Что такое ключи нижнего и верхнего уровня
Перейти к содержимому

Что такое ключи нижнего и верхнего уровня

  • автор:

Что такое ключи нижнего и верхнего уровня

Ключ на полевых транзисторах

31 Января 2017 Полевые МОП-транзисторы (metal-oxide-semiconductor field effect transistor, сокращенно «MOSFET») очень удобны для использования в качестве ключа для управления мощной нагрузкой постоянного тока. Следует лишь соблюдать несколько простых правил при их использовании.

включение MOSFET в качестве ключа

    Из-за того, что в открытом состоянии транзистор имеет очень малое сопротивление сток-исток, падение напряжения на нём мало. Именно поэтому имеет значение в какое «плечо» включать нагрузку. Например, для открытия полевого транзистора N-типа на затвор нужно подать положительное напряжение относительно истока. Рассмотрим случай, когда нагрузка включена в цепь истока (в нижнее плечо). Напряжение на истоке в таком случае будет равно: Uпит — (I · Rотк.) Здесь Rотк. это сопротивление открытого транзистора. Так как данное сопротивление мало (десятки-сотни миллиом), если притянуть затвор к питанию, разница напряжений между затвором и истоком будет недостаточна для полного открытия транзистора даже при большом токе. Данное ограничение можно обойти используя разные источники для питания нагрузки и для управления затвором, но нужно чётко понимать как это работает.

Микросхемы-драйверы MOSFET транзисторов

  • Одна из особенностей подключения MOSFET транзистора к цифровым схемам — это необходимость подачи достаточного напряжения затвор-исток. В даташитах на транзистор пороговое напряжение затвор-исток (gate-source), при котором он начинает открываться называется gate threshold voltage (VGS). для полного открытия таким транзисторам надо подать на затвор довольно большое напряжение. Обычно это около 10 вольт, а микроконтроллер чаще всего может выдать максимум 5В. Есть несколько вариантов решения данной проблемы:
    • На биполярных транзисторах соорудить цепочку, подающую питание с высоковольтной цепи на затвор.
    • Применить специальную микросхему-драйвер, которая сама сформирует нужный управляющий сигнал и выровняет уровни между контроллером и транзистором. Типичные примеры драйверов это, например, IR2117. Надо только не забывать, что есть драйверы как верхнего так и нижнего плеча (или совмещенные, полумостовые). Выбор драйвера зависит от схемы включения нагрузки и коммутирующего транзистора. Для того, чтобы поддерживать N-канальный транзистор открытым в верхнем плече, ему на затвор нужно подать напряжение выше напряжения истока, а с учётом малого падения на самом транзисторе, получается что это выше напряжения питания. Для этого в драйвере верхнего плеча используется накачка напряжения. Этим и отличается драйвер нижнего плеча от драйвера верхнего плеча.
    • Также возможно просто использовать транзистор с малым отпирающим напряжением (т.н. logic level транзисторы). Например из серии IRL630A или им подобные. У них открывающие напряжения привязаны к логическим уровням. У них правда есть один недостаток — их порой сложно достать. Если обычные мощные полевики уже не являются проблемой, то управляемые логическим уровнем бывают далеко не всегда.

    IR2181, IR21814

    IR2181/IR21814 – драйверы высоковольтных, высокоскоростных МОП-транзисторов или IGBT-транзисторов с независимыми выходными каналами нижнего и верхнего уровней. Собственная HVIC-технология и стойкая к защелкиванию КМОП-технология позволили создать монолитную конструкцию.

    Логический вход совместим с стандартными КМОП или LSTTL выходом. Выходы драйверов отличаются высоким импульсным током буферного каскада, что выполнено для минимизации встречной проводимости драйвера. Выходной канал может быть использован для управления N-канальным силовым МОП-транзистором или IGBT-транзистором с напряжением питания верхнего уровня до 600В.

    175 Kb Engl Описание микросхемы

    IR2213

    IR2213 — драйверы высоковольтных, высокоскоростных МОП-транзисторов или IGBT-транзисторов с независимыми выходными каналами нижнего и верхнего уровней. Собственная HVIC-технология и стойкая к защелкиванию КМОП-технология позволили создать монолитную конструкцию.

    Логический вход совместим с стандартными КМОП или LSTTL выходом. Выходы драйверов отличаются высоким импульсным током буферного каскада, что выполнено для минимизации встречной проводимости драйвера. Задержка при распространении сигналов согласована для применения в высокочастотных приложениях. Выходной канал может быть использован для управления N-канальным силовым МОП-транзистором или IGBT-транзистором с напряжением питания верхнего уровня до 500В или до 1200В.

    137 Kb Engl Описание микросхемы

    Почему SSH-ключ — безопасная альтернатива паролю

    Рассказываем о SSH-ключах: какие бывают, как генерировать и где хранить.

