Awgrymiadau Ymarferol, Enghreifftiau, a Thwneli SSH
Enghreifftiau ymarferol SSHa fydd yn mynd â'ch sgiliau fel gweinyddwr system bell i lefel newydd. Bydd gorchmynion ac awgrymiadau yn helpu nid yn unig i'w defnyddio SSH, ond hefyd llywio'r rhwydwaith yn fwy deallus.
Gwybod ychydig o driciau ssh ddefnyddiol i unrhyw weinyddwr system, peiriannydd rhwydwaith neu weithiwr diogelwch proffesiynol.
Mae'r enghraifft ganlynol yn defnyddio opsiynau cyffredin y deuir ar eu traws yn aml wrth gysylltu â gweinydd pell SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver
-v: Mae'r allbwn dadfygio yn arbennig o ddefnyddiol wrth ddadansoddi problemau dilysu. Gellir ei ddefnyddio sawl gwaith i arddangos gwybodaeth ychwanegol.
- p 22: porthladd cysylltiad i weinydd SSH o bell. Nid oes rhaid nodi 22, oherwydd dyma'r gwerth diofyn, ond os yw'r protocol ar ryw borthladd arall, yna rydym yn ei nodi gan ddefnyddio'r paramedr -p. Mae'r porthladd gwrando wedi'i nodi yn y ffeil sshd_config mewn fformat Port 2222.
-C: cywasgu ar gyfer cysylltiad. Os oes gennych sianel araf neu'n gweld llawer o destun, gall hyn gyflymu'r cysylltiad.
neo@: Mae'r llinell cyn yr arwydd @ yn nodi'r enw defnyddiwr i'w ddilysu i'r gweinydd pell. Os na fyddwch yn ei nodi, bydd yn ddiofyn i enw defnyddiwr y cyfrif rydych wedi mewngofnodi iddo ar hyn o bryd (~$ whoami). Gellir nodi'r defnyddiwr hefyd gyda'r paramedr -l.
remoteserver: enw'r gwesteiwr i gysylltu ag ef ssh, gall fod yn enw parth cwbl gymwys, cyfeiriad IP, neu unrhyw westeiwr yn y ffeil gwesteiwr lleol. I gysylltu â gwesteiwr sy'n cefnogi IPv4 ac IPv6, gallwch ychwanegu'r paramedr llinell orchymyn -4 neu -6 ar gyfer datrysiad cywir.
Mae pob un o'r paramedrau uchod yn ddewisol ac eithrio remoteserver.
Gan ddefnyddio ffeil ffurfweddu
Er bod llawer yn gyfarwydd â'r ffeil sshd_config, mae yna hefyd ffeil ffurfweddu cleient ar gyfer y gorchymyn ssh. Gwerth diofyn ~/.ssh/config, ond gellir ei ddiffinio fel paramedr i opsiwn -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_key
Mae gan y ffeil ffurfweddu ssh enghreifftiol uchod ddau gofnod gwesteiwr. Mae'r un cyntaf yn dynodi pob gwesteiwr, ar gyfer yr holl baramedr cyfluniad Port 2222 yn cael ei gymhwyso. Mae'r ail yn dweud hynny ar gyfer y gwesteiwr gweinydd pell dylech ddefnyddio gwahanol enw defnyddiwr, porthladd, FQDN, ac IdentityFile.
Gall ffeil ffurfweddu arbed llawer o amser teipio cymeriad trwy ganiatáu i gyfluniad uwch gael ei gymhwyso'n awtomatig wrth gysylltu â gwesteiwyr penodol.
Copïo ffeiliau dros SSH gan ddefnyddio SCP
Daw'r cleient SSH gyda dau offeryn defnyddiol iawn arall ar gyfer copïo ffeiliau drosodd cysylltiad ssh wedi'i amgryptio. Isod mae enghraifft o ddefnydd nodweddiadol o'r gorchmynion scp a sftp. Sylwch fod llawer o'r opsiynau ar gyfer ssh yn berthnasol i'r gorchmynion hyn hefyd.
Yn yr enghraifft hon y ffeil mypic.png copi i gweinydd pell i ffolder /cyfryngau/data ac a ailenwyd i mypic_2.png.
Peidiwch ag anghofio am y gwahaniaeth yn y paramedr porthladd. Ar hyn yn dod ar draws llawer sy'n lansio scp o'r llinell orchymyn. Dyma baramedr y porthladd -PAc nid -pfel mewn cleient ssh! Byddwch yn anghofio, ond peidiwch â phoeni, mae pawb yn anghofio.
