व्यावहारिक उदाहरण एसएसएच, जो रिमोट सिस्टम प्रशासक के रूप में आपके कौशल को एक नए स्तर पर ले जाएगा। आदेश और युक्तियाँ न केवल उपयोग करने में मदद करेंगी SSH, बल्कि नेटवर्क को अधिक सक्षमता से नेविगेट भी करता है।

कुछ तरकीबें जानना ssh किसी भी सिस्टम प्रशासक, नेटवर्क इंजीनियर या सुरक्षा विशेषज्ञ के लिए उपयोगी।

व्यावहारिक एसएसएच उदाहरण

एसएसएच मोज़े प्रॉक्सी
एसएसएच सुरंग (पोर्ट अग्रेषण)
तीसरे होस्ट के लिए SSH सुरंग
रिवर्स एसएसएच सुरंग
SSH रिवर्स प्रॉक्सी
एसएसएच पर वीपीएन स्थापित करना
SSH कुंजी की प्रतिलिपि बनाना (ssh-copy-id)
रिमोट कमांड निष्पादन (गैर-इंटरैक्टिव)
वायरशार्क में रिमोट पैकेट कैप्चर और देखना
SSH के माध्यम से किसी स्थानीय फ़ोल्डर को दूरस्थ सर्वर पर कॉपी करना
SSH X11 फ़ॉरवर्डिंग के साथ रिमोट GUI एप्लिकेशन
rsync और SSH का उपयोग करके दूरस्थ फ़ाइल प्रतिलिपि बनाना
टोर नेटवर्क पर एसएसएच
SSH से EC2 उदाहरण
एसएसएच/एससीपी के माध्यम से वीआईएम का उपयोग करके टेक्स्ट फ़ाइलों को संपादित करना
SSHFS के साथ दूरस्थ SSH को स्थानीय फ़ोल्डर के रूप में माउंट करें
कंट्रोलपाथ के साथ मल्टीप्लेक्सिंग एसएसएच
वीएलसी और एसएफटीपी का उपयोग करके एसएसएच पर वीडियो स्ट्रीम करें
द्वि-कारक प्रमाणीकरण
SSH और -J के साथ जंपिंग होस्ट
iptables का उपयोग करके SSH क्रूर बल प्रयासों को अवरुद्ध करना
पोर्ट फ़ॉरवर्डिंग बदलने के लिए SSH एस्केप

सबसे पहले मूल बातें

SSH कमांड लाइन को पार्स करना

निम्न उदाहरण किसी दूरस्थ सर्वर से कनेक्ट होने पर अक्सर सामने आने वाले सामान्य पैरामीटर का उपयोग करता है SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

-v: प्रमाणीकरण समस्याओं का विश्लेषण करते समय डिबगिंग आउटपुट विशेष रूप से उपयोगी होता है। अतिरिक्त जानकारी प्रदर्शित करने के लिए कई बार उपयोग किया जा सकता है।
- p 22: कनेक्शन पोर्ट किसी दूरस्थ SSH सर्वर पर। 22 को निर्दिष्ट करने की आवश्यकता नहीं है, क्योंकि यह डिफ़ॉल्ट मान है, लेकिन यदि प्रोटोकॉल किसी अन्य पोर्ट पर है, तो हम इसे पैरामीटर का उपयोग करके निर्दिष्ट करते हैं -p. श्रवण पोर्ट फ़ाइल में निर्दिष्ट है sshd_config प्रारूप में Port 2222.
-C: कनेक्शन के लिए संपीड़न. यदि आपका कनेक्शन धीमा है या आप बहुत सारा टेक्स्ट देखते हैं, तो इससे कनेक्शन की गति तेज हो सकती है।
neo@: @ प्रतीक से पहले की रेखा दूरस्थ सर्वर पर प्रमाणीकरण के लिए उपयोगकर्ता नाम को इंगित करती है। यदि आप इसे निर्दिष्ट नहीं करते हैं, तो यह उस खाते के उपयोगकर्ता नाम पर डिफ़ॉल्ट हो जाएगा जिसमें आप वर्तमान में लॉग इन हैं (~$whoami)। उपयोगकर्ता को पैरामीटर का उपयोग करके भी निर्दिष्ट किया जा सकता है -l.
remoteserver: कनेक्ट करने के लिए होस्ट का नाम ssh, यह एक पूर्णतः योग्य डोमेन नाम, एक आईपी पता, या स्थानीय होस्ट फ़ाइल में कोई होस्ट हो सकता है। IPv4 और IPv6 दोनों का समर्थन करने वाले होस्ट से कनेक्ट करने के लिए, आप कमांड लाइन में पैरामीटर जोड़ सकते हैं -4 या -6 उचित समाधान हेतु.

सिवाय इसके कि उपरोक्त सभी पैरामीटर वैकल्पिक हैं remoteserver.

कॉन्फ़िगरेशन फ़ाइल का उपयोग करना

हालाँकि कई लोग फ़ाइल से परिचित हैं sshd_config, कमांड के लिए एक क्लाइंट कॉन्फ़िगरेशन फ़ाइल भी है ssh. डिफ़ॉल्ट मान ~/.ssh/config, लेकिन इसे किसी विकल्प के पैरामीटर के रूप में परिभाषित किया जा सकता है -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

उपरोक्त उदाहरण ssh कॉन्फ़िगरेशन फ़ाइल में दो होस्ट प्रविष्टियाँ हैं। पहले का अर्थ है सभी होस्ट, सभी पोर्ट 2222 कॉन्फ़िगरेशन पैरामीटर का उपयोग करते हैं। दूसरा कहता है कि होस्ट के लिए रीमोट सर्वर एक अलग उपयोगकर्ता नाम, पोर्ट, FQDN और IdentityFile का उपयोग किया जाना चाहिए।

एक कॉन्फ़िगरेशन फ़ाइल विशिष्ट होस्ट से कनेक्ट होने पर उन्नत कॉन्फ़िगरेशन को स्वचालित रूप से लागू करने की अनुमति देकर बहुत सारा टाइपिंग समय बचा सकती है।

SCP का उपयोग करके SSH पर फ़ाइलें कॉपी करना

SSH क्लाइंट फ़ाइलों की प्रतिलिपि बनाने के लिए दो अन्य बहुत उपयोगी टूल के साथ आता है एन्क्रिप्टेड एसएसएच कनेक्शन. एससीपी और एसएफटीपी कमांड के मानक उपयोग के उदाहरण के लिए नीचे देखें। ध्यान दें कि कई ssh विकल्प इन कमांड पर भी लागू होते हैं।

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

इस उदाहरण में फ़ाइल mypic.png में कॉपी किया गया रीमोट सर्वर एक फ़ोल्डर में /मीडिया/डेटा और इसका नाम बदल दिया गया mypic_2.png.

पोर्ट पैरामीटर में अंतर के बारे में मत भूलना। जब वे लॉन्च करते हैं तो बहुत से लोग यहीं पकड़े जाते हैं scp कमांड लाइन से. यहाँ पोर्ट पैरामीटर है -Pऔर नहीं -p, बिल्कुल एक ssh क्लाइंट की तरह! तुम भूल जाओगे, लेकिन चिंता मत करो, हर कोई भूल जाता है।

उन लोगों के लिए जो कंसोल से परिचित हैं ftp, कई कमांड समान हैं sftp. आप कर सकते हैं धक्का, रखना и lsजैसा दिल चाहता है.

sftp neo@remoteserver

व्यावहारिक उदाहरण

इनमें से कई उदाहरणों में, परिणाम विभिन्न तरीकों का उपयोग करके प्राप्त किए जा सकते हैं। जैसा कि हम सभी में होता है पाठ्यपुस्तकें और उदाहरणों में, व्यावहारिक उदाहरणों को प्राथमिकता दी जाती है जो बस अपना काम करते हैं।

1. एसएसएच सॉक्स प्रॉक्सी

SSH प्रॉक्सी सुविधा एक अच्छे कारण से नंबर 1 है। यह कई लोगों की तुलना में अधिक शक्तिशाली है और आपको वस्तुतः किसी भी एप्लिकेशन का उपयोग करके किसी भी सिस्टम तक पहुंच प्रदान करता है, जिस तक रिमोट सर्वर की पहुंच है। एक ssh क्लाइंट एक साधारण कमांड के साथ SOCKS प्रॉक्सी के माध्यम से ट्रैफ़िक को टनल कर सकता है। यह समझना महत्वपूर्ण है कि रिमोट सिस्टम पर ट्रैफ़िक रिमोट सर्वर से आएगा, यह वेब सर्वर लॉग में इंगित किया जाएगा।

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

यहां हम टीसीपी पोर्ट 8888 पर एक सॉक्स प्रॉक्सी चलाते हैं, दूसरा कमांड जांचता है कि पोर्ट श्रवण मोड में सक्रिय है। 127.0.0.1 इंगित करता है कि सेवा केवल लोकलहोस्ट पर चलती है। हम ईथरनेट या वाईफाई सहित सभी इंटरफेस पर सुनने के लिए थोड़ा अलग कमांड का उपयोग कर सकते हैं, यह हमारे नेटवर्क पर अन्य एप्लिकेशन (ब्राउज़र इत्यादि) को एसएसएच सॉक्स प्रॉक्सी के माध्यम से प्रॉक्सी सेवा से कनेक्ट करने की अनुमति देगा।

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

अब हम सॉक्स प्रॉक्सी से कनेक्ट करने के लिए ब्राउज़र को कॉन्फ़िगर कर सकते हैं। फ़ायरफ़ॉक्स में, चुनें सेटिंग्स | बुनियादी | संजाल विन्यास. कनेक्ट करने के लिए आईपी पता और पोर्ट निर्दिष्ट करें।

कृपया फ़ॉर्म के नीचे दिए गए विकल्प पर ध्यान दें ताकि आपके ब्राउज़र के DNS अनुरोध SOCKS प्रॉक्सी से गुजर सकें। यदि आप अपने स्थानीय नेटवर्क पर वेब ट्रैफ़िक को एन्क्रिप्ट करने के लिए प्रॉक्सी सर्वर का उपयोग कर रहे हैं, तो आप संभवतः इस विकल्प का चयन करना चाहेंगे ताकि DNS अनुरोधों को SSH कनेक्शन के माध्यम से टनल किया जा सके।

क्रोम में सॉक्स प्रॉक्सी सक्रिय करना

कुछ कमांड लाइन मापदंडों के साथ क्रोम लॉन्च करने से सॉक्स प्रॉक्सी सक्षम हो जाएगी, साथ ही ब्राउज़र से डीएनएस अनुरोधों को टनल किया जा सकेगा। भरोसा करें लेकिन जांचें. उपयोग टीसीपीडम्प यह जाँचने के लिए कि DNS क्वेरीज़ अब दिखाई नहीं दे रही हैं।

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

प्रॉक्सी के साथ अन्य एप्लिकेशन का उपयोग करना

ध्यान रखें कि कई अन्य एप्लिकेशन भी सॉक्स प्रॉक्सी का उपयोग कर सकते हैं। वेब ब्राउज़र उन सभी में सबसे लोकप्रिय है। कुछ एप्लिकेशन में प्रॉक्सी सर्वर को सक्षम करने के लिए कॉन्फ़िगरेशन विकल्प होते हैं। दूसरों को सहायक कार्यक्रम में थोड़ी सहायता की आवश्यकता है। उदाहरण के लिए, प्रॉक्सीचेन आपको सॉक्स प्रॉक्सी Microsoft RDP इत्यादि के माध्यम से चलाने की अनुमति देता है।

localhost:~$ proxychains rdesktop $RemoteWindowsServer

सॉक्स प्रॉक्सी कॉन्फ़िगरेशन पैरामीटर प्रॉक्सीचेन्स कॉन्फ़िगरेशन फ़ाइल में सेट किए गए हैं।

संकेत: यदि आप विंडोज़ पर लिनक्स से रिमोट डेस्कटॉप का उपयोग करते हैं? ग्राहक का प्रयास करें फ्रीआरडीपी. यह उससे भी अधिक आधुनिक कार्यान्वयन है rdesktop, बहुत सहज अनुभव के साथ।

