Praktikal nga mga pananglitan , nga magdala sa imong kahanas isip usa ka remote system administrator ngadto sa bag-ong lebel. Ang mga sugo ug mga tip makatabang dili lamang sa paggamit SSH, apan pag-navigate usab sa network nga mas maayo.
Nahibal-an ang pipila ka mga limbong ssh mapuslanon sa bisan unsang system administrator, network engineer o security specialist.
Praktikal nga mga Ehemplo sa SSH
Una ang mga sukaranan
Pag-parse sa SSH command line
Ang mosunod nga pananglitan naggamit sa kasagarang mga parametro nga kasagarang masugatan sa dihang magkonektar sa usa ka hilit nga server SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Ang pag-debug sa output labi ka mapuslanon kung mag-analisar sa mga problema sa pag-authenticate. Mahimong magamit sa daghang mga higayon aron ipakita ang dugang nga kasayuran.- p 22: koneksyon nga pantalan sa usa ka hilit nga SSH server. 22 dili kinahanglan nga espesipiko, tungod kay kini ang default nga kantidad, apan kung ang protocol naa sa ubang pantalan, nan among gitino kini gamit ang parameter-p. Ang port sa pagpaminaw gitakda sa filesshd_configsa pormatPort 2222.-C: Compression para sa koneksyon. Kung ikaw adunay hinay nga koneksyon o nagtan-aw sa daghang teksto, kini makapadali sa koneksyon.neo@: Ang linya sa wala pa ang @ simbolo nagpaila sa username alang sa pag-authenticate sa layo nga server. Kung dili nimo kini ipiho, kini mahimong default sa username sa account nga imong gisulod karon (~$whoami). Ang user mahimo usab nga espesipiko gamit ang parameter-l.remoteserver: ngalan sa host nga makonektarssh, kini mahimo nga usa ka hingpit nga kwalipikado nga domain name, usa ka IP address, o bisan unsang host sa lokal nga host file. Aron makonektar sa usa ka host nga nagsuporta sa IPv4 ug IPv6, mahimo nimong idugang ang parameter sa linya sa mando-4o-6para sa saktong resolusyon.
Ang tanan nga mga parameter sa ibabaw kay opsyonal gawas lang remoteserver.
Gamit ang configuration file
Bisan kung daghan ang pamilyar sa file sshd_config, aduna usay client configuration file alang sa command ssh. Default nga bili ~/.ssh/config, apan mahimo kini nga gihubit ingon usa ka parameter alang sa usa ka kapilian -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyAdunay duha ka host entries sa pananglitan nga ssh configuration file sa ibabaw. Ang una nagpasabot sa tanan nga mga host, ang tanan naggamit sa Port 2222 configuration parameter. Ang ikaduha nag-ingon nga alang sa host layo nga server lain nga username, pantalan, FQDN ug IdentityFile kinahanglan gamiton.
Ang usa ka configuration file makadaginot ug daghang oras sa pag-type pinaagi sa pagtugot sa advanced configuration nga awtomatik nga magamit kung magkonektar sa piho nga mga host.
Pagkopya sa mga file sa SSH gamit ang SCP
Ang kliyente sa SSH adunay duha ka lain nga magamit nga mga himan alang sa pagkopya sa mga file naka-encrypt nga koneksyon sa ssh. Tan-awa sa ubos ang pananglitan sa standard nga paggamit sa scp ug sftp commands. Timan-i nga daghan sa mga opsyon sa ssh magamit usab niini nga mga sugo.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngNiini nga pananglitan ang file mypic.png gikopya sa layo nga server sa folder /media/data ug gipangalan sa mypic_2.png.
Ayaw kalimti ang bahin sa kalainan sa parameter sa port. Dinhi diin daghang mga tawo ang madakpan sa ilang paglansad scp gikan sa command line. Ania ang port parameter -P, ug dili -p, sama sa usa ka ssh nga kliyente! Makalimot ka, pero ayaw kabalaka, tanan makalimot.
Para sa mga pamilyar sa console ftp, daghan sa mga sugo susama sa sftp. Mahimo nimo pagduso, ibutang ΠΈ lsingon sa gusto sa kasingkasing.
sftp neo@remoteserverPraktikal nga mga pananglitan
Sa kadaghanan niini nga mga pananglitan, ang mga resulta mahimong makab-ot gamit ang lainlaing mga pamaagi. Sama sa atong tanan ug mga pananglitan, gipalabi ang gihatag sa praktikal nga mga pananglitan nga yano nga nagbuhat sa ilang trabaho.