I'r rhai sy'n gyfarwydd â consol ftp, mae llawer o'r gorchymynion yn debyg yn sftp. Gallwch chi ei wneud gwthio, rhoi и lsfel y myn dy galon.
sftp neo@remoteserver
Enghreifftiau ymarferol
Mewn llawer o'r enghreifftiau hyn, gellir cyflawni'r canlyniad trwy ddulliau gwahanol. Fel ym mhob un o'n gwerslyfrau ac enghreifftiau, rhoddir blaenoriaeth i enghreifftiau ymarferol sy'n gwneud y tric yn unig.
1. Sanau SSH dirprwy
Nodwedd SSH Proxy yw rhif 1 am reswm da. Mae'n fwy pwerus nag y mae'r rhan fwyaf o bobl yn ei feddwl ac mae'n rhoi mynediad i chi i unrhyw system y mae gan weinydd o bell fynediad iddi, gan ddefnyddio bron unrhyw raglen. Gall cleient ssh dwnelu traffig trwy ddirprwy SOCKS gydag un gorchymyn syml. Mae'n bwysig deall y bydd traffig i systemau anghysbell yn dod o weinydd pell, fel y nodir yn logiau gweinydd y we.
Yma rydyn ni'n cychwyn dirprwy sanau ar borthladd TCP 8888, mae'r ail orchymyn yn gwirio bod y porthladd yn weithredol yn y modd gwrando. Mae 127.0.0.1 yn nodi bod y gwasanaeth yn rhedeg ar localhost yn unig. Gallwn ddefnyddio gorchymyn ychydig yn wahanol i wrando ar bob rhyngwyneb, gan gynnwys ethernet neu wifi, bydd hyn yn caniatáu i gymwysiadau eraill (porwyr, ac ati) ar ein rhwydwaith gysylltu â'r gwasanaeth dirprwy trwy'r dirprwy sanau ssh.
Nawr gallwn ffurfweddu'r porwr i gysylltu â'r dirprwy sanau. Yn Firefox dewiswch Gosodiadau | Prif | Gosodiadau rhwydwaith. Nodwch y cyfeiriad IP a'r porthladd i gysylltu ag ef.
Rhowch sylw i'r opsiwn ar waelod y ffurflen fel bod ymholiadau DNS y porwr hefyd yn mynd trwy'r dirprwy SOCKS. Os ydych chi'n defnyddio gweinydd dirprwy i amgryptio traffig gwe ar eich rhwydwaith lleol, yna mae'n debyg y byddwch am ddewis yr opsiwn hwn fel bod ymholiadau DNS yn cael eu twnelu dros y cysylltiad SSH.
Actifadu dirprwy sanau yn Chrome
Bydd lansio Chrome gyda rhai opsiynau llinell orchymyn yn galluogi'r dirprwy sanau yn ogystal â thwnelu ceisiadau DNS o'r porwr. Ymddiriedolaeth ond gwiriwch. Defnydd tcpdump i wirio nad yw ceisiadau DNS bellach yn weladwy.
Cofiwch y gall llawer o gymwysiadau eraill ddefnyddio dirprwyon sanau hefyd. Yn syml, y porwr gwe yw'r mwyaf poblogaidd ohonyn nhw i gyd. Mae gan rai cymwysiadau opsiynau ffurfweddu ar gyfer actifadu gweinydd dirprwyol. Mae angen ychydig o help ar eraill gyda rhaglen cynorthwywyr. Er enghraifft, proxychains yn eich galluogi i redeg trwy ddirprwy sanau Microsoft RDP, ac ati.
Mae paramedrau cyfluniad dirprwy sanau wedi'u gosod yn y ffeil ffurfweddu proxychains.
Awgrym: os ydych chi'n defnyddio bwrdd gwaith anghysbell o Linux i Windows? Rhowch gynnig ar Cleient RhyddRDP. Mae hwn yn weithrediad mwy modern na rdesktop, gyda rhyngweithio llawer llyfnach.