मोजे प्रॉक्सी के माध्यम से एसएसएच का उपयोग करने का विकल्प

आप किसी कैफे या होटल में बैठे हैं - और अविश्वसनीय वाईफाई का उपयोग करने के लिए मजबूर हैं। हम लैपटॉप से स्थानीय रूप से एक एसएसएच प्रॉक्सी लॉन्च करते हैं और स्थानीय रासबेरी पाई पर होम नेटवर्क में एक एसएसएच सुरंग स्थापित करते हैं। सॉक्स प्रॉक्सी के लिए कॉन्फ़िगर किए गए ब्राउज़र या अन्य एप्लिकेशन का उपयोग करके, हम अपने होम नेटवर्क पर किसी भी नेटवर्क सेवाओं तक पहुंच सकते हैं या अपने होम कनेक्शन के माध्यम से इंटरनेट तक पहुंच सकते हैं। आपके लैपटॉप और आपके होम सर्वर (आपके घर में वाई-फाई और इंटरनेट के माध्यम से) के बीच सब कुछ एक एसएसएच सुरंग में एन्क्रिप्ट किया गया है।

2. एसएसएच सुरंग (पोर्ट अग्रेषण)

अपने सरलतम रूप में, एक SSH सुरंग बस आपके स्थानीय सिस्टम पर एक पोर्ट खोलती है जो सुरंग के दूसरे छोर पर दूसरे पोर्ट से जुड़ती है।

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

आइए पैरामीटर देखें -L. इसे सुनने का स्थानीय पक्ष माना जा सकता है। तो उपरोक्त उदाहरण में, पोर्ट 9999 लोकलहोस्ट साइड पर सुन रहा है और पोर्ट 80 के माध्यम से रिमोटसर्वर को अग्रेषित किया गया है। कृपया ध्यान दें कि 127.0.0.1 रिमोट सर्वर पर लोकलहोस्ट को संदर्भित करता है!

आइए कदम ऊपर चलें. निम्नलिखित उदाहरण स्थानीय नेटवर्क पर अन्य होस्ट के साथ लिसनिंग पोर्ट का संचार करता है।

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

इन उदाहरणों में हम वेब सर्वर पर एक पोर्ट से कनेक्ट हो रहे हैं, लेकिन यह एक प्रॉक्सी सर्वर या कोई अन्य टीसीपी सेवा हो सकती है।

3. तीसरे पक्ष के होस्ट के लिए SSH सुरंग

हम किसी दूरस्थ सर्वर से किसी तीसरे सिस्टम पर चलने वाली किसी अन्य सेवा से सुरंग को जोड़ने के लिए समान मापदंडों का उपयोग कर सकते हैं।

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

इस उदाहरण में, हम एक टनल को रिमोटसर्वर से 10.10.10.10 पर चलने वाले वेब सर्वर पर रीडायरेक्ट कर रहे हैं। रिमोटसर्वर से 10.10.10.10 तक ट्रैफ़िक अब SSH सुरंग में नहीं है. 10.10.10.10 पर वेब सर्वर रिमोटसर्वर को वेब अनुरोधों का स्रोत मानेगा।

4. रिवर्स एसएसएच सुरंग

यहां हम रिमोट सर्वर पर एक लिसनिंग पोर्ट कॉन्फ़िगर करेंगे जो हमारे लोकलहोस्ट (या अन्य सिस्टम) पर स्थानीय पोर्ट से वापस कनेक्ट होगा।

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

यह एसएसएच सत्र रिमोटसर्वर पर पोर्ट 1999 से हमारे स्थानीय क्लाइंट पर पोर्ट 902 तक एक कनेक्शन स्थापित करता है।

5. एसएसएच रिवर्स प्रॉक्सी

इस मामले में, हम अपने एसएसएच कनेक्शन पर एक सॉक्स प्रॉक्सी स्थापित कर रहे हैं, लेकिन प्रॉक्सी सर्वर के दूरस्थ छोर पर सुन रहा है। इस दूरस्थ प्रॉक्सी के कनेक्शन अब सुरंग से हमारे लोकलहोस्ट के ट्रैफ़िक के रूप में दिखाई देते हैं।

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

दूरस्थ SSH सुरंगों के साथ समस्याओं का निवारण

यदि आपको दूरस्थ SSH विकल्पों के काम करने में समस्या आ रही है, तो जाँच करें netstat, श्रवण पोर्ट किन अन्य इंटरफेस से जुड़ा है। हालाँकि हमने उदाहरणों में 0.0.0.0 दर्शाया है, लेकिन यदि मान गेटवेपोर्ट्स в sshd_config करने के लिए सेट नहीं, तो श्रोता केवल लोकलहोस्ट (127.0.0.1) से बंधा रहेगा।

