Практически примери SSHкоето ще изведе вашите умения като отдалечен системен администратор на ново ниво. Командите и съветите ще помогнат не само за използване SSH, но и да навигирате в мрежата по-интелигентно.

Знаейки няколко трика ssh полезно за всеки системен администратор, мрежов инженер или специалист по сигурността.

Практически примери за SSH

1. SSH socks прокси
2. SSH тунел (препращане на порт)
3. SSH тунел към трети хост
4. Обратен SSH тунел
5. SSH обратен прокси
6. Инсталиране на VPN през SSH
7. Копиране на SSH ключ (ssh-copy-id)
8. Дистанционно изпълнение на команди (неинтерактивно)
9. Отдалечено улавяне на пакети и преглед с Wireshark
10. Копиране на локална папка на отдалечен сървър чрез SSH
11. Отдалечени GUI приложения с SSH X11 пренасочване
12. Дистанционно копиране на файлове с rsync и SSH
13. SSH през мрежата Tor
14. SSH към EC2 екземпляр
15. Редактиране на текстови файлове с VIM чрез ssh/scp
16. Монтиране на отдалечен SSH като локална папка с SSHFS
17. Мултиплексиране на SSH с ControlPath
18. Поточно видео през SSH с VLC и SFTP
19. Двуфакторна автентификация
20. Прескачане на хост с SSH и -J
21. Блокиране на SSH груби опити с iptables
22. SSH Escape за промяна на пренасочването на портове

Първо основите

Разбор на командния ред на SSH

Следващият пример използва общи опции, които често се срещат при свързване към отдалечен сървър SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: Изходът за отстраняване на грешки е особено полезен при анализиране на проблеми с удостоверяването. Може да се използва многократно за показване на допълнителна информация.
• - p 22: порт за връзка към отдалечен SSH сървър. 22 не трябва да се посочва, защото това е стойността по подразбиране, но ако протоколът е на друг порт, тогава го посочваме с помощта на параметъра -p. Портът за слушане е посочен във файла sshd_config във формат Port 2222.
• -C: компресия за връзка. Ако имате бавен канал или гледате много текст, това може да ускори връзката.
• neo@: Редът преди знака @ показва потребителското име за удостоверяване на отдалечения сървър. Ако не го посочите, по подразбиране ще бъде потребителското име на акаунта, в който сте влезли в момента (~$ whoami). Потребителят може също да бъде посочен с параметъра -l.
• remoteserver: име на хоста, към който да се свържете ssh, то може да бъде напълно квалифицирано име на домейн, IP адрес или всеки хост в локалния файл с хостове. За да се свържете с хост, който поддържа IPv4 и IPv6, можете да добавите параметъра на командния ред -4 или -6 за правилна резолюция.

Всички горепосочени параметри са незадължителни, с изключение на remoteserver.

Използване на конфигурационен файл

Въпреки че мнозина са запознати с файла sshd_config, има и клиентски конфигурационен файл за командата ssh. Стойност по подразбиране ~/.ssh/config, но може да се дефинира като параметър към опция -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Примерният ssh конфигурационен файл по-горе има два записа за хост. Първият показва всички хостове, за всички се прилага конфигурационният параметър Port 2222. Вторият казва, че за хоста отдалечен сървър трябва да използвате различно потребителско име, порт, FQDN и IdentityFile.

Конфигурационният файл може да спести много време за въвеждане на знаци, като позволява разширената конфигурация да се прилага автоматично при свързване към конкретни хостове.

Копиране на файлове през SSH с помощта на SCP

SSH клиентът идва с два други много удобни инструмента за копиране на файлове криптирана ssh връзка. По-долу е даден пример за типично използване на командите scp и sftp. Имайте предвид, че много от опциите за ssh се отнасят и за тези команди.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

В този пример файлът mypic.png копирано в отдалечен сървър към папката /медия/данни и преименуван на mypic_2.png.

Не забравяйте за разликата в параметъра на порта. На това се натъкнете на много, които стартират scp от командния ред. Ето параметъра на порта -PИ не -pкато в ssh клиент! Ще забравите, но не се притеснявайте, всички забравят.