1. SSH socks proxy
Ang feature sa SSH Proxy maoy numero 1 alang sa maayong rason. Mas gamhanan kini kay sa naamgohan sa kadaghanan ug naghatag kanimo og access sa bisan unsang sistema nga adunay access ang remote server, gamit ang halos bisan unsang aplikasyon. Ang usa ka kliyente sa ssh mahimong mag-tunnel sa trapiko pinaagi sa usa ka proxy sa SOCKS nga adunay usa ka yano nga mando. Mahinungdanon nga masabtan nga ang trapiko sa hilit nga mga sistema magagikan sa usa ka hilit nga server, kini ipakita sa mga log sa web server.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshDinhi nagpadagan kami og proxy nga medyas sa TCP port 8888, ang ikaduhang command nagsusi nga ang port aktibo sa mode sa pagpaminaw. Ang 127.0.0.1 nagpakita nga ang serbisyo nagdagan lamang sa localhost. Makagamit kami og gamay nga lahi nga sugo sa pagpaminaw sa tanang interface, lakip na ang ethernet o wifi, kini magtugot sa ubang mga aplikasyon (browser, ug uban pa) sa among network nga makonektar sa proxy nga serbisyo pinaagi sa ssh socks proxy.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverKaron mahimo na namon nga i-configure ang browser aron makonektar sa proxy nga medyas. Sa Firefox, pilia Mga setting | sukaranan | Mga setting sa network. Ipiho ang IP address ug port aron makonektar.
Palihug timan-i ang opsyon sa ubos sa porma nga ipaagi usab sa SOCKS proxy ang DNS requests sa imong browser. Kung naggamit ka usa ka proxy server aron ma-encrypt ang trapiko sa web sa imong lokal nga network, mahimo nimong pilion kini nga kapilian aron ang mga hangyo sa DNS ma-tunnel pinaagi sa koneksyon sa SSH.
Pag-aktibo sa proxy nga medyas sa Chrome
Ang paglansad sa Chrome nga adunay piho nga mga parameter sa command line makapahimo sa proxy nga medyas, ingon man ang pag-tunnel sa mga hangyo sa DNS gikan sa browser. Salig pero susiha. Paggamit aron masusi nga ang mga pangutana sa DNS dili na makita.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Paggamit sa ubang mga aplikasyon nga adunay proxy
Hinumdomi nga daghang uban pang mga aplikasyon mahimo usab nga mogamit mga proxy nga medyas. Ang web browser mao lamang ang pinakapopular sa tanan. Ang ubang mga aplikasyon adunay mga kapilian sa pag-configure aron makahimo sa usa ka proxy server. Ang uban nanginahanglan gamay nga tabang sa usa ka programa sa katabang. Pananglitan, nagtugot kanimo sa pagdagan pinaagi sa usa ka socks proxy nga Microsoft RDP, ug uban pa.
localhost:~$ proxychains rdesktop $RemoteWindowsServerAng mga parameter sa pagsumpo sa proxy nga medyas gitakda sa file sa pagsumpo sa proxychains.
Sugyot: kung mogamit ka sa layo nga desktop gikan sa Linux sa Windows? Sulayi ang kliyente . Kini usa ka mas moderno nga pagpatuman kaysa
rdesktop, nga adunay mas hapsay nga kasinatian.
Opsyon sa paggamit sa SSH pinaagi sa socks proxy
Naglingkod ka sa usa ka cafe o hotel - ug napugos sa paggamit sa dili kasaligan nga WiFi. Naglunsad kami og ssh proxy nga lokal gikan sa usa ka laptop ug nag-instalar og ssh tunnel ngadto sa home network sa lokal nga Rasberry Pi. Gamit ang usa ka browser o uban pang mga aplikasyon nga gi-configure alang sa usa ka proxy nga medyas, mahimo namon nga ma-access ang bisan unsang serbisyo sa network sa among home network o ma-access ang Internet pinaagi sa among koneksyon sa balay. Ang tanan tali sa imong laptop ug sa imong home server (pinaagi sa Wi-Fi ug internet sa imong balay) gi-encrypt sa usa ka SSH tunnel.
