Eisimpleirean practaigeach SSH, a bheir do sgilean mar rianadair siostam iomallach gu ìre ùr. Cuidichidh òrdughan agus molaidhean chan ann a-mhàin airson a chleachdadh SSH, ach cuideachd seòladh an lìonra nas comasaiche.

Eòlas air beagan chleasan ssh feumail do rianadair siostam, innleadair lìonra no eòlaiche tèarainteachd sam bith.

Eisimpleirean practaigeach SSH

1. Proxy stocainnean SSH
2. Tunail SSH (port air adhart)
3. Tunail SSH chun treas aoigheachd
4. Tunail SSH air ais
5. Proxy cùl SSH
6. A’ stàladh VPN thairis air SSH
7. A’ dèanamh lethbhreac de iuchair SSH (ssh-copy-id)
8. Cur an gnìomh àithne iomallach (neo-eadar-ghnìomhach)
9. Glacadh agus coimhead pacaid iomallach ann an Wireshark
10. A’ dèanamh lethbhreac de phasgan ionadail gu frithealaiche iomallach tro SSH
11. Tagraidhean GUI iomallach le SSH X11 air adhart
12. Dèan lethbhreac de fhaidhlichean iomallach a’ cleachdadh rsync agus SSH
13. SSH thairis air lìonra Tor
14. Eisimpleir SSH gu EC2
15. Deasachadh faidhlichean teacsa a’ cleachdadh VIM tro ssh/scp
16. Cuir a-steach SSH iomallach mar phasgan ionadail le SSHFS
17. Ag iomadachadh SSH le ControlPath
18. Sruth bhidio thairis air SSH a ’cleachdadh VLC agus SFTP
19. Dearbhadh dà-fhactar
20. Luchd-aoigheachd leum le SSH agus -J
21. A’ bacadh oidhirpean feachd brùideil SSH a’ cleachdadh iptables
22. SSH Escape gus port air adhart atharrachadh

An toiseach na bunaitean

A’ parsadh loidhne-àithne SSH

Bidh an eisimpleir a leanas a’ cleachdadh paramadairean cumanta a thachras gu tric nuair a bhios tu a’ ceangal ri frithealaiche iomallach SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: Tha toradh deasbaid gu sònraichte feumail nuair a thathar a’ dèanamh anailis air duilgheadasan dearbhaidh. Faodar a chleachdadh iomadh uair gus fiosrachadh a bharrachd a thaisbeanadh.
• - p 22: port ceangail gu frithealaiche SSH iomallach. Chan fheum 22 a bhith air a shònrachadh, oir is e seo an luach bunaiteach, ach ma tha am protocol air port eile, bidh sinn ga shònrachadh a’ cleachdadh a’ pharamadair -p. Tha am port èisteachd air a shònrachadh san fhaidhle sshd_config anns a ’chruth Port 2222.
• -C: Compression airson ceangal. Ma tha ceangal slaodach agad no ma tha thu a’ faicinn tòrr teacsa, faodaidh seo an ceangal a luathachadh.
• neo@: Tha an loidhne ron samhla @ a' comharrachadh an ainm-cleachdaidh airson dearbhadh air an fhrithealaiche iomallach. Mura sònraich thu e, cuiridh e ainm-cleachdaiche a' chunntais air a bheil thu logadh a-steach an-dràsta (~$whoami). Faodar an neach-cleachdaidh a shònrachadh cuideachd a 'cleachdadh am paramadair -l.
• remoteserver: ainm an òstair airson ceangal ris ssh, faodaidh seo a bhith na ainm àrainn làn-theisteanas, seòladh IP, no aoigheachd sam bith anns an fhaidhle aoigheachd ionadail. Gus ceangal ri òstair a bheir taic do IPv4 agus IPv6, faodaidh tu am paramadair a chur ris an loidhne-àithne -4 no -6 airson fuasgladh ceart.

Tha a h-uile paramadair gu h-àrd roghainneil ach a-mhàin remoteserver.

A 'cleachdadh an fhaidhle rèiteachaidh

Ged a tha mòran eòlach air an fhaidhle sshd_config, tha faidhle rèiteachaidh teachdaiche ann cuideachd airson an àithne ssh. Luach bunaiteach ~/.ssh/config, ach faodar a mhìneachadh mar paramadair airson roghainn -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Tha dà inntrigeadh aoigheachd anns an eisimpleir faidhle rèiteachaidh ssh gu h-àrd. Tha a 'chiad fhear a' ciallachadh a h-uile neach-aoigheachd, uile a 'cleachdadh paramadair rèiteachaidh Port 2222. Tha an dàrna fear ag ràdh sin airson an aoigh frithealaiche iomallach bu chòir ainm-cleachdaidh eile, port, FQDN agus IdentityFile a chleachdadh.