За запознатите с конзолата ftp, много от командите са подобни в sftp. Можете да направите тласък, слагам и lsкакто сърцето ти желае.

sftp neo@remoteserver

Практически примери

В много от тези примери резултатът може да бъде постигнат с различни методи. Както във всички наши учебници и примери, предпочитание се дава на практически примери, които просто вършат работа.

1. SSH socks прокси

Функцията SSH Proxy е номер 1 по основателна причина. Той е по-мощен, отколкото повечето хора си мислят, и ви дава достъп до всяка система, до която има достъп отдалечен сървър, като използвате почти всяко приложение. Ssh клиент може да тунелира трафик през SOCKS прокси с една проста команда. Важно е да се разбере, че трафикът към отдалечени системи ще идва от отдалечен сървър, както ще бъде посочено в регистрационните файлове на уеб сървъра.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Тук стартираме socks прокси на TCP порт 8888, втората команда проверява дали портът е активен в режим на слушане. 127.0.0.1 указва, че услугата работи само на localhost. Можем да използваме малко по-различна команда, за да слушаме всички интерфейси, включително Ethernet или wifi, това ще позволи на други приложения (браузъри и т.н.) в нашата мрежа да се свързват с прокси услугата чрез ssh socks прокси.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Сега можем да конфигурираме браузъра да се свързва с проксито на socks. Във Firefox изберете Настройки | Основен | Мрежови настройки. Посочете IP адреса и порта за свързване.

Обърнете внимание на опцията в долната част на формата, така че DNS заявките на браузъра също да минават през SOCKS проксито. Ако използвате прокси сървър за криптиране на уеб трафик във вашата локална мрежа, вероятно ще искате да изберете тази опция, така че DNS заявките да се тунелират през SSH връзката.

Активиране на socks прокси в Chrome

Стартирането на Chrome с определени опции на командния ред ще активира socks проксито, както и тунелиране на DNS заявки от браузъра. Вярвайте, но проверявайте. Използвайте tcpdump за да проверите дали DNS заявките вече не се виждат.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Използване на други приложения с прокси

Имайте предвид, че много други приложения също могат да използват socks проксита. Уеб браузърът е просто най-популярният от всички тях. Някои приложения имат опции за конфигуриране за активиране на прокси сървър. Други имат нужда от малко помощ с помощна програма. Например, проксивериги ви позволява да стартирате чрез socks-proxy Microsoft RDP и др.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Конфигурационните параметри на прокси сървъра на socks се задават в конфигурационния файл на proxychains.

Съвет: ако използвате отдалечен работен плот от Linux към Windows? Опитайте клиент FreeRDP. Това е по-модерно изпълнение от rdesktop, с много по-плавно взаимодействие.

Възможност за използване на SSH през socks прокси

Седите в кафене или хотел - и сте принудени да използвате доста ненадежден WiFi. От лаптопа стартираме ssh прокси локално и настройваме ssh тунел към домашната мрежа на локалния Rasberry Pi. С помощта на браузър или други приложения, конфигурирани за socks прокси, можем да получим достъп до всякакви мрежови услуги в нашата домашна мрежа или да влезем онлайн през нашата домашна връзка. Всичко между вашия лаптоп и вашия домашен сървър (чрез Wi-Fi и интернет до вашия дом) е криптирано в SSH тунел.

2. SSH тунел (препращане на порт)

В най-простата си форма SSH тунелът просто отваря порт на вашата локална система, който се свързва с различен порт в другия край на тунела.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Нека анализираме параметъра -L. Може да се разглежда като местната слушаща страна. Така в примера по-горе порт 9999 слуша от страната на локалния хост и препраща на порт 80 към отдалечения сървър. Имайте предвид, че 127.0.0.1 се отнася до localhost на отдалечения сървър!

Да се ​​качим по стълбите. Следващият пример свързва слушащи портове към други хостове в локалната мрежа.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

В тези примери се свързваме към порт на уеб сървъра, но това може да е прокси сървър или друга TCP услуга.