2. SSH tunnel (port forwarding)
Sa pinakasimple nga porma niini, ang SSH tunnel nag-abli lang og port sa imong lokal nga sistema nga nagkonektar sa laing port sa pikas tumoy sa tunnel.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Atong tan-awon ang parameter -L. Mahimo kini isipon nga lokal nga bahin sa pagpaminaw. Mao nga sa pananglitan sa ibabaw, ang port 9999 naminaw sa bahin sa localhost ug gipasa pinaagi sa port 80 sa remoteserver. Palihug timan-i nga ang 127.0.0.1 nagtumong sa localhost sa hilit nga server!
Mosaka ta sa lakang. Ang mosunod nga pananglitan nakigsulti sa mga pantalan sa pagpaminaw sa ubang mga host sa lokal nga network.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverNiini nga mga pananglitan nagkonektar kami sa usa ka pantalan sa web server, apan kini mahimo nga usa ka proxy server o bisan unsang ubang serbisyo sa TCP.
3. SSH tunnel sa usa ka third-party nga host
Magamit namon ang parehas nga mga parameter aron makonektar ang usa ka tunel gikan sa usa ka hilit nga server ngadto sa lain nga serbisyo nga nagdagan sa ikatulo nga sistema.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverNiini nga pananglitan, gi-redirect namo ang tunnel gikan sa remoteserver ngadto sa web server nga nagdagan sa 10.10.10.10. Ang trapiko gikan sa hilit nga server hangtod sa 10.10.10.10 wala na sa SSH tunnel. Ang web server sa 10.10.10.10 magkonsiderar sa remoteserver nga maoy tinubdan sa mga hangyo sa web.
4. Balika ang SSH tunnel
Dinhi atong i-configure ang usa ka port sa pagpaminaw sa hilit nga server nga magkonektar balik sa lokal nga pantalan sa atong localhost (o uban nga sistema).
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverKini nga sesyon sa SSH nagtukod usa ka koneksyon gikan sa port 1999 sa remoteserver hangtod sa port 902 sa among lokal nga kliyente.
5. SSH Reverse Proxy
Sa kini nga kaso, nagbutang kami usa ka proxy nga medyas sa among koneksyon sa ssh, apan ang proxy naminaw sa hilit nga tumoy sa server. Ang mga koneksyon niining hilit nga proxy karon makita gikan sa tunel isip trapiko gikan sa among localhost.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverPag-troubleshoot sa mga problema sa hilit nga SSH tunnels
Kung naa kay problema sa remote nga mga opsyon sa SSH nga nagtrabaho, susiha netstat, unsa ang ubang mga interface nga konektado sa port sa pagpaminaw. Bisan tuod kami nagpakita 0.0.0.0 sa mga panig-ingnan, apan kon ang bili GatewayPorts Π² sshd_config gibutang sa Dili, unya ang tigpaminaw igapos lang sa localhost (127.0.0.1).
Pahimangno sa Seguridad
Palihug timan-i nga pinaagi sa pag-abli sa mga tunnel ug medyas nga proxy, ang internal nga mga kapanguhaan sa network mahimong ma-access sa dili kasaligan nga mga network (sama sa Internet!). Mahimo kini nga usa ka seryoso nga peligro sa seguridad, busa siguruha nga nasabtan nimo kung unsa ang tigpaminaw ug kung unsa ang ilang magamit.
6. Pag-instalar sa VPN pinaagi sa SSH
Usa ka sagad nga termino sa mga espesyalista sa mga pamaagi sa pag-atake (mga pentester, ug uban pa) mao ang "usa ka fulcrum sa network." Sa higayon nga ang usa ka koneksyon maestablisar sa usa ka sistema, kana nga sistema mahimong agianan alang sa dugang nga pag-access sa network. Usa ka fulcrum nga nagtugot kanimo sa paglihok sa gilapdon.
Alang sa ingon nga usa ka foothold mahimo natong gamiton ang usa ka SSH proxy ug proxychain, apan adunay pipila ka mga limitasyon. Pananglitan, dili posible nga magtrabaho direkta sa mga socket, mao nga dili namo ma-scan ang mga pantalan sulod sa network pinaagi sa SYN.
Gamit kining mas abante nga opsyon sa VPN, ang koneksyon gikunhoran sa lebel 3. Mahimo ra naton nga ma-ruta ang trapiko pinaagi sa tunnel gamit ang standard nga pag-ruta sa network.
Ang pamaagi gigamit ssh, iptables, tun interfaces ug routing.