सुरक्षा चेतावनी

कृपया ध्यान दें कि सुरंगों और सॉक्स प्रॉक्सी को खोलने से, आंतरिक नेटवर्क संसाधन अविश्वसनीय नेटवर्क (जैसे इंटरनेट!) तक पहुंच सकते हैं। यह एक गंभीर सुरक्षा जोखिम हो सकता है, इसलिए सुनिश्चित करें कि आप समझते हैं कि श्रोता क्या है और उनकी पहुंच किस तक है।

6. एसएसएच के माध्यम से वीपीएन स्थापित करना

हमले के तरीकों (पेंटेस्टर्स, आदि) के विशेषज्ञों के बीच एक सामान्य शब्द "नेटवर्क में एक आधार" है। एक बार जब एक सिस्टम पर कनेक्शन स्थापित हो जाता है, तो वह सिस्टम नेटवर्क तक आगे पहुंच के लिए प्रवेश द्वार बन जाता है। एक आधार जो आपको चौड़ाई में आगे बढ़ने की अनुमति देता है।

इस तरह की पकड़ के लिए हम SSH प्रॉक्सी का उपयोग कर सकते हैं प्रॉक्सीचेनहालाँकि, कुछ सीमाएँ हैं। उदाहरण के लिए, सॉकेट के साथ सीधे काम करना संभव नहीं होगा, इसलिए हम नेटवर्क के भीतर पोर्ट को स्कैन नहीं कर पाएंगे Nmap SYN.

इस अधिक उन्नत वीपीएन विकल्प का उपयोग करने से कनेक्शन कम हो जाता है स्तर 3. फिर हम मानक नेटवर्क रूटिंग का उपयोग करके आसानी से सुरंग के माध्यम से यातायात को रूट कर सकते हैं।

विधि का उपयोग करता है ssh, iptables, tun interfaces और रूटिंग.

सबसे पहले आपको इन पैरामीटर्स को सेट करना होगा sshd_config. चूँकि हम रिमोट और क्लाइंट सिस्टम दोनों के इंटरफेस में बदलाव कर रहे हैं, हम दोनों तरफ मूल अधिकारों की आवश्यकता है.

PermitRootLogin yes
PermitTunnel yes

फिर हम उस पैरामीटर का उपयोग करके एक एसएसएच कनेक्शन स्थापित करेंगे जो ट्यून उपकरणों के आरंभीकरण का अनुरोध करता है।

localhost:~# ssh -v -w any root@remoteserver

इंटरफ़ेस दिखाते समय अब हमारे पास एक ट्यून डिवाइस होना चाहिए (# ip a). अगला चरण टनल इंटरफेस में आईपी पते जोड़ देगा।

एसएसएच ग्राहक पक्ष:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

एसएसएच सर्वर साइड:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

अब हमारे पास दूसरे होस्ट के लिए सीधा रास्ता है (route -n и ping 10.10.10.10).

आप किसी भी सबनेट को दूसरी तरफ के होस्ट के माध्यम से रूट कर सकते हैं।

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

रिमोट साइड पर आपको सक्षम करना होगा ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

बूम! नेटवर्क परत 3 पर एसएसएच सुरंग पर वीपीएन. अब यह एक जीत है.

यदि कोई समस्या हो तो प्रयोग करें टीसीपीडम्प и pingकारण निर्धारित करने के लिए. चूँकि हम लेयर 3 पर खेल रहे हैं, हमारे आईसीएमपी पैकेट इस सुरंग से होकर गुजरेंगे।

7. SSH कुंजी कॉपी करें (ssh-copy-id)

ऐसा करने के कई तरीके हैं, लेकिन यह कमांड फ़ाइलों को मैन्युअल रूप से कॉपी न करके समय बचाता है। यह बस आपके सिस्टम से ~/.ssh/id_rsa.pub (या डिफ़ॉल्ट कुंजी) को कॉपी करता है ~/.ssh/authorized_keys एक दूरस्थ सर्वर पर.

localhost:~$ ssh-copy-id user@remoteserver

8. रिमोट कमांड निष्पादन (गैर-इंटरैक्टिव)

