое устанавливается на компьютер, который вы будете использовать для подключения к другому компьютеру или серверу. Клиент, чтобы инициировать соединение, использует предоставленную информацию об удаленном хосте и устанавливает зашифрованное соединение, если учетные данные были проверены.
На стороне сервера есть компонент, называемый демоном SSH (SSH daemon - sshd). Он постоянно прослушивает определенный порт TCP/IP для возможных клиентских запросов на подключение. Как только клиент инициирует соединение, демон SSH ответит сообщением о программном обеспечении и версиях протокола, которые он поддерживает, и они обменяются своими идентификационными данными.
Версия протокола SSH по умолчанию для связи сервера SSH и клиента SSH – 2.
Как установить SSH-соединение
Так как для установки SSH-соединения требуются как клиентский, так и серверный компоненты, необходимо убедиться, то они установлены на локальном и удаленном компьютерах соответственно. OpenSSH – это инструмент SSH с открытым исходным кодом, который широко используется для дистрибутивов Linux. Установка OpenSSH относительно проста. Для этого требуется доступ к терминалу на сервере и к компьютеру, который вы используете для подключения. Отметим, что в Ubuntu SSH-сервер по умолчанию не установлен.
Как установить клиентскую часть OpenSSH
Прежде чем устанавливать клиента SSH, убедитесь в том, что он еще не установлен. Во многих дистрибутивах Linux он уже есть. Для компьютеров с Windows вы можете установить PuTTY или любой другой клиент по вашему выбору, чтобы получить доступ к серверу.
Для того, чтобы проверить есть ли клиент в вашей системе на базе Linux, вам необходимо сделать следующее:
Загрузить терминал SSH. Вы можете выполнить поиск по слову «терминал» или нажать CTRL+ALT+T на клавиатуре.
Введите ssh и нажмите Enter.
Если клиент установлен, то вы получите вот такой ответ:
username@host:~$ ssh
usage: ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file]
[-J [user@]host[:port]] [-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port] [-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]
username@host:~$
Это означает, что вы готовы удаленно подключитьсяк физическому компьютеру или виртуальной машине. В противном случае вам придется установить клиентскую часть OpenSSH:
Выполните следующую команду, чтобы установить клиент OpenSSH на свой компьютер: sudo apt-get install openssh-client
Введите пароль привилегированного пользователя по запросу
Нажмите Enter, чтобы завершить установку.
Теперь вы можете подключиться по SSH к любому компьютеру с установленным серверным приложением при условии, что у вас есть необходимые привилегии для получения доступа, а также имя хоста или IP-адрес.
Как установить серверную часть OpenSSH
Для того, чтобы принимать SSH-подключения, на компьютере должна быть установлена серверная часть программного инструментария SSH.
Если вы хотите сначала проверить, есть ли сервер OpenSSH в системе Ubuntu удаленного компьютера, который будет принимать SSH-подключения, вы можете попробовать подключиться к локальному хосту:
Откройте терминал на сервере. Вы можете выполнить поиск по слову «терминал» или нажать CTRL+ALT+T на клавиатуре.
Введите ssh localhost и нажмите Enter.
Для систем, в которых не установлен SSH-сервер, ответ будет выглядеть вот так:
username@host:~$ ssh localhost
ssh: connect to host localhost port 22: Connection refused username@host:~$
Если это так, что вам необходимо устрановить сервер OpenSSH. Не закрывайте терминал и:
Выполните следующую команду, чтобы установить сервер SSH:sudo apt-get install openssh-server ii
Введите пароль привилегированного пользователя по запросу.
Нажмите Enter или введите Y, чтобы продолжить установку после запроса на свободное место на диске.
Необходимые вспомогательные файлы будут установлены, а затем вы сможете проверить, работает ли SSH-сервера на компьютере, введя следующую команду:
sudo service ssh status
Ответ в терминале должен выглядеть примерно так, если служба SSH работает правильно:
username@host:-$ sudo service ssh status
• ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enab
Active: active (running) since Fr 2018-03-12 10:53:44 CET; 1min 22s ago Process: 1174 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCES
Main PID: 3165 (sshd)
Еще один способ проверить, правильно ли установлен сервер OpenSSH и будет ли он принимать подключения, — это попробовать снова запустить команду ssh localhost в командной строке терминала. Ответ при первом запуске команды будет примерно следующий:
username@host:~$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established. ECDSA key fingerprint is SHA256:9jqmhko9Yo1EQAS1QeNy9xKceHFG5F8W6kp7EX9U3Rs. Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
username@host:~$
Введите yes или y, чтобы продолжить.