Opsiwn i ddefnyddio SSH trwy ddirprwy sanau
Rydych chi'n eistedd mewn caffi neu westy - ac yn cael eich gorfodi i ddefnyddio WiFi braidd yn annibynadwy. O'r gliniadur, rydym yn lansio dirprwy ssh yn lleol ac yn sefydlu twnnel ssh i'r rhwydwaith cartref ar y Rasberry Pi lleol. Gan ddefnyddio porwr neu gymwysiadau eraill sydd wedi'u ffurfweddu ar gyfer dirprwy sanau, gallwn gyrchu unrhyw wasanaethau rhwydwaith ar ein rhwydwaith cartref neu fynd ar-lein trwy ein cysylltiad cartref. Mae popeth rhwng eich gliniadur a'ch gweinydd cartref (trwy Wi-Fi a'r rhyngrwyd i'ch cartref) wedi'i amgryptio mewn twnnel SSH.
2. twnnel SSH (porthladd anfon ymlaen)
Yn ei ffurf symlaf, mae twnnel SSH yn syml yn agor porthladd ar eich system leol sy'n cysylltu â phorthladd gwahanol ar ben arall y twnnel.
Gadewch i ni ddadansoddi'r paramedr -L. Gellir meddwl amdano fel yr ochr wrando leol. Felly, yn yr enghraifft uchod, mae porthladd 9999 yn gwrando ar yr ochr localhost ac yn cael ei anfon ymlaen ar borthladd 80 i'r gweinydd pell. Sylwch fod 127.0.0.1 yn cyfeirio at localhost ar y gweinydd pell!
Gadewch i ni fynd i fyny'r grisiau. Mae'r enghraifft ganlynol yn clymu porthladdoedd gwrando â gwesteiwyr eraill ar y rhwydwaith lleol.
Yn yr enghraifft hon, rydym yn anfon twnnel ymlaen o weinydd pell i weinydd gwe sy'n rhedeg ar 10.10.10.10. Traffig o weinydd pell i 10.10.10.10 ddim bellach mewn twnnel SSH. Bydd y gweinydd gwe ar 10.10.10.10 yn ystyried gweinydd pell fel ffynhonnell ceisiadau gwe.
4. twnnel SSH gwrthdroi
Yma byddwn yn sefydlu porthladd gwrando ar y gweinydd pell a fydd yn cysylltu yn ôl â phorthladd lleol ar ein localhost (neu system arall).
Mae'r sesiwn SSH hon yn sefydlu cysylltiad o borthladd 1999 ar y gweinydd pell i borthladd 902 ar ein cleient lleol.
5. SSH Reverse Proxy
Yn yr achos hwn, rydym yn sefydlu dirprwy sanau ar ein cysylltiad ssh, fodd bynnag mae'r dirprwy yn gwrando ar ben pell y gweinydd. Mae cysylltiadau â'r dirprwy anghysbell hwn bellach yn dod allan o'r twnnel fel traffig o'n gwesteiwr lleol.
Os ydych chi'n cael trafferth cael yr opsiynau o bell SSH i weithio, gwiriwch â nhw netstat, pa ryngwynebau eraill y mae'r porthladd gwrando yn gysylltiedig â nhw. Er i ni nodi 0.0.0.0 yn yr enghreifftiau, ond os yw'r gwerth Porthladdoedd в sshd_config gosod i dim, yna dim ond i localhost (127.0.0.1) y bydd y gwrandäwr yn rhwym.
Rhybudd Diogelwch
Sylwch, wrth agor twneli a dirprwyon sanau, efallai y bydd adnoddau rhwydwaith mewnol ar gael i rwydweithiau annibynadwy (er enghraifft, y Rhyngrwyd!). Gall hyn fod yn risg diogelwch difrifol, felly gwnewch yn siŵr eich bod yn deall beth yw gwrandäwr a beth sydd ganddo fynediad iddo.
6. Gosod VPN dros SSH
Term cyffredin ymhlith ymosodwyr (pentesters, ac ati) yw "rhwydwaith fulcrwm". Unwaith y bydd cysylltiad wedi'i sefydlu ar un system, daw'r system honno'n borth ar gyfer mynediad pellach i'r rhwydwaith. Ffwlcrwm sy'n eich galluogi i symud yn eang.
Ar gyfer troedle o'r fath, gallwn ddefnyddio dirprwy SSH a proxychains, fodd bynnag, mae rhai cyfyngiadau. Er enghraifft, ni fydd yn bosibl gweithio'n uniongyrchol gyda socedi, felly ni fyddwn yn gallu sganio porthladdoedd o fewn y rhwydwaith trwy NmapSYN.
Gan ddefnyddio'r opsiwn VPN mwy datblygedig hwn, mae'r cysylltiad yn disgyn i lefel 3. Yna gallwn gyfeirio traffig drwy'r twnnel gan ddefnyddio llwybr rhwydwaith safonol.