    Изображение записи

    Мы используем пароли, чтобы войти в учетную запись в соцсети, почту, панель управления Selectel. С помощью пароля также можно зайти на арендованный сервер. У этого, правда, есть весомые недостатки. О них и более безопасной альтернативе — SSH-ключах — мы расскажем в тексте.

    Пароли: их особенности и минусы

    Связка логин/пароль используется для авторизации в системе. Проще говоря, для того, чтобы приложение, операционная система — все, что стоит за окошком с вводом пароля, поняло, что вы — это действительно вы.

    Пароли — это привычно и просто. Но их использование влечет ряд недостатков:

    • Пароль можно подобрать. Часто мы выставляем пароли, которые легко запомнить. А значит, это какие-то сочетания слов или цифр. Есть способы создать более безопасный пароль — использовать случайный набор букв и цифр, генерировать длинный пароль. Но это приводит к следующей проблеме.
    • Безопасные пароли, особенно если их много, практически невозможно запомнить. В итоге, если вы все-таки забыли какой-то из них, придется тратить время и силы на восстановление.
    • Часто (как раз из-за пункта 2) люди останавливают один и тот же «проверенный» пароль на множество аккаунтов. В итоге, если пароль «утечет», злоумышленник получит доступ сразу к нескольким вашим аккаунтам.
    • Наконец, связку логин/пароль можно подсмотреть.

    Теперь представим, что у вас парк серверов, где расположены критические сервисы компании. К каждому серверу — отдельный пароль, их нужно где-то записывать, хранить. Желательно с учетом правил безопасности.

    Добавим, что серверы — очень популярная цель для злоумышленников. Поскольку они постоянно «смотрят» в интернет, машины подвергаются брутфорсу, или подбору паролей. По наблюдениям специалистов Selectel первая атака на сервер начинается спустя 10-15 минут после его появления в сети.

    SSH для подключения к серверу

    Большинство пользователей устанавливает на серверы операционную систему Linux, а подключаются к ним по SSH.

    SSH — это зашифрованный протокол, который используется для взаимодействия компьютера с сервером и его управления. Для работы по протоколу можно использовать один из основных способов авторизации — связку логин/пароль либо SSH-ключи. О недостатках первого способа мы уже написали. Теперь рассмотрим особенности SSH-ключей.

    SSH-ключи: какие бывают и как работают

    Прежде чем переходить к преимуществу SSH-ключей, разберемся, как они работают.

    Благодаря SSH-ключам можно произвести аутентификацию без пароля. Ключи представляют собой набор из сотен различных символов, включая латиницу верхнего и нижнего регистров, а также спецсимволы. Общая длина часто составляет от 1024 до 4096 бит.

    Для аутентификации нужно два SSH-ключа — открытый и закрытый.

    Открытый ключ

    Открытый, или публичный, ключ доступен всем. Он используется для шифрования данных при обращении к серверу. Проще говоря, это набор символов, при помощи которых мы шифруем информацию.

    При передаче публичного ключа не нужно подстраховываться — даже если он попадет в руки злоумышленников, они не смогут его использовать. Открытый ключ — лишь замок на двери, за которой находится важная информация. Без второго SSH-ключа он не имеет смысла.

    Закрытый ключ

    Закрытый, или приватный, SSH-ключ — это ключ к замку. Он расшифровывает данные. С ним нужно быть в разы осторожнее: хранить, соблюдая правила безопасности, и не передавать вторым лицам. Забегая вперед, скажем, что при генерации SSH-ключей закрытый ключ можно и нужно запаролить, чтобы обеспечить дополнительную защиту.

    Теперь разберемся, как открытый и закрытый ключи применяются при использовании протокола SSH.

    При создании пользователя на сервере ему можно разрешить вход по SSH-ключу. Для этого необходимо указать открытый ключ. Когда пользователь захочет подключиться, он отправит запрос на сервер. После чего сервер ответит случайной фразой, которую пользователь шифрует. Имея случайную фразу и открытый ключ, сервер при помощи криптографической магии подтверждает, была ли фраза подписана именно этим пользователем. Проще говоря, идентифицирует его.

    По сути, между клиентом и сервером происходит небольшая «перекличка», по которой сервер определяет, свой перед ним или чужой. Достаточно просто это изображено на схеме:

    Преимущества SSH-ключей

    Использовать SSH-ключи безопаснее, чем связку логин/пароль. Давайте перечислим почему:

    • Невозможно взломать методами перебора. Попробуйте подобрать ключ минимум на четыре строчки.
    • Приватный SSH-ключ недоступен из внешней сети. Пароль-фраза будет необходима исключительно для идентификации пользователя на сервере.
    • Закрытый ключ стандартно находится в каталоге, к которому у обычного пользователя нет доступа (в случае Unix-подобных систем).
    • Для кражи приватного ключа злоумышленник должен иметь полный доступ к правам администратора операционной системы. Другими словами, необходим доступ к привилегиям sudo. Как правило, они есть, например, у пользователя root или того, кому аналогичные привилегии были назначены вручную.