Поздравляем! Вы настроили свой сервер для приема запросов на SSH- подключение от другого компьютера при помощи клиента SSH.
Теперь вы можете редактировать файл конфигурации демона SSH. Например, вы можете изменить порт по умолчанию для SSH-соединений. Для этого в командной строке терминала выполните эту команду:
sudo nano /etc/ssh/sshd_config
Файл конфигурации откроется в редакторе, который вы выберете. В данном случае мы использовали Nano. Если вам тоже нужно установить Nano, выполните эту команду:
sudo apt-get install nano
Обратите внимание, что службу SSH необходимо перезапускать каждый раз, когда вы вносите какие-либо изменения в файл sshd_config. Это можно сделать, выполнив эту команду:
sudo service ssh restart
Как подключиться через SSH
Теперь, когда у вас есть клиент и сервер OpenSSH, установленные на обоих компьютерах, вы можете установить безопасное удаленное соединение со своими серверами. Для этого:
Откройте SSH-терминал на своем компьютере и выполните следующую команду: ssh your_username@host_ip_address. Если имя пользователя на вашем локальном компьютере совпадает с именем на сервере, к которому вы пытаетесь подключиться, вы можете просто ввести: ssh host_ip_address и нажать Enter.
Введите свой пароль и нажмите Enter. Обратите внимание, что вы не получите никакой обратной связи на экране во время набора текста. Если вы вставляете свой пароль, убедитесь, что он хранится в безопасном месте, а не в текстовом файле.
Когда вы подключаетесь к серверу в первый раз, он спросит вас, хотите ли вы продолжить подключение. Просто введите yes и нажмите Enter. Это сообщение появляется только один раз (в первый раз), так как удаленный сервер еще не идентифицирован на вашем локальном компьютере.
Теперь отпечаток ключа ECDSA добавлен, и вы подключены к удаленному серверу.
Если компьютер, к которому вы пытаетесь удаленно подключиться, находится в той же сети, что и локальный компьюетр, то лучше использовать частный IP-адрес вместо общедоступного IP-адреса. В противном случае вам придется использовать только общедоступный IP-адрес. Кроме того, убедитесь, что вы знаете правильный TCP-порт, который OpenSSH прослушивает для запросов на подключение, и что параметры переадресации портов верны. Порт по умолчанию — 22, если никто не менял конфигурацию в файле sshd_config. Вы также можете просто добавить номер порта после IP-адреса хоста.
Вот пример запроса на подключение с использованием клиента OpenSSH с указанием номера порта:
username@machine:~$ ssh phoenixnap@185.52.53.222 –p7654 phoenixnap@185.52.53.222’s password:
The authenticity of host '185.52.53.222 (185.52.53.222)' can't be established. ECDSA key fingerprint is SHA256:9lyrpzo5Yo1EQAS2QeHy9xKceHFH8F8W6kp7EX2O3Ps. Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ' 185.52.53.222' (ECDSA) to the list of known hosts.
username@host:~$
Теперь вы можете управлять удаленным компьютером при помощи своего терминала. Если у вас возникли проблемы с подключением к удаленному серверу, убедитесь, что:
IP-адрес удаленного компьютера указан верно
Порт, который прослушивает демон SSH, не заблокирован межсетевым экраном и правильно переадресовывается
Ваше имя пользователя и пароль указаны верно
Программное обеспечение SSH установлено верно
Дальнейшие действия по SSH
Теперь, когда вы можете установить соединение со своим сервером с помощью SSH, мы настоятельно рекомендуем выполнить еще несколько шагов для повышения безопасности SSH. Если вы оставите настройку со значениями по умолчанию, она с большей вероятностью будет взломана, и ваш сервер может легко быть атакован.
Вот некоторые из предложений по усилению безопасности SSH путем редактирования файла конфигурации sshd:
Измените TCP-порт по умолчанию, который прослушивает демон SSH. Измените его с 22 на вариант побольше, например, 24596. Не используйте номер порта, который легко угадать, например, 222, 2222 или 22222.
Используйте пары ключей SSH для аутентификации при входе в SSH без пароля. Они и безопаснее, и позволяют входить в систему без необходимости использовать пароль. Это быстрее и удобнее.