Faodaidh faidhle rèiteachaidh tòrr ùine clò-sgrìobhaidh a shàbhaladh le bhith a’ ceadachadh rèiteachadh adhartach a chuir an sàs gu fèin-ghluasadach nuair a bhios tu a’ ceangal ri luchd-aoigheachd sònraichte.

A’ dèanamh lethbhreac de fhaidhlichean thairis air SSH a’ cleachdadh SCP

Bidh an neach-dèiligidh SSH a’ tighinn le dà inneal glè fheumail eile airson faidhlichean a chopaigeadh ceangal ssh crioptaichte. Faic gu h-ìosal airson eisimpleir de chleachdadh àbhaisteach nan òrdughan scp agus sftp. Thoir an aire gu bheil mòran de na roghainnean ssh a’ buntainn ris na h-òrdughan sin cuideachd.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

Anns an eisimpleir seo am faidhle mypic.png lethbhreac gu frithealaiche iomallach gu pasgan /meadhanan/dàta agus air ath-ainmeachadh gu mypic_2.png.

Na dì-chuimhnich mun eadar-dhealachadh ann am paramadair a 'phuirt. Seo far am faigh mòran dhaoine grèim nuair a thèid iad air bhog scp bhon loidhne-àithne. Seo am paramadair port -Pach chan eil -p, dìreach mar ann an neach-dèiligidh ssh! Bidh thu a 'dìochuimhneachadh, ach na gabh dragh, bidh a h-uile duine a' dìochuimhneachadh.

Dhaibhsan a tha eòlach air console ftp, tha mòran de na h-àithnean coltach ri chèile ann an sftp. Faodaidh tu a dhèanamh putaidh, chuir и lsmar is miann leis a' chridhe.

sftp neo@remoteserver

Eisimpleirean practaigeach

Ann am mòran de na h-eisimpleirean sin, faodar na toraidhean a choileanadh le bhith a’ cleachdadh diofar dhòighean. Mar anns a h-uile gin againn leabhraichean teacsa agus eisimpleirean, thathar a’ toirt roghainn do eisimpleirean practaigeach a tha dìreach a’ dèanamh an cuid obrach.

1. Proxy stocainnean SSH

Is e feart SSH Proxy àireamh 1 airson adhbhar math. Tha e nas cumhachdaiche na tha mòran a’ tuigsinn agus a’ toirt cothrom dhut air siostam sam bith air a bheil cothrom aig an fhrithealaiche iomallach, a’ cleachdadh cha mhòr tagradh sam bith. Faodaidh neach-dèiligidh ssh trafaic a thunail tro neach-ionaid SOCKS le aon àithne shìmplidh. Tha e cudromach tuigsinn gun tig trafaic gu siostaman iomallach bho fhrithealaiche iomallach, bidh seo air a chomharrachadh ann an logaichean an fhrithealaiche lìn.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

An seo bidh sinn a’ ruith neach-ionaid stocainnean air port TCP 8888, bidh an dàrna àithne a’ dèanamh cinnteach gu bheil am port gnìomhach ann am modh èisteachd. Tha 127.0.0.1 a’ nochdadh nach eil an t-seirbheis a’ ruith ach air localhost. Is urrainn dhuinn àithne beagan eadar-dhealaichte a chleachdadh airson èisteachd air a h-uile eadar-aghaidh, a’ toirt a-steach ethernet no wifi, leigidh seo le tagraidhean eile (brobhsairean, msaa) air an lìonra againn ceangal ris an t-seirbheis neach-ionaid tron ​​​​neach-ionaid ssh socks.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

A-nis is urrainn dhuinn am brabhsair a rèiteachadh gus ceangal ris an neach-ionaid stocainnean. Ann am Firefox, tagh Roghainnean | Bunaiteach | Roghainnean lìonra. Sònraich an seòladh IP agus am port airson ceangal.