Una kinahanglan nimo nga ibutang kini nga mga parameter sshd_config. Tungod kay naghimo kami mga pagbag-o sa mga interface sa layo ug mga sistema sa kliyente, kami nanginahanglan ug root rights sa duha ka kilid.
PermitRootLogin yes
PermitTunnel yesDayon magtukod kami og koneksyon sa ssh gamit ang parameter nga naghangyo sa pagsugod sa mga tun device.
localhost:~# ssh -v -w any root@remoteserver
Kinahanglan nga kita adunay usa ka tun device sa pagpakita sa mga interface (# ip a). Ang sunod nga lakang magdugang mga IP address sa mga interface sa tunnel.
SSH nga bahin sa kliyente:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upSSH Server nga bahin:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Karon kami adunay usa ka direkta nga ruta sa laing host (route -n ΠΈ ping 10.10.10.10).
Mahimo nimong ruta ang bisan unsang subnet pinaagi sa usa ka host sa pikas nga bahin.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Sa hilit nga bahin kinahanglan nimo nga mahimo ip_forward ΠΈ iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBoom! VPN sa SSH tunnel sa network layer 3. Karon kana usa ka kadaugan.
Kung adunay mga problema nga mahitabo, gamita ΠΈ pingaron mahibal-an ang hinungdan. Tungod kay nagdula kami sa layer 3, ang among mga pakete sa icmp moagi sa kini nga tunel.
7. Kopyaha ang SSH key (ssh-copy-id)
Adunay daghang mga paagi aron mahimo kini, apan kini nga mando makatipig oras pinaagi sa dili pagkopya sa mga file nga mano-mano. Gikopya lang niini ang ~/.ssh/id_rsa.pub (o ang default key) gikan sa imong sistema ngadto sa ~/.ssh/authorized_keys sa usa ka hilit nga server.
localhost:~$ ssh-copy-id user@remoteserver
8. Remote command execution (non-interactive)
Team ssh Mahimong masumpay sa ubang mga sugo alang sa usa ka komon, user-friendly interface. Idugang lang ang sugo nga gusto nimong ipadagan sa hilit nga host isip katapusang parameter sa mga kinutlo.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
Niini nga pananglitan grep gipatuman sa lokal nga sistema human ma-download ang log pinaagi sa ssh channel. Kung ang file dako, mas sayon ββββang pagdagan grep sa hilit nga bahin pinaagi lamang sa paglakip sa duha ka mga sugo sa dobleng mga kinutlo.
Ang laing pananglitan naghimo sa sama nga function sama sa ssh-copy-id sa pananglitan 7.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Remote packet capture ug pagtan-aw sa Wireshark
Gikuha nako ang usa namo . Gamita kini sa layo nga pagkuha sa mga pakete ug ipakita ang mga resulta direkta sa lokal nga Wireshark GUI.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Pagkopya sa usa ka lokal nga folder sa usa ka hilit nga server pinaagi sa SSH
Usa ka nindot nga limbong nga nag-compress sa usa ka folder gamit bzip2 (kini ang -j nga kapilian sa command tar), ug dayon kuhaon ang sapa bzip2 sa pikas nga bahin, paghimo og duplicate folder sa hilit nga server.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Remote GUI Applications nga adunay SSH X11 Forwarding
Kung ang X na-install sa kliyente ug sa hilit nga server, mahimo nimong ipatuman ang usa ka command sa GUI nga adunay bintana sa imong lokal nga desktop. Kini nga bahin dugay na nga naglungtad, apan mapuslanon kaayo. Ilunsad ang usa ka hilit nga web browser o bisan ang VMWawre Workstation console sama sa akong gibuhat sa kini nga pananglitan.
localhost:~$ ssh -X remoteserver vmware
Gikinahanglan nga hilo X11Forwarding yes sa file sshd_config.
12. Hilit nga pagkopya sa file gamit ang rsync ug SSH
rsync mas sayon scp, kung kinahanglan nimo ang regular nga pag-backup sa usa ka direktoryo, daghang gidaghanon sa mga file, o daghang mga file. Adunay usa ka function alang sa pagbawi gikan sa usa ka kapakyasan sa pagbalhin ug pagkopya lamang sa nabag-o nga mga file, nga makatipig sa trapiko ug oras.