3. SSH тунел към хост на трета страна

Можем да използваме същите опции за тунелиране от отдалечен сървър към друга услуга, работеща на трета система.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

В този пример препращаме тунел от отдалечен сървър към уеб сървър, работещ на 10.10.10.10. Трафик от отдалечен сървър до 10.10.10.10 вече не е в SSH тунел. Уеб сървърът на 10.10.10.10 ще счита отдалечения сървър за източник на уеб заявки.

4. Обратен SSH тунел

Тук ще настроим порт за слушане на отдалечения сървър, който ще се свърже обратно към локален порт на нашия локален хост (или друга система).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Тази SSH сесия установява връзка от порт 1999 на отдалечения сървър към порт 902 на нашия локален клиент.

5. SSH обратен прокси

В този случай ние настройваме socks прокси на нашата ssh връзка, но проксито слуша в отдалечения край на сървъра. Връзките към този отдалечен прокси сега излизат от тунела като трафик от нашия локален хост.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Отстраняване на неизправности при отдалечени SSH тунели

Ако имате проблеми с работата на отдалечените SSH опции, консултирайте се с netstat, към кои други интерфейси е свързан слушащият порт. Въпреки че посочихме 0.0.0.0 в примерите, но ако стойността GatewayPorts в sshd_config настроен на Не., тогава слушателят ще бъде обвързан само с localhost (127.0.0.1).

Предупреждение за сигурност

Моля, обърнете внимание, че когато отваряте тунели и socks проксита, вътрешните мрежови ресурси може да са достъпни за ненадеждни мрежи (например Интернет!). Това може да бъде сериозен риск за сигурността, така че се уверете, че разбирате какво е слушател и до какво има достъп.

6. Инсталирайте VPN през SSH

Често срещан термин сред нападателите (pentesters и т.н.) е „мрежова опорна точка“. След като се установи връзка в една система, тази система се превръща в шлюз за по-нататъшен достъп до мрежата. Опорна точка, която ви позволява да се движите на ширина.

За такава опора можем да използваме SSH прокси и проксивериги, но има някои ограничения. Например, няма да е възможно да работим директно със сокети, така че няма да можем да сканираме портове в мрежата чрез Nmap SYN.

Използвайки тази по-разширена VPN опция, връзката пада до ниво 3. След това можем просто да маршрутизираме трафика през тунела, използвайки стандартно мрежово маршрутизиране.

Методът използва ssh, iptables, tun interfaces и маршрутизиране.

Първо трябва да зададете тези параметри sshd_config. Тъй като правим промени в интерфейсите както на отдалечената, така и на клиентската система, ние се нуждаят от root права и от двете страни.

PermitRootLogin yes
PermitTunnel yes

След това ще установим ssh връзка, като използваме параметъра, който изисква инициализация на tun устройства.

localhost:~# ssh -v -w any root@remoteserver

Вече трябва да имаме устройство за настройка, когато показваме интерфейси (# ip a). Следващата стъпка ще добави IP адреси към интерфейсите на тунела.

SSH клиентска страна:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH страна на сървъра:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Сега имаме директен маршрут до друг хост (route -n и ping 10.10.10.10).

Възможно е да насочите всяка подмрежа през хоста от другата страна.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

От отдалечената страна активирайте ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

бум! VPN през SSH тунел на мрежов слой 3. Това вече е победа.

Ако има някакви проблеми, използвайте tcpdump и pingза да се установи причината. Тъй като играем на ниво 3, нашите icmp пакети ще преминат през този тунел.

7. Копирайте SSH ключ (ssh-copy-id)

Има няколко начина да направите това, но тази команда спестява време, като не копира файловете ръчно. Той просто копира ~/.ssh/id_rsa.pub (или ключа по подразбиране) от вашата система в ~/.ssh/authorized_keys на отдалечен сървър.

localhost:~$ ssh-copy-id user@remoteserver

8. Дистанционно изпълнение на команда (неинтерактивно)

екип ssh могат да бъдат свързани с други команди за обичайния удобен за потребителя интерфейс. Просто добавете командата, която искате да изпълните на отдалечения хост, като последния параметър в кавички.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

В този пример grep се изпълнява в локалната система, след като регистрационният файл е изтеглен през ssh канала. Ако файлът е голям, е по-удобно да се стартира grep от отдалечената страна, като просто затворите и двете команди в двойни кавички.

Друг пример изпълнява същата функция като ssh-copy-id от пример 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Отдалечено улавяне на пакети и Wireshark View

Взех един от нашите tcpdump примери. Използвайте го, за да улавяте пакети от разстояние и да връщате резултата директно в GUI на вашия локален Wireshark.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Копиране на локална папка на отдалечен сървър чрез SSH

Добър трик, който компресира папка с bzip2 (това е опцията -j в командата tar) и след това извлича потока bzip2 от другата страна, създавайки дублирана папка на отдалечения сървър.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Отдалечени GUI приложения с SSH X11 пренасочване

Ако и клиентът, и отдалеченият сървър имат инсталиран "x", тогава можете дистанционно да изпълните GUI команда с прозорец на вашия локален работен плот. Тази функция съществува от дълго време, но все още е много полезна. Стартирайте отдалечен уеб браузър или дори конзола на VMWawre Workstation, както правя в този пример.

localhost:~$ ssh -X remoteserver vmware

Изисква се низ X11Forwarding yes във файл sshd_config.

12. Отдалечено копиране на файлове с помощта на rsync и SSH

rsync много по-удобно scpако имате нужда от периодично архивиране на директория, голям брой файлове или много големи файлове. Има функция за възстановяване от неуспешен трансфер и копиране само на променени файлове, което спестява трафик и време.

Този пример използва компресия gzip (-z) и архивен режим (-a), който позволява рекурсивно копиране.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH през мрежата Tor

Анонимната мрежа Tor може да тунелира SSH трафик с командата torsocks. Следната команда ще изпрати ssh прокси през Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Торса ще използва порт 9050 на localhost за прокси. Както винаги, когато използвате Tor, трябва сериозно да проверите какъв трафик се тунелира и други проблеми с оперативната сигурност (opsec). Къде отиват вашите DNS заявки?

14. SSH към EC2 инстанция

Необходим е частен ключ за свързване с екземпляр на EC2. Изтеглете го (.pem разширение) от контролния панел на Amazon EC2 и променете разрешенията (chmod 400 my-ec2-ssh-key.pem). Съхранявайте ключа на сигурно място или го поставете във вашата папка ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Параметър -i просто казва на ssh клиента да използва този ключ. Файл ~/.ssh/config идеален за автоматично конфигуриране на използването на ключ при свързване към ec2 хост.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Редактирайте текстови файлове с VIM чрез ssh/scp

За всички влюбени vim този съвет ще ви спести малко време. Като се използва vim файловете се редактират чрез scp с една команда. Този метод просто създава файла локално в /tmpи след това го копира обратно, след като го запазим от vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Забележка: форматът е малко по-различен от обичайния scp. След домакина имаме дубъл //. Това е абсолютна препратка към пътя. Една наклонена черта ще означава, че пътят е относителен към началната папка users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Ако видите тази грешка, проверете отново формата на командата. Това обикновено означава синтактична грешка.

16. Монтирайте отдалечен SSH като локална папка с SSHFS

С помощта на sshfs - клиент на файловата система ssh - можем да монтираме локална директория на отдалечено място с всички файлови взаимодействия в криптирана сесия ssh.

localhost:~$ apt install sshfs

Инсталирайте пакета на Ubuntu и Debian sshfsи след това просто монтирайте отдалеченото местоположение към нашата система.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. Мултиплексиране на SSH с ControlPath

По подразбиране, ако има съществуваща връзка към отдалечен сървър, използващ ssh втора връзка с ssh или scp установява нова сесия с допълнително удостоверяване. опция ControlPath ви позволява да използвате съществуваща сесия за всички следващи връзки. Това значително ще ускори процеса: ефектът е забележим дори в локалната мрежа и още повече, когато сте свързани с отдалечени ресурси.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath указва сокета за нови връзки за проверка за активна сесия ssh. Последната опция означава, че дори след излизане от конзолата, съществуващата сесия ще остане отворена за 10 минути, така че през това време можете да се свържете отново на съществуващия сокет. Вижте помощ за повече информация. ssh_config man.

18. Поточно видео през SSH с VLC и SFTP

Дори дългогодишни потребители ssh и vlc (Video Lan Client) не винаги знаят за тази удобна опция, когато наистина трябва да гледате видео по мрежата. В настройките файл | Отворете мрежовия поток програми vlc можете да въведете местоположението като sftp://. Ако се изисква парола, ще бъдете подканени.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Двуфакторна автентификация

Същото двуфакторно удостоверяване като вашата банкова сметка или акаунт в Google се прилага за услугата SSH.

Разбира се, ssh първоначално има функция за двуфакторно удостоверяване, което означава парола и SSH ключ. Предимството на хардуерен токен или приложение Google Authenticator е, че това обикновено е различно физическо устройство.

Вижте нашето 8-минутно ръководство за използвайки Google Authenticator и SSH.

20. Прескачане на хостове с ssh и -J

Ако мрежовото сегментиране изисква да преминете през множество ssh хостове, за да стигнете до крайната си целева мрежа, прекият път -J ще ви спести време.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Основното тук е да разберете, че това не е подобно на командата ssh host1, тогава user@host1:~$ ssh host2 и т. н. Опцията -J умело използва пренасочване, за да накара localhost да установи сесия със следващия хост във веригата. Така че в примера по-горе нашият localhost се удостоверява към host4. Тоест, нашите ключове за локален хост се използват и сесията от локален хост до хост4 е напълно криптирана.

За такава възможност ssh_config посочете опция за конфигурация ProxyJump. Ако редовно трябва да преминавате през няколко хоста, тогава автоматизацията чрез конфигурацията ще спести много време.

21. Блокиране на опити за груба сила на SSH с iptables

Всеки, който е управлявал SSH услуга и е гледал регистрационните файлове, е наясно с броя на опитите за груба сила, които се случват всеки час всеки ден. Бърз начин за намаляване на шума в журнала е да преместите SSH на нестандартен порт. Направете промени във файла sshd_config с помощта на опция за конфигурация Порт ##.

С iptables можете също лесно да блокирате опитите за свързване към порт, когато бъде достигнат определен праг. Лесен начин да направите това е да използвате OSSEC, тъй като не само блокира SSH, но изпълнява куп други мерки за откриване на проникване, базирано на име на хост (HIDS).

22. SSH Escape за промяна на препращането на порт

И нашият последен пример ssh проектиран да променя пренасочването на портове в движение в рамките на съществуваща сесия ssh. Представете си такъв сценарий. Вие сте дълбоко в мрежата; може би е преминал през половин дузина хостове и има нужда от локален порт на работната станция, който се препраща към Microsoft SMB на стара система Windows 2003 (някой помни ли ms08-67?).

Щракване enter, опитайте да въведете в конзолата ~C. Това е последователност за избягване на сесия, която ви позволява да правите промени в съществуваща връзка.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Тук можете да видите, че сме препратили нашия локален порт 1445 към хост на Windows 2003, който намерихме във вътрешната мрежа. Сега просто бягай msfconsole, и сте готови (ако приемем, че планирате да използвате този хост).

Завършване

Тези примери, съвети и команди ssh трябва да даде отправна точка; Допълнителна информация за всяка от командите и функциите е достъпна на страниците на ръководството (man ssh, man ssh_config, man sshd_config).

Винаги съм бил очарован от възможността за достъп до системи и изпълнение на команди навсякъде по света. Развиване на вашите умения с инструменти като ssh ще станете по-ефективни в каквато и игра да играете.

Източник: www.habr.com