Thoir an aire don roghainn aig bonn na foirme cuideachd gum bi iarrtasan DNS do bhrobhsair a’ dol tro neach-ionaid SOCKS. Ma tha thu a’ cleachdadh frithealaiche progsaidh gus trafaic lìn a chrioptachadh air an lìonra ionadail agad, is dòcha gum bi thu airson an roghainn seo a thaghadh gus am bi iarrtasan DNS air an tunail tron ​​cheangal SSH.

A’ cur an gnìomh neach-ionaid stocainnean ann an Chrome

Le bhith a’ cur Chrome air bhog le paramadairean loidhne-àithne sònraichte leigidh sin neach-ionaid na stocainnean, a bharrachd air a bhith a’ tunail iarrtasan DNS bhon bhrobhsair. Urras ach thoir sùil. Cleachd tcpdump gus dèanamh cinnteach nach eil ceistean DNS rim faicinn tuilleadh.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

A’ cleachdadh thagraidhean eile le neach-ionaid

Cumaibh cuimhne gum faod mòran de thagraidhean eile cuideachd proxies stocainnean a chleachdadh. Is e am brabhsair lìn dìreach am fear as mòr-chòrdte dhiubh uile. Tha roghainnean rèiteachaidh aig cuid de thagraidhean gus frithealaiche progsaidh a chomasachadh. Feumaidh cuid eile beagan cuideachaidh le prògram cuideachaidh. Mar eisimpleir, proxychains a’ leigeil leat ruith tro neach-ionaid stocainnean Microsoft RDP, msaa.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Tha paramadairean rèiteachaidh proxy stocainnean air an suidheachadh ann am faidhle rèiteachaidh proxychains.

Moladh: Ma chleachdas tu Deasg Iomallach bho Linux air WindowsFeuch an neach-dèiligidh RDP saor an asgaidh. Is e buileachadh nas ùire a tha seo na rdesktop, le eòlas gu math nas socair.

Roghainn SSH a chleachdadh tro neach-ionaid stocainnean

Tha thu nad shuidhe ann an cafaidh no taigh-òsta - agus feumaidh tu WiFi caran neo-earbsach a chleachdadh. Bidh sinn a’ cur air bhog proxy ssh gu h-ionadail bho laptop agus a’ stàladh tunail ssh a-steach don lìonra dachaigh air Rasberry Pi ionadail. A’ cleachdadh brobhsair no tagraidhean eile a chaidh a dhealbhadh airson neach-ionaid stocainnean, gheibh sinn cothrom air seirbheisean lìonra sam bith air an lìonra dachaigh againn no faighinn chun eadar-lìn tron ​​cheangal dachaigh againn. Tha a h-uile dad eadar an laptop agad agus am frithealaiche dachaigh agad (tro Wi-Fi agus eadar-lìn don dachaigh agad) air a chrioptachadh ann an tunail SSH.

2. SSH tunail (port air adhart)

Anns an fhoirm as sìmplidhe, bidh tunail SSH dìreach a 'fosgladh port air an t-siostam ionadail agad a tha a' ceangal ri port eile aig ceann eile an tunail.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Bheir sinn sùil air a 'pharamadair -L. Faodar smaoineachadh air mar an taobh ionadail de èisteachd. Mar sin anns an eisimpleir gu h-àrd, tha port 9999 ag èisteachd air an taobh localhost agus air a chuir air adhart tro phort 80 gu frithealaiche iomallach. Thoir an aire gu bheil 127.0.0.1 a’ toirt iomradh air localhost air an fhrithealaiche iomallach!

Rachamaid suas an ceum. Tha an eisimpleir a leanas a’ conaltradh puirt èisteachd le luchd-aoigheachd eile air an lìonra ionadail.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

Anns na h-eisimpleirean seo tha sinn a’ ceangal ri port air an fhrithealaiche lìn, ach dh’ fhaodadh seo a bhith na fhrithealaiche progsaidh no seirbheis TCP sam bith eile.

3. Tunail SSH gu aoigheachd treas-phàrtaidh

Is urrainn dhuinn na h-aon pharaimearan a chleachdadh gus tunail a cheangal bho fhrithealaiche iomallach gu seirbheis eile a tha a’ ruith air treas siostam.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

San eisimpleir seo, tha sinn ag ath-stiùireadh tunail bho fhrithealaiche iomallach gu frithealaiche lìn a tha a’ ruith air 10.10.10.10. Trafaic bhon fhrithealaiche iomallach gu 10.10.10.10 gun a bhith anns an tunail SSH tuilleadh. Beachdaichidh am frithealaiche lìn air 10.10.10.10 air frithealaiche iomallach mar thùs iarrtasan lìn.