टीम ssh एक सामान्य, उपयोगकर्ता-अनुकूल इंटरफ़ेस के लिए अन्य कमांड से जोड़ा जा सकता है। बस वह कमांड जोड़ें जिसे आप रिमोट होस्ट पर उद्धरण चिह्नों में अंतिम पैरामीटर के रूप में चलाना चाहते हैं।

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

इस उदाहरण में grep एसएसएच चैनल के माध्यम से लॉग डाउनलोड होने के बाद स्थानीय सिस्टम पर निष्पादित किया गया। यदि फ़ाइल बड़ी है, तो उसे चलाना अधिक सुविधाजनक है grep दोनों आदेशों को दोहरे उद्धरण चिह्नों में संलग्न करके दूरस्थ पक्ष पर।

एक अन्य उदाहरण भी वही कार्य करता है ssh-copy-id उदाहरण 7 से.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. वायरशार्क में रिमोट पैकेट कैप्चर और देखना

मैंने हमारा एक ले लिया टीसीपीडम्प उदाहरण. पैकेटों को दूरस्थ रूप से कैप्चर करने और परिणामों को सीधे स्थानीय वायरशार्क जीयूआई में प्रदर्शित करने के लिए इसका उपयोग करें।

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. SSH के माध्यम से एक स्थानीय फ़ोल्डर को दूरस्थ सर्वर पर कॉपी करना

एक अच्छी ट्रिक जो किसी फ़ोल्डर का उपयोग करके उसे संपीड़ित करती है bzip2 (यह कमांड में -j विकल्प है tar), और फिर स्ट्रीम को पुनः प्राप्त करता है bzip2 दूसरी ओर, रिमोट सर्वर पर एक डुप्लिकेट फ़ोल्डर बनाना।

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. SSH X11 फ़ॉरवर्डिंग के साथ रिमोट GUI एप्लिकेशन

यदि X क्लाइंट और रिमोट सर्वर पर स्थापित है, तो आप अपने स्थानीय डेस्कटॉप पर एक विंडो के साथ GUI कमांड को दूरस्थ रूप से निष्पादित कर सकते हैं। यह सुविधा काफी समय से मौजूद है, लेकिन अभी भी बहुत उपयोगी है। एक दूरस्थ वेब ब्राउज़र या यहां तक कि VMWawre वर्कस्टेशन कंसोल लॉन्च करें जैसा कि मैंने इस उदाहरण में किया है।

localhost:~$ ssh -X remoteserver vmware

आवश्यक स्ट्रिंग X11Forwarding yes फाइल मैं sshd_config.

12. rsync और SSH का उपयोग करके दूरस्थ फ़ाइल प्रतिलिपि बनाना

rsync बहुत अधिक सुविधाजनक scp, यदि आपको किसी निर्देशिका, बड़ी संख्या में फ़ाइलों, या बहुत बड़ी फ़ाइलों के आवधिक बैकअप की आवश्यकता है। स्थानांतरण विफलता से उबरने और केवल परिवर्तित फ़ाइलों की प्रतिलिपि बनाने के लिए एक फ़ंक्शन है, जो ट्रैफ़िक और समय बचाता है।

यह उदाहरण संपीड़न का उपयोग करता है gzip (-z) और संग्रह मोड (-a), जो पुनरावर्ती प्रतिलिपि को सक्षम बनाता है।

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. टोर नेटवर्क पर एसएसएच

अनाम टोर नेटवर्क कमांड का उपयोग करके एसएसएच ट्रैफिक को टनल कर सकता है torsocks. निम्नलिखित कमांड टोर के माध्यम से एसएसएच प्रॉक्सी को पास करेगा।

localhost:~$ torsocks ssh myuntracableuser@remoteserver

टॉर्सॉक्स प्रॉक्सी के लिए लोकलहोस्ट पर पोर्ट 9050 का उपयोग करेगा। हमेशा की तरह, टोर का उपयोग करते समय आपको गंभीरता से जांचने की ज़रूरत है कि कौन सा ट्रैफ़िक टनल किया जा रहा है और अन्य परिचालन सुरक्षा (ऑप्सेक) मुद्दे। आपकी DNS क्वेरीज़ कहाँ जाती हैं?