Kini nga pananglitan naggamit sa compression gzip (-z) ug mode sa pag-archive (-a), nga makapahimo sa recursive nga pagkopya.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH sa Tor network
Ang anonymous nga network sa Tor mahimong mag-tunnel sa trapiko sa SSH gamit ang command torsocks. Ang mosunod nga sugo mopasa sa ssh proxy pinaagi sa Tor.
localhost:~$ torsocks ssh myuntracableuser@remoteservermogamit sa port 9050 sa localhost alang sa proxy. Sama sa kanunay, kung gamiton ang Tor kinahanglan nimo nga seryoso nga susihon kung unsa ang trapiko nga gi-tunnel ug uban pang mga isyu sa seguridad sa operasyon (opsec). Asa moadto ang imong mga pangutana sa DNS?
14. SSH ngadto sa EC2 nga pananglitan
Aron makonektar sa usa ka pananglitan sa EC2, kinahanglan nimo ang usa ka pribado nga yawe. I-download kini (.pem extension) gikan sa Amazon EC2 control panel ug usba ang mga permiso (chmod 400 my-ec2-ssh-key.pem). Ibutang ang yawe sa luwas nga lugar o ibutang kini sa imong kaugalingong folder ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
Parameter -i sultihan lang ang ssh nga kliyente nga gamiton kini nga yawe. file ~/.ssh/config Maayo alang sa awtomatik nga pag-configure sa yawe nga paggamit kung magkonektar sa usa ka ec2 host.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Pag-edit sa mga text file gamit ang VIM pinaagi sa ssh/scp
Para sa tanang hinigugma vim Kini nga tip makadaginot ug panahon. Pinaagi sa paggamit vim Ang mga file gi-edit pinaagi sa scp nga adunay usa ka mando. Kini nga pamaagi yano nga nagmugna sa file nga lokal sa /tmpug dayon kopyahon kini pagbalik sa higayon nga among gitipigan kini vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Mubo nga sulat: ang pormat kay lahi ra sa naandan scp. Pagkahuman sa host kami adunay doble //. Kini usa ka hingpit nga pakisayran sa agianan. Ang usa ka slash magpakita sa usa ka agianan nga may kalabotan sa imong folder sa balay users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Kung makita nimo kini nga sayup, susiha pag-double ang command format. Kasagaran kini nagpasabut nga usa ka sayup sa syntax.
16. Pag-mount sa usa ka hilit nga SSH ingon usa ka lokal nga folder nga adunay SSHFS
Uban sa tabang sa sshfs - kliyente sa file system ssh - mahimo namong ikonektar ang usa ka lokal nga direktoryo sa usa ka hilit nga lokasyon sa tanan nga mga interaksyon sa file sa usa ka naka-encrypt nga sesyon ssh.
localhost:~$ apt install sshfs
I-install ang package sa Ubuntu ug Debian sshfs, ug dayon i-mount ang hilit nga lokasyon sa among sistema.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. SSH Multiplexing uban sa ControlPath
Sa kasagaran, kung adunay kasamtangan nga koneksyon sa usa ka hilit nga server nga naggamit ssh ikaduha nga koneksyon gamit ssh o scp nagtukod og bag-ong sesyon nga adunay dugang nga panghimatuud. Opsyon ControlPath nagtugot sa kasamtangan nga sesyon nga gamiton alang sa tanan nga sunod nga koneksyon. Makapadali kini sa proseso: ang epekto mamatikdan bisan sa usa ka lokal nga network, ug labi pa kung magkonektar sa hilit nga mga kapanguhaan.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
Gitino sa ControlPath ang socket aron susihon ang mga bag-ong koneksyon aron makita kung adunay aktibo nga sesyon ssh. Ang katapusan nga kapilian nagpasabot nga bisan human ka mogawas sa console, ang kasamtangan nga sesyon magpabilin nga bukas sulod sa 10 ka minuto, mao nga niining panahona mahimo ka nga makonektar pag-usab sa kasamtangan nga socket. Para sa dugang nga impormasyon, tan-awa ang tabang. ssh_config man.
18. Stream video sa SSH gamit ang VLC ug SFTP
Bisan ang dugay nang tiggamit ssh ΠΈ vlc (Video Lan Client) dili kanunay nahibal-an niining sayon ββββnga kapilian kung kinahanglan nimo nga tan-awon ang usa ka video sa network. Sa mga setting File | Ablihi ang Network Stream mga programa vlc makasulod ka sa lokasyon ingon sftp://. Kung gikinahanglan ang usa ka password, usa ka prompt ang makita.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Duha ka hinungdan nga panghimatuud
Ang parehas nga two-factor authentication sama sa imong bank account o Google account magamit sa serbisyo sa SSH.