4. Tunail SSH air ais

An seo rèitichidh sinn port èisteachd air an fhrithealaiche iomallach a cheanglas air ais ris a’ phort ionadail air ar localhost (no siostam eile).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Bidh an seisean SSH seo a’ stèidheachadh ceangal bho phort 1999 air frithealaiche iomallach gu port 902 air ar teachdaiche ionadail.

5. SSH Reverse Proxy

Anns a 'chùis seo, tha sinn a' stèidheachadh neach-ionaid stocainnean air a 'cheangal ssh againn, ach tha an neach-ionaid ag èisteachd air ceann iomallach an fhrithealaiche. Tha ceanglaichean ris an neach-ionaid iomallach seo a-nis a’ nochdadh bhon tunail mar thrafaig bhon localhost againn.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Fuasgladh dhuilgheadasan le tunailean SSH iomallach

Ma tha duilgheadasan agad le roghainnean SSH iomallach ag obair, thoir sùil air netstat, dè an eadar-aghaidh eile a tha am port èisteachd ceangailte. Ged a chomharraich sinn 0.0.0.0 anns na h-eisimpleirean, ach ma tha an luach Geata-puirt в sshd_config suidhich gu chan eil, an uairsin bidh an neach-èisteachd ceangailte a-mhàin ri localhost (127.0.0.1).

Rabhadh tèarainteachd

Thoir an aire, le bhith a’ fosgladh thunailean agus proxies stocainnean, gum faodadh goireasan lìonra a-staigh a bhith ruigsinneach do lìonraidhean neo-earbsach (leithid an eadar-lìn!). Faodaidh seo a bhith na dhroch chunnart tèarainteachd, mar sin dèan cinnteach gu bheil thu a’ tuigsinn cò ris a tha an neach-èisteachd agus na tha cothrom aca.

6. Stàlaich VPN tro SSH

Is e an teirm cumanta am measg eòlaichean ann an dòighean ionnsaigh (pentesters, msaa) “fulcrum san lìonra.” Aon uair ‘s gu bheil ceangal air a stèidheachadh air aon shiostam, bidh an siostam sin na gheata airson tuilleadh ruigsinneachd don lìonra. Fulcrum a leigeas leat gluasad ann am farsaingeachd.

Airson a leithid de chois, is urrainn dhuinn neach-ionaid SSH agus proxychains, ge-tà, tha cuid de chuingealachaidhean ann. Mar eisimpleir, cha bhith e comasach obrachadh gu dìreach le socaidean, agus mar sin cha bhith e comasach dhuinn puirt taobh a-staigh an lìonra a sganadh tro Nmap SYN.

A’ cleachdadh an roghainn VPN nas adhartaiche seo, tha an ceangal air a lughdachadh gu ìre 3. Is urrainn dhuinn an uairsin dìreach trafaic a stiùireadh tron ​​​​tunail a’ cleachdadh slighe lìonra àbhaisteach.

Tha an dòigh-obrach a 'cleachdadh ssh, iptables, tun interfaces agus slighe.

An toiseach feumaidh tu na crìochan sin a shuidheachadh sshd_config. Leis gu bheil sinn a 'dèanamh atharrachaidhean air eadar-aghaidh an dà chuid siostaman iomallach agus luchd-cleachdaidh, tha sinn feumach air còraichean freumh air gach taobh.

PermitRootLogin yes
PermitTunnel yes

An uairsin stèidhichidh sinn ceangal ssh a ’cleachdadh am paramadair a dh’ iarras tòiseachadh air innealan tun.

localhost:~# ssh -v -w any root@remoteserver

Bu chòir inneal tun a bhith againn a-nis nuair a sheallas sinn eadar-aghaidh (# ip a). Cuiridh an ath cheum seòlaidhean IP ris an eadar-aghaidh tunail.

Taobh teachdaiche SSH:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

Taobh an Fhrithealaiche SSH:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

A-nis tha slighe dhìreach againn gu aoigheachd eile (route -n и ping 10.10.10.10).

Faodaidh tu subnet sam bith a stiùireadh tro òstair air an taobh eile.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

Air an taobh iomallach feumaidh tu a chomasachadh ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Boom! VPN thairis air tunail SSH aig ìre lìonra 3. A-nis is e buaidh a tha sin.

Ma tha duilgheadas sam bith ann, cleachd e tcpdump и pinggus an adhbhar a dhearbhadh. Leis gu bheil sinn a’ cluich aig ìre 3, thèid na pacaidean icmp againn tron ​​tunail seo.

7. Dèan lethbhreac dhen iuchair SSH (ssh-copy-id)

Tha grunn dhòighean ann seo a dhèanamh, ach sàbhalaidh an àithne seo ùine le bhith gun a bhith a’ dèanamh lethbhreac de fhaidhlichean le làimh. Tha e dìreach a’ dèanamh lethbhreac de ~/.ssh/id_rsa.pub (no an iuchair bhunaiteach) bhon t-siostam agad gu ~/.ssh/authorized_keys air frithealaiche iomallach.

localhost:~$ ssh-copy-id user@remoteserver

8. Cur an gnìomh àithne iomallach (neo-eadar-ghnìomhach)

An sgioba ssh Faodar a cheangal ri òrdughan eile airson eadar-aghaidh cumanta, furasta a chleachdadh. Dìreach cuir ris an àithne a tha thu airson a ruith air an òstair iomallach mar am paramadair mu dheireadh ann an luachan.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

Anns an eisimpleir seo grep air a chuir gu bàs air an t-siostam ionadail às deidh don log a bhith air a luchdachadh sìos tro ssh channel. Ma tha am faidhle mòr, tha e nas fhasa a ruith grep air an taobh iomallach le bhith dìreach a’ cuairteachadh an dà àithne ann an luachan dùbailte.

Tha eisimpleir eile a’ coileanadh an aon ghnìomh ri ssh-copy-id bho eisimpleir 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Glacadh pacaid iomallach agus coimhead ann an Wireshark

Ghabh mi fear againn eisimpleirean tcpdump. Cleachd e gus pacaidean a ghlacadh air astar agus na toraidhean a thaisbeanadh gu dìreach anns an Wireshark GUI ionadail.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Dèan lethbhreac de phasgan ionadail gu frithealaiche iomallach tro SSH

Cleas snog a dhlùthaicheas pasgan a’ cleachdadh bzip2 (is e seo an roghainn -j anns an àithne tar), agus an uairsin a’ faighinn air ais an t-sruth bzip2 air an taobh eile, a’ cruthachadh pasgan dùblaichte air an fhrithealaiche iomallach.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Tagraidhean GUI iomallach le SSH X11 air adhart

Ma tha X air a chuir a-steach air an neach-dèiligidh agus an frithealaiche iomallach, faodaidh tu àithne GUI a chuir an gnìomh air astar le uinneag air an deasg ionadail agad. Tha am feart seo air a bhith timcheall airson ùine mhòr, ach tha e fhathast glè fheumail. Cuir air bhog brobhsair lìn iomallach no eadhon consol VMWare Workstation mar a nì mi san eisimpleir seo.

localhost:~$ ssh -X remoteserver vmware

Sreath a dhìth X11Forwarding yes ann am faidhle sshd_config.

12. Dèan lethbhreac de fhaidhlichean iomallach a 'cleachdadh rsync agus SSH

rsync mòran nas goireasaiche scp, ma tha feum agad air cùl-taic bho àm gu àm de eòlaire, àireamh mhòr de fhaidhlichean, no faidhlichean glè mhòr. Tha gnìomh ann airson faighinn seachad air fàiligeadh gluasaid agus dìreach lethbhreac a dhèanamh de fhaidhlichean atharraichte, a shàbhaileas trafaic agus ùine.

Tha an eisimpleir seo a 'cleachdadh compression gzip (-z) agus modh tasglann (-a), a leigeas le lethbhreac ath-chuairteach.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH thairis air lìonra Tor

Faodaidh an lìonra Tor gun urra trafaic SSH a thunail a’ cleachdadh an àithne torsocks. Thèid an àithne a leanas seachad air an neach-ionaid ssh tro Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Torsagan cleachdaidh e port 9050 air localhost airson neach-ionaid. Mar as àbhaist, nuair a bhios tu a’ cleachdadh Tor feumaidh tu dèanamh cinnteach gu mòr dè an trafaic a thathas a’ tunail agus cùisean tèarainteachd obrachaidh eile (opsec). Càite an tèid na ceistean DNS agad?

