SSH обеспечивает возможность удаленного выполнения команд (вместо telnet, rsh и всего, что над ним построено - rsync, rdist и т.д.) и копирования файлов (вместо rcp, ftp) с аутентификацией клиента и сервера и шифрованием (и сжатием) передаваемых данных (пароли также шифруются). Дополнительно обеспечивается шифрование данных X Windows и перенаправление любых TCP-соединений (а это уже ухудшает безопасность, т.к. позволяет делать туннели в обход сетевого экрана). Защищает от атак с подделкой (spoof) IP-адресов (включая source routing), DNS-сервера и маршрутизации, от подслушивания паролей и X аутентификации, от подслушивания и манипуляции данными на промежуточных хостах или локальной сети. SSH не защищает, если атакующий получил права root на вашем хосте или права к домашней директории (а парольная фраза?). Файлы на сервере, используемые при входе ssh /etc/nologin - при наличии этого файла запрещается вход пользователей, кроме root. Содержимое файла выдается в качестве сообщения о причине. /etc/hosts.allow, /etc/hosts.deny - при компиляции с libwrap используется для контроля доступа как описано в hosts_access(5). ~/.rhosts - на каждой строке пара: хост - пользователь, разделенные пробелом. Данному пользователю с данного хоста разрешается заходить без указания пароля при использовании RhostsAuthentication и RhostsRSAAuthentication (этот же файл используется rlogind и rshd). Чтение и запись только для владельца. ~/.shosts - то же самое, но не используется командами rlogind и rshd. /etc/hosts.equiv - список хостов, пользователи с которых могут заходить, не указывая паролей под теми же самыми именами. За именем хоста можно указывать имя конкретного пользователя. Право на запись только для root. Отрицание обозначается знаком "-". Обычно используется в сочетании с RSA аутентификацией хоста. Очень не рекомендуется. /etc/shosts.equiv - аналогично, но не используется командами rsh/rlogin. ~/.ssh/environment - содержит пары вида имя=значение, которые помещаются в окружение при входе. ~/.ssh/rc, /etc/ssh/sshrc (/usr/local/etc/sshrc) - выполняется /bin/sh при входе после чтения окружения, но до запуска shell или команды (при перенаправлении X должен обрабатывать куки со стандартного ввода и вызывать xauth). Директория /var/empty/sshd используется для временного chroot до аутентификации. Владельцем д.б. root. Права - 111.
а где аутентификация по ключам? описание старого и новых протоколов? параметры ssh при подключении? тупо с гугля первый сайт вольным переводом не хорошо (