Mae'r dull yn defnyddio ssh, iptables, tun interfaces a llwybro.
Yn gyntaf mae angen i chi osod y paramedrau hyn i mewn sshd_config. Gan ein bod yn gwneud newidiadau i ryngwynebau'r systemau anghysbell a chleientiaid, rydym ni angen caniatâd gwraidd ar y ddwy ochr.
PermitRootLogin yes
PermitTunnel yes
Yna byddwn yn sefydlu cysylltiad ssh gan ddefnyddio'r paramedr sy'n gofyn am gychwyn dyfeisiau tiwn.
localhost:~# ssh -v -w any root@remoteserver
Dylem nawr gael dyfais tiwn wrth ddangos rhyngwynebau (# ip a). Bydd y cam nesaf yn ychwanegu cyfeiriadau IP i'r rhyngwynebau twnnel.
Ochr cleient SSH:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up
Ochr y gweinydd SSH:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Nawr mae gennym ni lwybr uniongyrchol i westeiwr arall (route -n и ping 10.10.10.10).
Mae'n bosibl llwybro unrhyw is-rwydwaith trwy'r gwesteiwr ar yr ochr arall.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Ar yr ochr anghysbell, galluogi ip_forward и iptables.
Boom! VPN dros dwnnel SSH ar haen rhwydwaith 3. Mae hyn eisoes yn fuddugoliaeth.
Os oes unrhyw broblemau, defnyddiwch tcpdump и pingi benderfynu yr achos. Gan ein bod yn chwarae ar haen 3, bydd ein pecynnau icmp yn mynd drwy'r twnnel hwn.
7. Copïo allwedd SSH (ssh-copy-id)
Mae yna sawl ffordd o wneud hyn, ond mae'r gorchymyn hwn yn arbed amser trwy beidio â chopïo'r ffeiliau â llaw. Yn syml, mae'n copïo ~/.ssh/id_rsa.pub (neu'r allwedd ddiofyn) o'ch system i ~/.ssh/authorized_keys ar weinydd pell.
localhost:~$ ssh-copy-id user@remoteserver
8. Gweithredu gorchymyn o bell (nad yw'n rhyngweithiol)
tîm ssh gellir ei gysylltu â gorchmynion eraill ar gyfer y rhyngwyneb hawdd ei ddefnyddio arferol. Ychwanegwch y gorchymyn rydych chi am ei redeg ar y gwesteiwr o bell fel y paramedr olaf mewn dyfynbrisiau.
Yn yr enghraifft hon grep yn cael ei weithredu ar y system leol ar ôl i'r log gael ei lawrlwytho dros y sianel ssh. Os yw'r ffeil yn fawr, mae'n fwy cyfleus i redeg grep ar yr ochr anghysbell trwy amgáu'r ddau orchymyn mewn dyfynbrisiau dwbl.
Mae enghraifft arall yn cyflawni'r un swyddogaeth â ssh-copy-id o enghraifft 7.
Cymerais un o'n enghreifftiau tcpdump. Defnyddiwch ef i ddal pecynnau o bell a dychwelyd y canlyniad yn uniongyrchol i GUI eich Wireshark lleol.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Copïo ffolder leol i weinydd pell trwy SSH
Tric braf sy'n cywasgu ffolder gyda bzip2 (dyma'r opsiwn -j yn y gorchymyn tar) ac yna yn nôl y nant bzip2 ar yr ochr arall, gan greu ffolder dyblyg ar y gweinydd pell.
11. Cymwysiadau GUI o bell gydag anfon SSH X11 ymlaen
Os yw X wedi'i osod ar y cleient a'r gweinydd pell, yna gallwch chi weithredu gorchymyn GUI o bell, gyda ffenestr ar eich bwrdd gwaith lleol. Mae'r nodwedd hon wedi bod o gwmpas ers amser maith, ond mae'n dal yn ddefnyddiol iawn. Lansio porwr gwe anghysbell neu hyd yn oed consol Gweithfan VMWare fel yr wyf yn ei wneud yn yr enghraifft hon.
localhost:~$ ssh -X remoteserver vmware
Angen llinyn X11Forwarding yes mewn ffeil sshd_config.