    Как мы писали выше, при создании ключа можно дополнительно зашифровать приватный ключ паролем. Его нужно будет ввести, чтобы посмотреть или скопировать SSH-ключ. В итоге, даже если злоумышленники получат доступ к root, им понадобятся дополнительные усилия для подбора пароля. Установка пароля является необязательным шагом, но он существенно повысит безопасность.

    Кроме того, ключи довольно просто использовать. SSH-ключ устанавливается (сохраняется) единоразово, его не нужно вводить каждый раз, как это было бы в случае пароля. Но нужно учитывать, что если вы запаролили доступ к SSH-ключу, то этот пароль придется вводить каждый раз.

    Где хранить SSH-ключи

    Итак, мы поняли, что стоит озаботиться правильным хранением закрытого SSH-ключа. Есть несколько вариантов.

    • Можно хранить ключи на разного рода внешних накопителях — флешки, съемные SSD-диски и т.д. Естественно, они должны храниться в защищенном месте. Носить флешку с SSH-ключами в качестве брелка на ключах точно не стоит.
    • Также можно хранить ключ на виртуальном диске. Нельзя назвать это полноценно безопасным вариантом, зато в случае утечки данных злоумышленникам еще нужно будет понять, куда можно применить SSH-ключ.
    • Подойдут для этих целей и специальные менеджеры паролей, которые заточены на их хранение. Например, Bitwarden, Keeper, Passbolt и другие. К выбору ПО тоже стоит подойти ответственно.
    • Если вы клиент Selectel, можете воспользоваться менеджером секретов. Сервис сейчас в бете, что влияет на его функциональность, однако хранить SSH-ключи в нем можно. На их защите — двухфакторная аутентификация панели управления my.selectel.

    Как использовать SSH-ключ

    Чтобы соединяться с сервером по SSH-ключу, его нужно сгенерировать. Как это сделать достаточно быстро, мы подробно описали в инструкции. В Selectel этот ключ можно указать сразу при заказе выделенного или облачного сервера.

    Установить SSH-ключ на сервере можно и с помощью терминала (CLI). В каталоге, где располагается пара ключей, нужно скопировать сгенерированный публичный SSH-ключ и вставить в список авторизованных публичных ключей на сервере. В папку /home/username/.ssh/authorized_keys, где username – ваше имя пользователя.

    Аутентификация с использованием SSH-ключа

    Для проверки работы SSH-ключа рассмотрим процесс аутентификации более детально. Аутентифицироваться, или зайти на сервер, вам необходимо для его дальнейшего администрирования.

    Подключиться к серверу при помощи SSH-ключа можно с помощью команды:

    ~$ ssh -i username@server IP

    Чтобы каждый раз не указывать путь, достаточно скопировать закрытый ключ в папку /home/имя пользователя/.ssh.

    Если вы подключаетесь к серверу впервые, появится следующее сообщение:

    Компьютер не узнает удаленный сервер. Это нормально для первого подключения. Необходимо в ответном сообщении ввести yes и продолжить, нажав кнопку Enter. Если ранее вы не указывали пароль для шифрования ключей, вы подключитесь и авторизуетесь на сервере автоматически.

    Отключение аутентификации по паролю на сервере

    Без отключения входа по логину и паролю использование SSH-ключей теряет большую часть преимуществ. Поэтому рекомендуем отключить аутентификацию по паролю.

    Прежде чем переходить к отключению, обязательно проверьте, что SSH-ключ был успешно установлен. Для этого необходимо просто войти под своим пользователем, используя ключ.

    Если ключ не будет установлен, а вы отключите аутентификацию по паролю, вы потеряете доступ к серверу. Восстановить его получится лишь из-под пользователя root или другого администратора с привилегиями sudo.

    Итак, отключаем аутентификацию по паролю. Подключаемся к удаленному серверу по SSH-ключу. Открываем файл с SSH-конфигурацией, выполнив в терминале следующую команду:

    sudo nano /etc/ssh/sshd_config

    В файле будет находиться параметр PasswordAuthentication, отмечаемый во многих случаях как комментарий. Символ однострочного комментария (#), находящийся перед названием параметра, необходимо удалить. После – отключить действие параметра, поставив ему значение no.

    Сохраните файл и перезапустите службу SSH, чтобы применить изменения.

    В ОС Ubuntu или Debian необходимо выполнить данную команду:

    sudo service ssh restart

    В ОС CentOS/Fedora название службы SSH – sshd. Команда для выполнения перезапуска службы будет исполнятся в таком виде:

    sudo service sshd restart

    Проделав эти шаги, вы перенастроите службу SSH так, чтобы при аутентификации использовались только ключи.

    Заключение

    SSH-ключи — хороший способ обезопасить свой сервер от взлома злоумышленниками и разграничить уровни доступа к инфраструктуре среди пользователей. Их легко генерировать, легко хранить и использовать. Чтобы пользоваться всеми преимуществами ключей, рекомендуем оставить только этот способ получения доступа к серверу.

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *