Praktični primjeri , što će vaše vještine kao udaljenog sistem administratora podići na novi nivo. Naredbe i savjeti pomoći će ne samo u korištenju SSH, ali i kompetentnije navigirati mrežom.
Poznavanje nekoliko trikova ssh korisno za svakog administratora sistema, mrežnog inženjera ili stručnjaka za sigurnost.
Praktični SSH primjeri
Prvo osnove
Parsiranje SSH komandne linije
Sljedeći primjer koristi uobičajene parametre koji se često susreću prilikom povezivanja na udaljeni poslužitelj SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Izlaz za otklanjanje grešaka je posebno koristan kada se analiziraju problemi s autentifikacijom. Može se koristiti više puta za prikaz dodatnih informacija.- p 22: priključni port na udaljeni SSH server. 22 ne mora biti specificirano, jer je ovo zadana vrijednost, ali ako je protokol na nekom drugom portu, onda ga specificiramo pomoću parametra-p. Port za slušanje je naveden u datotecisshd_configu formatuPort 2222.-C: Kompresija za povezivanje. Ako imate sporu vezu ili gledate puno teksta, ovo može ubrzati vezu.neo@: Red ispred simbola @ označava korisničko ime za autentifikaciju na udaljenom serveru. Ako ga ne navedete, podrazumevano će biti korisničko ime naloga na koji ste trenutno prijavljeni (~$whoami). Korisnik se također može odrediti pomoću parametra-l.remoteserver: ime hosta na koji se treba povezatissh, to može biti potpuno kvalificirano ime domene, IP adresa ili bilo koji host u datoteci lokalnih hostova. Da biste se povezali na host koji podržava i IPv4 i IPv6, možete dodati parametar u komandnu liniju-4ili-6za odgovarajuću rezoluciju.
Svi gore navedeni parametri su opcioni osim remoteserver.
Korištenje konfiguracijske datoteke
Iako su mnogi upoznati sa fajlom sshd_config, postoji i konfiguracijski fajl klijenta za naredbu ssh. Zadana vrijednost ~/.ssh/config, ali se može definirati kao parametar za opciju -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyPostoje dva unosa hosta u primjeru ssh konfiguracijske datoteke iznad. Prvi označava sve hostove, koji svi koriste konfiguracijski parametar Port 2222. Drugi kaže da za host daljinski server treba koristiti drugačije korisničko ime, port, FQDN i IdentityFile.
Konfiguracijski fajl može uštedjeti mnogo vremena za kucanje omogućavajući da se napredna konfiguracija automatski primjenjuje prilikom povezivanja na određene hostove.
Kopiranje datoteka preko SSH-a koristeći SCP
SSH klijent dolazi sa još dva vrlo zgodna alata za kopiranje datoteka šifrovana ssh veza. U nastavku pogledajte primjer standardne upotrebe scp i sftp naredbi. Imajte na umu da se mnoge ssh opcije primjenjuju i na ove naredbe.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngU ovom primjeru fajl mypic.png kopirano na daljinski server u folder /media/data i preimenovan u mypic_2.png.
Ne zaboravite na razliku u parametru porta. Ovo je mjesto gdje se mnogi ljudi uhvate kada lansiraju scp iz komandne linije. Evo parametra porta -P, a ne -p, baš kao u ssh klijentu! Zaboravit ćeš, ali ne brini, svi zaboravljaju.
Za one koji su upoznati sa konzolom ftp, mnoge naredbe su slične u sftp. Možete učiniti guranje, staviti и lskako srce želi.
sftp neo@remoteserverPraktični primjeri
U mnogim od ovih primjera rezultati se mogu postići korištenjem različitih metoda. Kao iu svim našim i primjeri, prednost se daje praktičnim primjerima koji jednostavno rade svoj posao.
1. SSH socks proxy
SSH proxy funkcija je broj 1 iz dobrog razloga. Moćniji je nego što mnogi shvataju i daje vam pristup bilo kom sistemu kojem udaljeni server ima pristup, koristeći praktično bilo koju aplikaciju. Ssh klijent može tunelirati saobraćaj kroz SOCKS proxy pomoću jedne jednostavne komande. Važno je shvatiti da će saobraćaj na udaljene sisteme dolaziti sa udaljenog servera, što će biti naznačeno u logovima web servera.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshOvdje pokrećemo socks proxy na TCP portu 8888, druga komanda provjerava da li je port aktivan u režimu slušanja. 127.0.0.1 označava da usluga radi samo na lokalnom hostu. Možemo koristiti malo drugačiju naredbu za slušanje na svim sučeljima, uključujući ethernet ili wifi, što će omogućiti drugim aplikacijama (pretraživači, itd.) na našoj mreži da se povežu na proxy uslugu preko ssh socks proxyja.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverSada možemo konfigurirati pretraživač da se poveže na socks proxy. U Firefoxu odaberite Postavke | Basic | Mrežne postavke. Odredite IP adresu i port za povezivanje.
Imajte na umu opciju na dnu obrasca da i DNS zahtjevi vašeg pretraživača prolaze kroz SOCKS proxy. Ako koristite proxy server za šifriranje web prometa na vašoj lokalnoj mreži, vjerojatno ćete htjeti odabrati ovu opciju tako da se DNS zahtjevi tuneliraju kroz SSH vezu.
Aktiviranje socks proxyja u Chromeu
Pokretanje Chrome-a s određenim parametrima komandne linije omogućit će proxy socks, kao i tuneliranje DNS zahtjeva iz pretraživača. Vjerujte ali provjerite. Koristi da provjerite da DNS upiti više nisu vidljivi.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Korištenje drugih aplikacija s proxyjem
Imajte na umu da mnoge druge aplikacije također mogu koristiti socks proxy. Web pretraživač je jednostavno najpopularniji od svih. Neke aplikacije imaju opcije konfiguracije za omogućavanje proxy servera. Drugima je potrebna mala pomoć sa pomoćnim programom. Na primjer, omogućava vam pokretanje kroz socks proxy Microsoft RDP, itd.
localhost:~$ proxychains rdesktop $RemoteWindowsServerKonfiguracijski parametri Socks proxyja su postavljeni u proxychains konfiguracijskoj datoteci.
Savjet: ako koristite udaljenu radnu površinu iz Linuxa na Windowsu? Isprobajte klijenta . Ovo je modernija implementacija od
rdesktop, sa mnogo lakšim iskustvom.
Mogućnost korištenja SSH preko socks proxyja
Sjedite u kafiću ili hotelu - i prisiljeni ste da koristite prilično nepouzdan WiFi. Pokrećemo ssh proxy lokalno sa laptopa i instaliramo ssh tunel u kućnu mrežu na lokalnom Rasberry Pi. Koristeći pretraživač ili druge aplikacije konfigurirane za socks proxy, možemo pristupiti svim mrežnim uslugama na našoj kućnoj mreži ili pristupiti internetu putem naše kućne veze. Sve između vašeg laptopa i vašeg kućnog servera (preko Wi-Fi i interneta do vašeg doma) je šifrirano u SSH tunelu.
2. SSH tunel (prosljeđivanje portova)
U svom najjednostavnijem obliku, SSH tunel jednostavno otvara port na vašem lokalnom sistemu koji se povezuje na drugi port na drugom kraju tunela.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Pogledajmo parametar -L. Može se smatrati lokalnom stranom slušanja. Dakle, u gornjem primjeru, port 9999 sluša na strani lokalnog hosta i prosljeđuje se preko porta 80 na udaljeni server. Imajte na umu da se 127.0.0.1 odnosi na localhost na udaljenom serveru!
Hajdemo gore. Sljedeći primjer komunicira portove za slušanje s drugim hostovima na lokalnoj mreži.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverU ovim primjerima povezujemo se na port na web serveru, ali to može biti proxy server ili bilo koja druga TCP usluga.
3. SSH tunel do hosta treće strane
Iste parametre možemo koristiti za povezivanje tunela sa udaljenog servera na drugi servis koji radi na trećem sistemu.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverU ovom primjeru, mi preusmjeravamo tunel sa udaljenog servera na web server koji radi 10.10.10.10. Saobraćaj sa udaljenog servera do 10.10.10.10 više nije u SSH tunelu. Web server na 10.10.10.10 će smatrati udaljeni server izvorom web zahtjeva.
4. Obrnuti SSH tunel
Ovdje ćemo konfigurirati port za slušanje na udaljenom serveru koji će se ponovo povezati na lokalni port na našem lokalnom hostu (ili drugom sistemu).
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverOva SSH sesija uspostavlja vezu od porta 1999 na udaljenom serveru do porta 902 na našem lokalnom klijentu.
5. SSH Reverse Proxy
U ovom slučaju postavljamo socks proxy na našu ssh vezu, ali proxy sluša na udaljenom kraju servera. Veze na ovaj udaljeni proxy sada se pojavljuju iz tunela kao promet s našeg lokalnog hosta.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverRješavanje problema sa udaljenim SSH tunelima
Ako imate problema s radom udaljenih SSH opcija, provjerite sa netstat, na koje druge interfejse je povezan port za slušanje. Iako smo u primjerima naveli 0.0.0.0, ali ako je vrijednost GatewayPorts в sshd_config postavljeno na Ne., tada će slušatelj biti vezan samo za localhost (127.0.0.1).
Sigurnosno upozorenje
Imajte na umu da otvaranjem tunela i socks proksija, interni mrežni resursi mogu biti dostupni nepouzdanim mrežama (kao što je Internet!). Ovo može biti ozbiljan sigurnosni rizik, pa se pobrinite da razumijete šta je slušatelj i čemu ima pristup.
6. Instaliranje VPN-a preko SSH-a
Uobičajeni izraz među stručnjacima za metode napada (pentesteri, itd.) je „uporište u mreži“. Kada se uspostavi veza na jednom sistemu, taj sistem postaje gateway za dalji pristup mreži. Tačka oslonca koja vam omogućava da se krećete u širinu.
Za takvo uporište možemo koristiti SSH proxy i proxychains, međutim, postoje neka ograničenja. Na primjer, neće biti moguće raditi direktno sa utičnicama, tako da nećemo moći skenirati portove unutar mreže putem SYN.
Koristeći ovu napredniju VPN opciju, veza se smanjuje na nivo 3. Tada možemo jednostavno usmjeriti promet kroz tunel koristeći standardno mrežno rutiranje.
Metoda koristi ssh, iptables, tun interfaces i rutiranje.
Prvo morate podesiti ove parametre sshd_config. Pošto vršimo promjene u interfejsima i daljinskog i klijentskog sistema, mi potrebna su root prava na obje strane.
PermitRootLogin yes
PermitTunnel yesZatim ćemo uspostaviti ssh vezu koristeći parametar koji zahtijeva inicijalizaciju tun uređaja.
localhost:~# ssh -v -w any root@remoteserver
Sada bi trebali imati tun uređaj kada prikazujemo interfejse (# ip a). Sljedeći korak će dodati IP adrese sučeljima tunela.
SSH strana klijenta:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upSSH serverska strana:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Sada imamo direktnu rutu do drugog hosta (route -n и ping 10.10.10.10).
Možete usmjeriti bilo koju podmrežu kroz host na drugoj strani.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Na udaljenoj strani morate omogućiti ip_forward и iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBoom! VPN preko SSH tunela na mrežnom sloju 3. Sada je to pobeda.
Ako dođe do bilo kakvih problema, koristite и pingda se utvrdi uzrok. Pošto igramo na sloju 3, naši icmp paketi će proći kroz ovaj tunel.
7. Kopirajte SSH ključ (ssh-copy-id)
Postoji nekoliko načina da to učinite, ali ova komanda štedi vrijeme jer ne kopira datoteke ručno. Jednostavno kopira ~/.ssh/id_rsa.pub (ili podrazumevani ključ) sa vašeg sistema u ~/.ssh/authorized_keys na udaljenom serveru.
localhost:~$ ssh-copy-id user@remoteserver
8. Daljinsko izvršavanje naredbi (neinteraktivno)
tim ssh Može se povezati sa drugim komandama za zajedničko, korisničko sučelje. Samo dodajte naredbu koju želite pokrenuti na udaljenom hostu kao posljednji parametar u navodnicima.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
U ovom primjeru grep izvršava se na lokalnom sistemu nakon što je dnevnik preuzet preko ssh kanala. Ako je datoteka velika, pogodnije je pokrenuti grep na udaljenoj strani jednostavnim stavljanjem obje komande u dvostruke navodnike.
Drugi primjer obavlja istu funkciju kao ssh-copy-id iz primjera 7.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Daljinsko hvatanje i pregled paketa u Wiresharku
Uzeo sam jedan od naših . Koristite ga za daljinsko hvatanje paketa i prikaz rezultata direktno u lokalnom Wireshark GUI.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Kopiranje lokalnog foldera na udaljeni server preko SSH
Dobar trik koji komprimuje fasciklu koristeći bzip2 (ovo je opcija -j u naredbi tar), a zatim preuzima tok bzip2 sa druge strane, kreiranje duplikata fascikle na udaljenom serveru.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Udaljene GUI aplikacije sa SSH X11 prosljeđivanjem
Ako je X instaliran na klijentu i udaljenom serveru, tada možete daljinski izvršiti GUI naredbu s prozorom na vašoj lokalnoj radnoj površini. Ova funkcija postoji već duže vrijeme, ali je još uvijek vrlo korisna. Pokrenite udaljeni web pretraživač ili čak VMWawre Workstation konzolu kao što radim u ovom primjeru.
localhost:~$ ssh -X remoteserver vmware
Obavezni niz X11Forwarding yes u fajlu sshd_config.
12. Daljinsko kopiranje datoteka pomoću rsync i SSH
rsync mnogo zgodnije scp, ako su vam potrebne periodične sigurnosne kopije direktorija, velikog broja datoteka ili vrlo velikih datoteka. Postoji funkcija za oporavak od neuspjelog prijenosa i kopiranje samo promijenjenih datoteka, čime se štedi promet i vrijeme.
Ovaj primjer koristi kompresiju gzip (-z) i režim arhiviranja (-a), koji omogućava rekurzivno kopiranje.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH preko Tor mreže
Anonimna Tor mreža može tunelirati SSH promet koristeći naredbu torsocks. Sljedeća komanda će proslijediti ssh proxy kroz Tor.
localhost:~$ torsocks ssh myuntracableuser@remoteserverće koristiti port 9050 na lokalnom hostu za proxy. Kao i uvijek, kada koristite Tor morate ozbiljno provjeriti koji promet se tunelira i druge operativne sigurnosne (opsec) probleme. Gdje idu vaši DNS upiti?
14. SSH na EC2 instancu
Da biste se povezali sa EC2 instancom, potreban vam je privatni ključ. Preuzmite ga (.pem ekstenzija) sa Amazon EC2 kontrolne ploče i promijenite dozvole (chmod 400 my-ec2-ssh-key.pem). Čuvajte ključ na sigurnom mjestu ili ga stavite u svoju mapu ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
Parametar -i jednostavno kaže ssh klijentu da koristi ovaj ključ. File ~/.ssh/config Idealno za automatsko konfigurisanje upotrebe ključa prilikom povezivanja na ec2 host.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Uređivanje tekstualnih datoteka koristeći VIM preko ssh/scp
Za sve zaljubljene vim Ovaj savjet će uštedjeti neko vrijeme. Korišćenjem vim fajlovi se uređuju putem scp-a jednom komandom. Ova metoda jednostavno kreira datoteku lokalno u /tmpa zatim ga kopira nazad kada ga sačuvamo iz vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Napomena: format se malo razlikuje od uobičajenog scp. Nakon domaćina imamo duplo //. Ovo je apsolutna referenca putanje. Jedna kosa crta će označavati putanju u odnosu na vašu početnu fasciklu users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Ako vidite ovu grešku, dvaput provjerite format naredbe. To obično znači sintaksičku grešku.
16. Montiranje udaljenog SSH-a kao lokalnog foldera sa SSHFS-om
Uz pomoć sshfs - klijent sistema datoteka ssh - možemo povezati lokalni direktorij na udaljenu lokaciju sa svim interakcijama datoteka u šifriranoj sesiji ssh.
localhost:~$ apt install sshfs
Instalirajte paket na Ubuntu i Debian sshfs, a zatim jednostavno montirajte udaljenu lokaciju na naš sistem.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. SSH multipleksiranje sa ControlPath
Podrazumevano, ako postoji postojeća veza sa udaljenim serverom koristeći ssh drugu vezu koristeći ssh ili scp uspostavlja novu sesiju sa dodatnom autentifikacijom. Opcija ControlPath omogućava da se postojeća sesija koristi za sve naredne veze. To će značajno ubrzati proces: učinak je vidljiv čak i na lokalnoj mreži, a još više pri povezivanju s udaljenim resursima.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath specificira utičnicu za provjeru novih veza da vidi postoji li aktivna sesija ssh. Posljednja opcija znači da čak i nakon što izađete iz konzole, postojeća sesija će ostati otvorena 10 minuta, tako da se za to vrijeme možete ponovo povezati na postojeću utičnicu. Za više informacija pogledajte pomoć. ssh_config man.
18. Stream video preko SSH koristeći VLC i SFTP
Čak i dugogodišnji korisnici ssh и vlc (Video Lan Client) nisu uvijek svjesni ove zgodne opcije kada zaista trebate gledati video preko mreže. U podešavanjima Fajl | Otvorite Mrežni tok programi vlc možete uneti lokaciju kao sftp://. Ako je potrebna lozinka, pojavit će se upit.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Dvofaktorska autentifikacija
Za SSH uslugu primjenjuje se ista dvofaktorska autentifikacija kao i vaš bankovni račun ili Google račun.
Naravno, ssh u početku ima funkciju dvofaktorske autentifikacije, što znači lozinku i SSH ključ. Prednost hardverskog tokena ili aplikacije Google Authenticator je u tome što se obično radi o drugom fizičkom uređaju.
Pogledajte naš 8-minutni vodič za .
20. Preskakanje hostova sa ssh i -J
Ako segmentacija mreže znači da morate proći kroz više ssh hostova da biste došli do krajnje odredišne mreže, -J prečica će vam uštedjeti vrijeme.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Glavna stvar koju treba shvatiti ovdje je da ovo nije isto što i komanda ssh host1, onda user@host1:~$ ssh host2 itd. -J opcija pametno koristi prosljeđivanje da prisili localhost da uspostavi sesiju sa sljedećim hostom u lancu. Dakle, u gornjem primjeru, naš lokalni host je autentificiran za host4. Odnosno, koriste se naši ključevi lokalnog hosta, a sesija od localhost do host4 je potpuno šifrirana.
Za takvu mogućnost u ssh_config navedite opciju konfiguracije ProxyJump. Ako redovno morate prolaziti kroz nekoliko hostova, automatizacija kroz konfiguraciju će uštedjeti puno vremena.
21. Blokirajte SSH brute force pokušaje koristeći iptables
Svako ko je upravljao SSH uslugom i pogledao dnevnike zna za broj pokušaja grube sile koji se dešavaju svakog sata svakog dana. Brz način da se smanji šum u evidenciji je premještanje SSH-a na nestandardni port. Napravite promjene u datoteci sshd_config preko konfiguracionog parametra Port##.
Uz pomoć iptables Također možete jednostavno blokirati pokušaje povezivanja na port nakon dostizanja određenog praga. Jednostavan način za to je korištenje , jer ne samo da blokira SSH, već radi i gomilu drugih mjera za otkrivanje upada na temelju imena hosta (HIDS).
22. SSH Escape za promjenu prosljeđivanja portova
I naš posljednji primjer ssh dizajniran za promjenu prosljeđivanja portova u hodu unutar postojeće sesije ssh. Zamislite ovaj scenario. Duboko ste u mreži; možda preskočite preko pola tuceta hostova i treba vam lokalni port na radnoj stanici koji se prosleđuje na Microsoft SMB starog Windows 2003 sistema (seća li se neko ms08-67?).
Klikanje enter, pokušajte unijeti u konzolu ~C. Ovo je sekvenca kontrole sesije koja omogućava da se izvrše promjene na postojećoj vezi.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Ovdje možete vidjeti da smo proslijedili naš lokalni port 1445 na Windows 2003 host koji smo pronašli na internoj mreži. Sada samo trči msfconsole, i možete nastaviti dalje (pod pretpostavkom da planirate koristiti ovaj host).
Završetak
Ovi primjeri, savjeti i naredbe ssh treba dati polaznu tačku; Više informacija o svakoj od naredbi i mogućnosti dostupno je na stranicama man (man ssh, man ssh_config, man sshd_config).
Oduvijek sam bio fasciniran mogućnošću pristupa sistemima i izvršavanja naredbi bilo gdje u svijetu. Razvijanjem svojih vještina s alatima kao što su ssh postaćete efikasniji u bilo kojoj igrici koju igrate.
izvor: www.habr.com