Отключите вход в систему на основе пароля на вашем сервере. Если ваш пароль будет взломан, это исключит возможность его использования для входа на ваши серверы. Прежде чем отключить возможность входа с использованием паролей, важно убедиться, что аутентификация с использованием пар ключей работает корректно.
Отключите root-доступ к вашему серверу и используйте обычную учетную запись с помощью команды su – команды для переключения на root-пользователя.
Вы также можете использовать TCP Wrappers для ограничения доступа к определенным IP-адресам или именам хостов. Настройте, какой хост может подключаться с помощью TCP Wrappers, отредактировав файлы /etc/hosts.allow и etc/hosts.deny.
Обратите внимание, что разрешенные хосты определяются через запрещенные хосты. Например, чтобы разрешить SSH-доступ к одному хосту, вам сначала нужно запретить все хосты, добавив следующие две строки в файл etc/hosts.deny:
sshd : ALL
ALL : ALL
Затем в файле etc/hosts.allow вам необходимо добавить строку с разрешенными хостами для службы SSH. Это может быть один IP-адрес, диапазон IP-адресов или имя хоста: sshd: 10.10.0.5, LOCAL.
Убедитесь, что ваша информация для входа в систему всегда защищена, и применяйте меры безопасность на нескольких уровнях. Используйте различные методы, чтобы ограничить доступ SSH к вашим серверам, или используйте сервисы, которые будут блокировать любого, кто попытается использовать грубую силу, чтобы получить доступ к вашим серверам. Один из примеров такой службы - Fail2ban.
VNC через SSH
Для пользователей, привыкших работать в графической среде рабочего стола с системой управления удаленным компьютером (VNC - Virtual Network Computing), есть возможность полностью зашифровать соединения с помощью туннелирования SSH. Чтобы туннелировать соединения VNC через SSH, вам нужно будет запустить эту команду в терминале на вашем компьютере с Linux или UNIX:
$ ssh -L 5901:localhost:5901 -N -f -l username hostname_or_IP
Вот разбор команды выше:
ssh: запускает клиентскую программу SSH на вашем локальном компьютере и обеспечивает безопасное подключение к серверу SSH на удаленном компьютере.
-L 5901:localhost:5901: указывает, что локальный порт для клиента на локальном компьютере должен быть переадресован на указанный хост и порт удаленного компьютера. В этом случае локальный порт 5901 на локальном клиенте перенаправляется на тот же порт удаленного сервера.
-N: указывает переслать порты, но не выполнять удаленную команду.
-f: отправляет SSH в фоновый режим после ввода пароля, непосредственно перед выполнением команды. Затем вы можете свободно использовать терминал для ввода команд на локальном компьютере.
-l username: введенное здесь имя пользователя будет использоваться для входа на указанный вами удаленный сервер.
hostname_or_IP: это удаленная система с сервером VNC. Примером IP-адреса может быть 172.16.0.5, а примером имени хоста может быть myserver.somedomain.com.
Вы также можете подключиться к удаленному серверу через SSH- туннель с компьютера с Windows, используя PuTTY. В окне конфигурации PuTTY выполните следующее:
Перейдите в Connections (Соединения) -> SSH -> Tunnels (Туннели)
В поле Source port (Порт источника) введите 5901
В поле Destination (Адресат) введите localhost:5901
Запустите сеанс SSH как обычно
Подключитесь к серверу с помощью клиента VNC по вашему выбору
Что такое RDP?
Протокол удаленного рабочего стола (RDP - Remote Desktop Protocol) — это протокол, разработанный Microsoft. Он используется для удаленного контроля и управления компьютерами с операционной системой Windows.
В отличие от Secure Shell, соединения, установленные с помощью RDP-клиента, предоставляют пользователю графический интерфейс, через который он может получить доступ к удаленному компьютеру и управлять им так же, как и своим локальным компьютером.
Использование служб удаленного рабочего стола, ранее известных как службы терминалов, позволяет системным администраторам и системным инженерам легко управлять удаленными компьютерами, подключенными к локальной сети или Интернету.