Siyempre, ssh sa sinugdanan adunay usa ka function sa pag-authenticate nga duha ka hinungdan, nga nagpasabut nga usa ka password ug usa ka yawe sa SSH. Ang bentaha sa usa ka hardware token o Google Authenticator app mao nga kini kasagaran usa ka lahi nga pisikal nga aparato.
Tan-awa ang among 8-minuto nga giya sa .
20. Paglukso sa mga host nga adunay ssh ug -J
Kung ang pagbahin sa network nagpasabut nga kinahanglan ka nga molukso sa daghang mga host sa ssh aron makaabut sa katapusan nga destinasyon nga network, ang shortcut sa -J makatipig kanimo oras.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Ang panguna nga butang nga masabtan dinhi mao nga dili kini parehas sa mando ssh host1unya user@host1:~$ ssh host2 ug uban pa. Ang -J nga kapilian maalamon nga naggamit sa pagpasa aron mapugos ang localhost sa pag-establisar og sesyon uban sa sunod nga host sa kadena. Mao nga sa pananglitan sa ibabaw, ang among localhost gipamatud-an sa host4. Sa ato pa, gigamit ang among mga yawe sa localhost, ug ang sesyon gikan sa localhost hangtod sa host4 hingpit nga na-encrypt.
Alang sa ingon nga posibilidad sa ssh_config ipiho ang opsyon sa pag-configure ProxyJump. Kung kanunay ka nga moagi sa daghang mga host, unya ang automation pinaagi sa config makatipig daghang oras.
21. I-block ang SSH brute force nga mga pagsulay gamit ang iptables
Ang bisan kinsa nga nagdumala sa usa ka serbisyo sa SSH ug nagtan-aw sa mga troso nahibal-an bahin sa gidaghanon sa mga pagsulay sa brute force nga mahitabo matag oras sa matag adlaw. Ang usa ka dali nga paagi aron makunhuran ang kasaba sa mga troso mao ang pagbalhin sa SSH sa usa ka dili standard nga pantalan. Paghimo mga pagbag-o sa file sshd_config pinaagi sa configuration parameter Port##.
Uban sa tabang sa iptables Mahimo usab nimo dali nga babagan ang mga pagsulay sa pagkonektar sa usa ka pantalan sa pag-abot sa usa ka piho nga sukaranan. Usa ka sayon ββnga paagi sa pagbuhat niini mao ang paggamit , tungod kay dili lamang kini nag-block sa SSH, apan naghimo sa usa ka hugpong sa uban pang mga hostname-based intrusion detection (HIDS) nga mga lakang.
22. SSH Escape aron usbon ang port forwarding
Ug ang among katapusang pananglitan ssh gidisenyo sa pag-usab sa port forwarding sa langaw sulod sa usa ka kasamtangan nga sesyon ssh. Hunahunaa kini nga senaryo. Lalim ka sa network; tingali milukso sa sobra sa tunga sa dosena nga mga host ug nagkinahanglan sa usa ka lokal nga pantalan sa workstation nga gipasa ngadto sa Microsoft SMB sa usa ka daan nga Windows 2003 nga sistema (bisan kinsa ang nakahinumdom sa ms08-67?).
Pag-klik enter, sulayi pagsulod sa console ~C. Kini usa ka han-ay sa pagkontrol sa sesyon nga nagtugot sa mga pagbag-o nga mahimo sa usa ka kasamtangan nga koneksyon.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Dinhi imong makita nga among gipasa ang among lokal nga pantalan 1445 sa usa ka Windows 2003 host nga among nakit-an sa internal nga network. Karon run lang msfconsole, ug mahimo ka nga magpadayon (sa paghunahuna nga nagplano ka nga gamiton kini nga host).
Pagkompleto
Kini nga mga pananglitan, mga tip ug mga mando ssh kinahanglan maghatag usa ka punto sa pagsugod; Dugang nga impormasyon bahin sa matag usa sa mga sugo ug mga kapabilidad anaa sa mga panid sa tawo (man ssh, man ssh_config, man sshd_config).
Kanunay kong nadani sa abilidad sa pag-access sa mga sistema ug pagpatuman sa mga sugo bisan asa sa kalibutan. Pinaagi sa pagpalambo sa imong kahanas sa mga himan sama sa ssh mahimong mas epektibo ka sa bisan unsang dula nga imong dulaon.
Source: www.habr.com