14. SSH gu eisimpleir EC2

Gus ceangal ri eisimpleir EC2, feumaidh tu iuchair phrìobhaideach. Luchdaich sìos e (leudachadh .pem) bho phannal smachd Amazon EC2 agus atharraich na ceadan (chmod 400 my-ec2-ssh-key.pem). Cùm an iuchair ann an àite sàbhailte no cuir e sa phasgan agad fhèin ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Parameter -i dìreach ag innse don neach-dèiligidh ssh an iuchair seo a chleachdadh. Faidhle ~/.ssh/config Fìor mhath airson prìomh chleachdadh a rèiteachadh gu fèin-ghluasadach nuair a bhios tu a’ ceangal ri aoigheachd ec2.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Deasachadh faidhlichean teacsa a' cleachdadh VIM tro ssh/scp

Airson a h-uile leannanan vim Sàbhalaidh an tip seo beagan ùine. Le bhith a 'cleachdadh vim thèid faidhlichean a dheasachadh tro scp le aon àithne. Bidh an dòigh seo dìreach a’ cruthachadh am faidhle gu h-ionadail /tmpagus an uairsin dèan lethbhreac dheth aon uair ‘s gun do shàbhail sinn e vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Thoir an aire: tha an cruth beagan eadar-dhealaichte bhon àbhaist scp. Às deidh an aoigheachd tha dùbailte againn //. Is e seo slighe iomraidh iomlan. Bidh aon slash a’ comharrachadh slighe an coimeas ris a’ phasgan dachaigh agad users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Ma chì thu a’ mhearachd seo, thoir sùil dhùbailte air cruth na h-àithne. Mar as trice bidh seo a’ ciallachadh mearachd co-chòrdaidh.

16. A 'stàladh SSH iomallach mar phasgan ionadail le SSHFS

Le cuideachadh bho sshfs - neach-dèiligidh siostam faidhle ssh - is urrainn dhuinn eòlaire ionadail a cheangal ri àite iomallach leis a h-uile eadar-obrachadh faidhle ann an seisean crioptaichte ssh.

localhost:~$ apt install sshfs

air a ' Ubuntu и Debian Stàlaichidh sinn am pasgan sshfs, agus an uairsin dìreach cuir suas an àite iomallach chun t-siostam againn.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH Multiplexing le ControlPath

Gu gnàthach, ma tha ceangal ann mu thràth ri frithealaiche iomallach a’ cleachdadh ssh dàrna ceangal a’ cleachdadh ssh no scp a’ stèidheachadh seisean ùr le dearbhadh a bharrachd. Roghainn ControlPath a’ leigeil leis an t-seisean a th’ ann mar-thà a chleachdadh airson a h-uile ceangal às deidh sin. Bidh seo gu mòr a 'luathachadh a' phròiseas: a 'bhuaidh a tha follaiseach fiù' s air lìonra ionadail, agus fiù 's nas motha nuair a' ceangal ri goireasan iomallach.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

Bidh ControlPath a’ sònrachadh an t-socaid gus sgrùdadh a dhèanamh airson ceanglaichean ùra gus faicinn a bheil seisean gnìomhach ann ssh. Tha an roghainn mu dheireadh a’ ciallachadh, eadhon às deidh dhut an consol fhàgail, gum fuirich an seisean a th ’ann mar-thà fosgailte airson 10 mionaidean, agus mar sin rè na h-ùine seo faodaidh tu ath-cheangal air an t-socaid a th’ ann mar-thà. Airson tuilleadh fiosrachaidh, faic an cuideachadh. ssh_config man.

18. Sruth bhidio thairis air SSH a 'cleachdadh VLC agus SFTP

Fiù 's luchd-cleachdaidh fad-ùine ssh и vlc (Video Lan Client) nach eil an-còmhnaidh mothachail air an roghainn goireasach seo nuair a dh’ fheumas tu coimhead air bhidio thairis air an lìonra. Anns na roghainnean Faidhle | Fosgailte Sruth Lìonra prògraman vlc faodaidh tu a dhol a-steach don àite mar sftp://. Ma tha feum air facal-faire, nochdaidh luaths.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Dearbhadh dà-fhactaraidh

Tha an aon dearbhadh dà-fhactaraidh ris a’ chunntas banca agad no cunntas Google a’ buntainn ris an t-seirbheis SSH.

Gu dearbh, ssh an toiseach tha gnìomh dearbhaidh dà-fhactaraidh aige, a tha a’ ciallachadh facal-faire agus iuchair SSH. Is e a’ bhuannachd a tha ann an comharra bathar-cruaidh no app Google Authenticator gur e inneal corporra eadar-dhealaichte a th’ ann mar as trice.