Но у всего есть своя цена. Если вы не используете виртуальную защищенную сеть (VPN - virtual private network), подключение через RDP будет гораздо менее безопасно, чем SSH, потому что вы напрямую подключаетесь к Интернету. Существует множество автоматизированных сценариев, которые постоянно ищут слабые места в вашем соединении, особенно это касается открытых портов, которые используют подключения к удаленному рабочему столу Windows. В этом случае настоятельно рекомендуется иметь сложные и надежные пароли и регулярно их менять. Это не делает соединения RDP более безопасными, но все же делает их менее уязвимыми.
Как работает протокол удаленного рабочего стола?
Подключение к удаленному рабочему столу Windows основано на довольно простой модели клиент-сервер с использованием протокола удаленного рабочего стола (RDP). После его включения серверная служба удаленного рабочего стола Windows начинает прослушивать запросы на подключение через порт 3389. Всякий раз, когда вы пытаетесь подключиться к серверу Windows, вам нужно будет указать действительное имя пользователя для учетной записи, которую вы используете для удаленного доступа. Получив доступ к серверу, вы сможете управлять приложениями, передавать файлы между двумя компьютерами и практически выполнять любые задачи, которые вы можете выполнять локально с соответствующей учетной записью.
Независимо от того, какая у вас версия операционной системы Windows, вы сможете установить безопасное удаленное подключение к другому компьютеру, поскольку клиент удаленного рабочего стола доступен по умолчанию. Тем не менее, удаленный доступ к компьютеру возможен только в том случае, если он работает под управлением Pro, Enterprise или Server версии операционной системы Windows. Таким образом, можно сделать вывод, что RDP-соединения возможны только между компьютерами с установленной на них ОС Windows.
Как установить RDP-соединение
Для установления подключения к удаленному рабочему столу с другим компьютером по сети необходимо включить службу сервера удаленного рабочего стола Windows. Клиент удаленного рабочего стола интегрирован в системы Windows, готов к работе по умолчанию и не требует специальной настройки, прежде чем вы сможете подключиться к другому компьютеру под управлением Windows. Однако прием подключений к удаленному рабочему столу с других компьютеров по умолчанию отключен во всех версиях ОС Windows.
Если вы хотите удаленно подключиться к серверу через Интернет, а не через локальную сеть, вам необходимо принять во внимание несколько вещей, прежде чем включать эту службу:
Переадресация порта. Если вы не используете VPN, то вам необходимо убедиться, что порты правильно переадресованы на IP-адрес удаленного хоста. Проверьте настройки маршрутизатора, чтобы узнать, направляется ли трафик TCP-порта по умолчанию для протокола удаленного рабочего стола (порт 3389) на IP-адрес сервера, с которым вы хотите установить подключение к удаленному рабочему столу. Обратите внимание, что в этом случае ваш сервер Windows напрямую подключен к Интернету и уязвим.
Использование VPN. Это гораздо более безопасный вариант подключения к удаленному рабочему столу. При создании виртуальной защищенной сети на клиентском компьютере вы сможете получить доступ ко всем службам, которые доступны только при использовании локального подключения.
Настройки межсетевого экрана. Убедитесь, что межсетевой экран, который вы используете для удаленного компьютера, не блокирует подключение к удаленному рабочему столу. Вам нужно открыть локальный порт для RDP, будь то номер порта по умолчанию или настраиваемый.
Подключение удаленного доступа в версиях Windows 7, 8, 10 и Windows Server
Процедура настройки удаленного рабочего стола и разрешения безопасных удаленных подключений к серверу или ПК с другого компьютера одинакова для всех версий операционных систем Windows. Я перечислю основные шаги для подключения удаленного доступа к нужному компьютеру. Прежде чем начать, убедитесь, что вы учли приведенные выше замечания, которые касаются переадресации портов, настроек VPN и межсетевого экрана.
Шаг 1. Разрешите удаленные подключения
Перейдите в раздел информации о компьютере на том компьютере, на котором вы хотите разрешить удаленные подключения:
Щелкните правой кнопкой мыши Computer (Мой компьютер) или This PC (Этот компьютер) в зависимости от версии ОС Windows.
Щелкните Properties (Свойства).
Нажмите Remote settings (Настройки удаленного доступа) в левой части окна.
Щелкните Allow remote connections to this computer (Разрешить удаленные подключения к этому компьютеру). Это должно автоматически добавить исключение межсетевого экрана удаленного рабочего стола. Кроме того, вы можете снять флажок “Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)” («Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)») для дополнительной безопасности сеансов RDP.
Нажмите Apply (Применить), если вы хотите остаться на вкладке, или ОК, чтобы закрыть ее.