12. Copïo ffeiliau o bell gan ddefnyddio rsync a SSH
rsync llawer mwy cyfleus scpos oes angen copi wrth gefn o gyfeiriadur arnoch o bryd i'w gilydd, nifer fawr o ffeiliau, neu ffeiliau mawr iawn. Mae yna swyddogaeth i adennill o fethiant trosglwyddo a chopïo ffeiliau wedi'u newid yn unig, sy'n arbed traffig ac amser.
Mae'r enghraifft hon yn defnyddio cywasgu gzip (-z) a modd archif (-a), sy'n galluogi copïo ailadroddus.
Torsocks yn defnyddio porthladd 9050 ar localhost ar gyfer y dirprwy. Fel bob amser wrth ddefnyddio Tor, mae angen i chi wirio o ddifrif pa draffig sy'n cael ei dwnelu a materion diogelwch gweithredol eraill (opsec). Ble mae'ch ceisiadau DNS yn mynd?
14. SSH i enghraifft EC2
Mae angen allwedd breifat i gysylltu ag enghraifft EC2. Dadlwythwch ef (estyniad .pem) o banel rheoli Amazon EC2 a newidiwch y caniatâd (chmod 400 my-ec2-ssh-key.pem). Cadwch yr allwedd mewn lle diogel neu rhowch hi yn eich ffolder ~/.ssh/.
Paramedr -i yn syml yn dweud wrth y cleient ssh i ddefnyddio'r allwedd honno. Ffeil ~/.ssh/config yn ddelfrydol ar gyfer ffurfweddu defnydd allwedd yn awtomatig wrth gysylltu â gwesteiwr ec2.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Golygu ffeiliau testun gyda VIM trwy ssh/scp
Ar gyfer pob cariad vim bydd y tip hwn yn arbed peth amser i chi. Trwy ddefnyddio vim caiff ffeiliau eu golygu trwy scp gydag un gorchymyn. Yn syml, mae'r dull hwn yn creu'r ffeil yn lleol i mewn /tmp, ac yna ei gopïo'n ôl ar ôl i ni ei gadw vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Sylwch: mae'r fformat ychydig yn wahanol i'r arfer scp. Ar ôl y gwesteiwr mae gennym dwbl //. Mae hwn yn gyfeirnod llwybr absoliwt. Bydd un slaes yn golygu bod y llwybr yn gymharol i'r ffolder cartref users.
Os gwelwch y gwall hwn, gwiriwch y fformat gorchymyn ddwywaith. Mae hyn fel arfer yn golygu gwall cystrawen.
16. Mount bell SSH fel ffolder lleol gyda SSHFS
Trwy gyfrwng sshfs - cleient system ffeiliau ssh - gallwn osod cyfeiriadur lleol i leoliad anghysbell gyda'r holl ryngweithio ffeil mewn sesiwn wedi'i hamgryptio ssh.
localhost:~$ apt install sshfs
Gosodwch y pecyn ar Ubuntu a Debian sshfs, ac yna dim ond gosod y lleoliad anghysbell i'n system.
Yn ddiofyn, os oes cysylltiad presennol i weinydd pell gan ddefnyddio ssh ail gysylltiad â ssh neu scp sefydlu sesiwn newydd gyda dilysiad ychwanegol. Opsiwn ControlPath yn caniatáu i chi ddefnyddio sesiwn sy'n bodoli eisoes ar gyfer pob cysylltiad dilynol. Bydd hyn yn cyflymu'r broses yn sylweddol: mae'r effaith yn amlwg hyd yn oed yn y rhwydwaith lleol, a hyd yn oed yn fwy felly wrth gysylltu ag adnoddau anghysbell.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
Mae ControlPath yn pennu'r soced ar gyfer cysylltiadau newydd i wirio am sesiwn weithredol ssh. Mae'r opsiwn olaf yn golygu, hyd yn oed ar ôl allgofnodi o'r consol, bydd y sesiwn bresennol yn aros ar agor am 10 munud, felly yn ystod yr amser hwnnw gallwch chi ailgysylltu ar y soced presennol. Gweler help am ragor o wybodaeth. ssh_config man.
18. Ffrydio fideo dros SSH gyda VLC a SFTP
Hyd yn oed defnyddwyr longtime ssh и vlc (Cleient Lan Fideo) ddim bob amser yn gwybod am yr opsiwn cyfleus hwn pan fydd gwir angen gwylio fideo dros y rhwydwaith. Mewn gosodiadau ffeil | Ffrwd Rhwydwaith Agored rhaglenni vlc gallwch fynd i mewn i'r lleoliad fel sftp://. Os oes angen cyfrinair, fe'ch anogir.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Dilysu dau ffactor
Mae'r un dilysiad dau ffactor â'ch cyfrif banc neu gyfrif Google yn berthnasol i'r gwasanaeth SSH.