Faic an stiùireadh 8-mionaid againn gu cleachdadh Google Authenticator agus SSH.

20. A' leum le ssh agus -J

Ma tha sgaradh lìonra a’ ciallachadh gum feum thu hopadh tro iomadh ssh aoigh gus faighinn chun lìonra ceann-uidhe deireannach, sàbhalaidh an ath-ghoirid -J ùine dhut.

localhost:~$ ssh -J host1,host2,host3 user@host4.internal

Is e am prìomh rud a thuigsinn an seo nach eil seo an aon rud ris an àithne ssh host1an uairsin user@host1:~$ ssh host2 msaa. Bidh an roghainn -J gu glic a’ cleachdadh air adhart gus toirt air localhost seisean a stèidheachadh leis an ath aoigh san t-sreath. Mar sin anns an eisimpleir gu h-àrd, tha ar localhost air a dhearbhadh gu host4. Is e sin, tha na h-iuchraichean localhost againn air an cleachdadh, agus tha an seisean bho localhost gu host4 air a chrioptachadh gu tur.

Airson a leithid de chomas ann an ssh_config sònraich an roghainn rèiteachaidh ProxyJump. Ma dh’ fheumas tu a dhol tro ghrunn luchd-aoigheachd gu cunbhalach, sàbhalaidh fèin-ghluasad tron ​​​​config tòrr ùine.

21. Cuir casg air oidhirpean feachd brùideil SSH a’ cleachdadh iptables

Tha fios aig duine sam bith a tha air seirbheis SSH a riaghladh agus a choimhead air na logaichean mun àireamh de dh’ oidhirpean feachd brùideil a bhios a’ tachairt gach uair a thìde de gach latha. Is e dòigh luath air fuaim anns na logaichean a lughdachadh SSH a ghluasad gu port neo-àbhaisteach. Dèan atharraichean air an fhaidhle sshd_config tro paramadair rèiteachaidh Port##.

Le cuideachadh bho iptables Faodaidh tu cuideachd oidhirpean gus ceangal ri port a bhacadh gu furasta nuair a ruigeas tu stairsneach sònraichte. Is e dòigh furasta air seo a dhèanamh a chleachdadh OSSEC, seach gu bheil e chan ann a-mhàin a’ bacadh SSH, ach a’ dèanamh dòrlach de cheumannan lorg sàrachaidh eile a tha stèidhichte air ainm-aoigheachd (HIDS).

22. SSH Escape atharrachadh port air adhart

Agus an eisimpleir mu dheireadh againn ssh air a dhealbhadh gus gluasad air adhart port atharrachadh air an itealan taobh a-staigh seisean a tha ann mar-thà sshSmaoinich air an t-suidheachadh seo. Tha thu domhainn anns an lìonra, is dòcha a’ leum thairis air leth-dhusan aoigh, agus feumaidh tu port ionadail air an stèisean-obrach agad a thèid a chuir air adhart gu Microsoft SMB an t-siostaim dhìleab. Windows 2003 (a bheil cuimhne aig duine sam bith air ms08-67?).

A 'briogadh enter, feuch a dhol a-steach don chonsail ~C. Is e seo sreath smachd seisean a leigeas leat atharrachaidhean a dhèanamh air ceangal a tha ann mu thràth.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

An seo chì thu gun do chuir sinn ar port ionadail 1445 air adhart chun an aoigh Windows 2003, a chaidh a lorg air an lìonra a-staigh. A-nis dìreach ruith e msfconsole, agus faodaidh tu gluasad air adhart (a’ gabhail ris gu bheil thu an dùil an aoigh seo a chleachdadh).

Crìochnachadh

Na h-eisimpleirean seo, molaidhean agus òrdughan ssh bu chòir dha toiseach tòiseachaidh a thoirt seachad; Tha tuilleadh fiosrachaidh mu gach aon de na h-òrdughan agus na comasan ri fhaighinn air duilleagan an duine (man ssh, man ssh_config, man sshd_config).

Bha mi a-riamh air mo ghlacadh leis a’ chomas faighinn gu siostaman agus òrdughan a chuir an gnìomh àite sam bith san t-saoghal. Le bhith a’ leasachadh do sgilean le innealan mar ssh fàsaidh tu nas èifeachdaiche ann an geama sam bith a chluicheas tu.

Source: www.habr.com