Шаг 2. Добавьте пользователей в список удаленных пользователей.
Вам необходимо выполнить этот шаг, только если вы хотите разрешить другим пользователям, кроме администраторов, доступ к компьютеру. Если вы являетесь администратором, ваша учетная запись автоматически включается в список разрешенных пользователей, но вы ее не увидите. Чтобы добавить больше пользователей:
На экране Remote Settings (Настройки удаленного доступа), показанном выше, щелкните Select Users (Выбрать пользователей)
Нажмите Add (Добавить) в поле Remote Desktop Users (Пользователи удаленного рабочего стола).
Появится окно Select users (Выбрать пользователей). Вы можете выбрать местоположение, которое хотите найти, нажав Locations (Местоположения).
В поле Enter the Object Names to Select (Введите имена объектов для выбора) введите имя пользователя и нажмите Check Names (Проверить имена).
Когда вы найдете совпадение, выберите учетную запись пользователя и нажмите OK.
Закройте окно System Properties (Свойства системы), еще раз нажав кнопку ОК.
Существует не так много параметров, которые нужно изменить для настройки удаленного рабочего стола. Если другие настройки не мешают вашему подключению к удаленному рабочему столу, то теперь вы можете удаленно подключаться и управлять этим компьютером.
Как использовать клиентскую часть удаленного подключения к рабочему столу
Использовать клиентскую часть удаленного рабочего стола просто, и вам не нужно специально настраивать удаленный рабочий стол на локальном компьютере. Следующие шаги будут работать для всех версий Windows, начиная с Windows 7.
Шаг 1: Запустите модуль подключения к рабочему столу
На локальном компьютере с ОС Windows найдите приложение Remote Deskrop Connection (Подключение к удаленному рабочему столу). Его можно найти несколькими способами:
Для Windows 7 нажмите Start (Пуск) -> All Programs (Все программы), перейдите в папку Accessories (Стандартные) и нажмите Remote Desktop Connection (Подключение к удаленному рабочему столу). Для Windows 10 нажмите Start (Пуск) и найдите папку Windows Accessories (Стандартные для Windows), где вы также можете найти приложение Remote Desktop Connection (Подключение к удаленному рабочему столу).
Нажмите Start (Пуск) и введите Remote Desktop Connection (Подключение к удаленному рабочему столу) в строке поиска. Вы получите результаты поиска, как только начнете печатать. Нажмите на приложение, когда оно появится в списке.
Нажмите клавиши Windows + R на клавиатуре, чтобы открыть окно Run (Выполнить). Введите mstsc в поле Open (Открыть) и нажмите Enter, чтобы запустить клиент удаленного рабочего стола.
Шаг 2. Введите IP-адрес или имя удаленного хоста.
После запуска приложения Remote Desktop Connection (Подключение к удаленному рабочему столу) откроется окно, в котором вы можете ввести имя или IP-адрес удаленного компьютера, к которому вы хотите получить доступ.
В поле Computer (Компьютер) введите соответствующее имя или IP-адрес и нажмите Connect (Подключиться).
Примечание. Если порт прослушивания по умолчанию для подключения к удаленному рабочему столу (порт 3389) был изменен на удаленном узле на другое значение, вам нужно указать его после IP-адреса.Пример: 174.163.152.141:6200
В зависимости от ситуации вам нужно будет ввести частный или общедоступный IP-адрес удаленного хоста. Вот возможные сценарии:
Если клиентский компьютер и удаленный хост подключены к одной и той же локальной сети, вы будете использовать частный IP-адрес хоста для подключения к удаленному рабочему столу.
Если вы используете виртуальную защищенную сеть (VPN) на клиентском компьютере для доступа к удаленному хосту, вы будете использовать частный IP-адрес хоста для подключения к удаленному рабочему столу.
Если клиентский компьютер подключается к удаленному хосту из другой сети через Интернет без VPN, вы будете использовать общедоступный IP-адрес.
Как найти IP-адрес и имя хоста
Существует много способов найти имя, общедоступный или частный IP-адрес компьютера, на котором вы хотите настроить службу удаленного рабочего стола. Вот самые быстрые и простые способы:
Чтобы определить частный IP-адрес компьютера:
Найдите CMD в меню «Пуск» (start) или нажмите Windows + R на клавиатуре, наберите на клавиатуре CMD и нажмите Enter, чтобы запустить командную строку.