Wrth gwrs, ssh i ddechrau mae ganddo swyddogaeth ddilysu dau ffactor, sy'n golygu cyfrinair ac allwedd SSH. Mantais tocyn caledwedd neu ap Google Authenticator yw ei fod fel arfer yn ddyfais gorfforol wahanol.
Os yw segmentu rhwydwaith yn ei gwneud yn ofynnol i chi neidio trwy westeion ssh lluosog i gyrraedd eich rhwydwaith cyrchfan terfynol, bydd y llwybr byr -J yn arbed amser i chi.
Y prif beth yma yw deall nad yw hyn yn debyg i'r gorchymyn ssh host1yna user@host1:~$ ssh host2 ac yn y blaen Mae'r opsiwn -J yn defnyddio anfon ymlaen yn glyfar i gael localhost sefydlu sesiwn gyda'r gwesteiwr nesaf yn y gadwyn. Felly yn yr enghraifft uchod, mae ein localhost yn dilysu i host4. Hynny yw, mae ein bysellau localhost yn cael eu defnyddio, ac mae'r sesiwn o localhost i host4 wedi'i hamgryptio'n llawn.
Am gyfle o'r fath ssh_config nodi opsiwn cyfluniad ProxyJump. Os oes rhaid i chi fynd trwy sawl gwesteiwr yn rheolaidd, yna bydd awtomeiddio trwy'r ffurfwedd yn arbed llawer o amser.
21. Rhwystro ymdrechion grym 'n Ysgrublaidd SSH gydag iptables
Mae unrhyw un sydd wedi rheoli gwasanaeth SSH ac wedi edrych ar y boncyffion yn ymwybodol o'r nifer o ymdrechion grym ysgarol sy'n digwydd bob awr o bob dydd. Ffordd gyflym o leihau sŵn log yw symud SSH i borthladd ansafonol. Gwneud newidiadau i'r ffeil sshd_config gan ddefnyddio opsiwn ffurfweddu Porthladd##.
Gyda iptables gallwch hefyd rwystro ymdrechion cysylltu â phorthladd yn hawdd pan gyrhaeddir trothwy penodol. Ffordd hawdd o wneud hyn yw defnyddio OSSEC, gan ei fod nid yn unig yn blocio SSH, ond yn perfformio criw o fesurau canfod ymyrraeth (HIDS) eraill sy'n seiliedig ar enw gwesteiwr.
22. SSH Escape i Newid Port Anfon Ymlaen
A'n hesiampl olaf ssh wedi'i gynllunio i newid anfon porthladd ymlaen ar y hedfan o fewn sesiwn sy'n bodoli eisoes ssh. Dychmygwch senario o'r fath. Rydych chi'n ddwfn yn y we; mae'n debyg wedi neidio trwy hanner dwsin o westeion ac angen porthladd lleol ar y weithfan sy'n cael ei anfon ymlaen i'r Microsoft SMB o hen system Windows 2003 (oes rhywun yn cofio ms08-67?).
Clicio enter, ceisiwch deipio yn consol ~C. Dilyniant dianc sesiwn yw hwn sy'n eich galluogi i wneud newidiadau i gysylltiad sy'n bodoli eisoes.
Yma gallwch weld ein bod wedi anfon ein porthladd lleol 1445 ymlaen at westeiwr Windows 2003 a welsom ar y rhwydwaith mewnol. Nawr dim ond rhedeg msfconsole, ac rydych chi'n dda i fynd (gan dybio eich bod chi'n bwriadu defnyddio'r gwesteiwr hwn).
Cwblhau
Mae'r enghreifftiau hyn, awgrymiadau a gorchmynion ssh dylai roi man cychwyn; Mae gwybodaeth ychwanegol am bob un o'r gorchmynion a'r nodweddion ar gael ar y tudalennau dyn (man ssh, man ssh_config, man sshd_config).
Rwyf bob amser wedi fy swyno gan y gallu i gael mynediad at systemau a gweithredu gorchmynion unrhyw le yn y byd. Datblygu eich sgiliau gydag offer fel ssh byddwch yn dod yn fwy effeithlon ym mha bynnag gêm y byddwch yn ei chwarae.