Мини-HOWTO: Защита информации в протоколе POP при помощи SSH |
---|
Пред. | | След. |
Способ решения
Решение проблемы основывается на одном из основных свойств ssh: переназначение портов
Существует много различных вариаций на эту тему, зависящих от необходимой вам настройки почты. Все они требуют ssh, который можно найти по адресу
http://www.ssh.fi/ и его зеркалах. RPM-вариант находится по адресу
ftp://ftp.replay.com/pub/crypto/
, а Debian-пакеты находятся по адресу
ftp://non-us.debian.org/debian-non-US/
(и его глубоко уважаемых зеркалах).
Настройка переназначения портов
Чтобы включить переназначение портов, запустите следующую команду:
ssh -C -f popserver -L 11110:popserver:110 sleep 5 |
Давайте подробнее разберем содержимое этой команды:
- ssh
Собственно программа ssh - та самая волшебная программа, которая все и делает.
- -C
Опция, включающая компрессию потока данных. Это необязательный параметр, но достаточно полезный, особенно для пользователей, соединяющихся по телефонным линиям.
- -f
После того, как ssh выполнит авторизацию и настроит переназначение портов, указываем ему режим работы - фоновый, чтобы иметь возможность запускать другие программы. Так как мы используем лишь функцию переназначения портов ssh, то нам абсолютно не нужен выделенный ему терминал.
- popserver
Адрес POP-сервера, к которому мы подключаемся.
- -L 11110:popserver:110
Переназначить локальный порт 11110 на порт 110 на удаленном сервере popserver. Мы используем большое число (11110), чтобы любой пользователь мог использовать переназначение.
- sleep 5
После того, как ssh перейдет в фоновый режим, он запускает команду. Мы используем
sleep, чтобы соединение поддерживалось достаточное для установки почтового соединения время. 5 секунд обычно бывает достаточно.
Вы также можете использовать другие опции ssh, если это необходимо. Обычно бывает нужно еще имя пользователя, так как оно может различаться на разных POP-серверах.
Для этого обязательно на сервере popserver должен быть запущен sshd. Однако, вам не обязательно на нем иметь стандартный вход в оболочку. Времени, за которое выводится сообщение "Вы не можете использовать команду telnet на этот сервер" обычно бывает достаточно для установки почтового соединения.
Проверка результата
После того как вы полностью определитесь с параметрами команды, запускающей переназначение портов, вы можете ее испытать. Например:
$ ssh -C -f msingh@popserver -L 11110:popserver:110 sleep 1000 |
popserver - это наш POP-сервер. На моей локальной машине имя пользователя -
manish, поэтому я должен отдельно указывать имя msingh, то есть то, которое имею на сервере. (Если ваше локальное имя и имя на сервере совпадают, то часть вида msingh@ необязательна).
Затем эта команда выводит:
msingh@popserver's password: |
Я набираю свой пароль для POP (ваши пароли для системы и POP могут различаться, поэтому используйте системный пароль). Теперь у нас все настроено! Испытаем нашу систему:
и мы должны увидеть примерно следующее:
QUALCOMM POP v3.33 ready. |
Ура! Все работает! Данные, передаваемые по сети, шифруются, и единственное место, где присутствует нешифрованный текст - это внутри сервера и моей машины.
Пред. | Начало | След. |
Мини-HOWTO: Защита информации в протоколе POP при помощи SSH | | Использование ваших почтовых программ |