Введите ipconfig в командной строке и нажмите Enter.
Вы увидите частный IP-адрес вашего компьютера в строке IPv4 Address.
Чтобы определить общедоступный IP-адрес компьютера:
В веб-браузере перейдите на сайт google.com или воспользуйтесь его панелью поиска.
Введите what is my IP (какой у меня IP) или просто my IP (мой IP) и нажмите Enter.
В верхней части страницы Google покажет вам общедоступный IP-адрес, который использует ваш компьютер. Если это не работает для вашего региона, вы можете посетить первую веб-страницу в результатах поиска, и она покажет вам IP-адрес. Или можно узнать адрес на нашей страничке.
Чтобы найти имя компьютера:
Щелкните правой кнопкой мыши Computer (Мой компьютер) или This PC (Этот компьютер), в зависимости от используемой версии ОС Windows.
Нажмите Свойства
Вы найдете свое полное имя компьютера в разделе Computer name, domain, and workgroup settings (Имя компьютера, домен и настройки рабочей группы).
Шаг 3. Ввод учетных данных RDP и завершение подключения
После того, как вы нажмете Connect (Подключиться), появится полоса загрузки. Когда компьютер завершит инициацию и настройку удаленного сеанса, вы получите всплывающее окно, которое будет выглядеть примерно вот так:
Введите пароль для выбранного имени пользователя. При необходимости вы можете использовать другую учетную запись и указать другое имя пользователя и пароль.
Нажмите OK, когда будете готовы, и вы получите предупреждение о сертификате безопасности.
Нажмите Yes (Да), чтобы продолжить.
Примечание. На компьютере с ОС Windows одновременно может быть зарегистрирован только один пользователь. Если кто-то другой использует компьютер, к которому вы пытаетесь получить удаленный доступ, этот пользователь должен отключиться. В таких случаях появится предупреждающее сообщение о входе в систему.
Вы не увидите рабочий стол удаленного компьютера. В зависимости от настроек разрешений учетной записи пользователя вы можете выполнять любую операцию, которую вы могли бы выполнить непосредственно перед компьютером.
Дальнейшие шаги по протоколу удаленного рабочего стола
При настройке удаленного сервера или компьютера для приема подключений к удаленному рабочему столу важно принять меры безопасности в отношении защиты RDP. Ваш сервер особенно уязвим, если вы обращаетесь к нему через Интернет.
Вот несколько рекомендаций, о которых следует помнить, если вы используете протокол удаленного рабочего стола для удаленного подключения к своим компьютерам:
Используйте встроенный VPN-сервер на вашем компьютере с Windows для дополнительной защиты вашего трафика. Это обеспечит более безопасный доступ к вашему серверу и службам Windows.
Установите шифрование клиентского соединения. По умолчанию для этого параметра установлено значение Not configured (Не настроено). Вы можете включить его и установить высокий уровень шифрования для всех взаимодействий между клиентами и серверами хоста сеансов удаленных рабочих столов. Мы не рекомендуем использовать настройку уровня шифрования Client Compatible (Совместимый с клиентом). Если оставить настройку уровня шифрования по умолчанию High (Высокий), принудительно будет использоваться надежное 128-битное шифрование для данных, отправляемых с клиента на сервер и наоборот. Вы можете изменить эту конфигурацию с помощью редактора локальной групповой политики.
Используйте двухфакторную аутентификацию с помощью сторонних инструментов.
Применяйте правила межсетевого экрана, чтобы ограничить доступ открытых портов RDP к Интернету, особенно если вы используете TCP-порт RDP 3389, установленный по умолчанию. В Windows есть встроенный межсетевой экран, к которому вы можете получить доступ из панели управления и дополнительно настроить его для ограничения трафика на определенные порты и IP-адреса
Эти рекомендации по дополнительной защите RDP помогут вам сократить доступ к удаленному рабочему столу. Вы избежите большинства несанкционированных попыток входа в систему, не тратя слишком много времени на изменение конфигурации своих компьютеров.
Заключение
Шаги и процессы, перечисленные в этом руководстве, будут работать для большинства пользователей и большинства версий операционных систем Linux и Windows. Теперь вы сможете подключиться к удаленному серверу с Linux или Windows.
Конечно, существует много других способов установить соединение между двумя удаленными компьютерами, но здесь описаны наиболее распространеные.