14. SSH से EC2 उदाहरण

EC2 इंस्टेंस से कनेक्ट करने के लिए, आपको एक निजी कुंजी की आवश्यकता है। इसे (.pem एक्सटेंशन) Amazon EC2 कंट्रोल पैनल से डाउनलोड करें और अनुमतियाँ बदलें (chmod 400 my-ec2-ssh-key.pem). चाबी को सुरक्षित स्थान पर रखें या अपने फ़ोल्डर में रखें ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

प्राचल -i बस एसएसएच क्लाइंट को इस कुंजी का उपयोग करने के लिए कहता है। फ़ाइल ~/.ssh/config ec2 होस्ट से कनेक्ट करते समय कुंजी उपयोग को स्वचालित रूप से कॉन्फ़िगर करने के लिए आदर्श।

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. ssh/scp के माध्यम से VIM का उपयोग करके टेक्स्ट फ़ाइलों को संपादित करना

सभी प्रेमियों के लिए vim इस टिप से कुछ समय की बचत होगी. का उपयोग करके vim फ़ाइलों को एक कमांड के साथ एससीपी के माध्यम से संपादित किया जाता है। यह विधि बस स्थानीय रूप से फ़ाइल बनाती है /tmpऔर एक बार जब हम इसे सहेज लेते हैं तो इसे वापस कॉपी कर लेते हैं vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

ध्यान दें: प्रारूप सामान्य से थोड़ा अलग है scp. मेजबान के बाद हमारे पास दोगुना है //. यह एक पूर्ण पथ संदर्भ है. एक स्लैश आपके होम फ़ोल्डर से संबंधित पथ को इंगित करेगा users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

यदि आपको यह त्रुटि दिखाई देती है, तो कमांड प्रारूप की दोबारा जाँच करें। इसका मतलब आमतौर पर एक वाक्यविन्यास त्रुटि है।

16. SSHFS के साथ एक दूरस्थ SSH को स्थानीय फ़ोल्डर के रूप में माउंट करना

के द्वारा sshfs - फ़ाइल सिस्टम क्लाइंट ssh - हम एक एन्क्रिप्टेड सत्र में सभी फ़ाइल इंटरैक्शन के साथ एक स्थानीय निर्देशिका को दूरस्थ स्थान से जोड़ सकते हैं ssh.

localhost:~$ apt install sshfs

उबंटू और डेबियन पर पैकेज स्थापित करें sshfs, और फिर बस दूरस्थ स्थान को हमारे सिस्टम पर माउंट करें।

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. कंट्रोलपाथ के साथ एसएसएच मल्टीप्लेक्सिंग

डिफ़ॉल्ट रूप से, यदि किसी दूरस्थ सर्वर का उपयोग करने के लिए कोई मौजूदा कनेक्शन है ssh दूसरा कनेक्शन का उपयोग कर रहा हूँ ssh या scp अतिरिक्त प्रमाणीकरण के साथ एक नया सत्र स्थापित करता है। विकल्प ControlPath मौजूदा सत्र को बाद के सभी कनेक्शनों के लिए उपयोग करने की अनुमति देता है। इससे प्रक्रिया काफी तेज हो जाएगी: प्रभाव स्थानीय नेटवर्क पर भी ध्यान देने योग्य है, और दूरस्थ संसाधनों से कनेक्ट होने पर और भी अधिक।

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

कंट्रोलपाथ नए कनेक्शन की जांच करने के लिए सॉकेट निर्दिष्ट करता है ताकि यह देखा जा सके कि कोई सक्रिय सत्र है या नहीं ssh. अंतिम विकल्प का मतलब है कि कंसोल से बाहर निकलने के बाद भी, मौजूदा सत्र 10 मिनट तक खुला रहेगा, इसलिए इस दौरान आप मौजूदा सॉकेट पर फिर से कनेक्ट कर सकते हैं। अधिक जानकारी के लिए सहायता देखें. ssh_config man.

18. वीएलसी और एसएफटीपी का उपयोग करके एसएसएच पर वीडियो स्ट्रीम करें

यहां तक कि लंबे समय के उपयोगकर्ता भी ssh и vlc (वीडियो लैन क्लाइंट) को हमेशा इस सुविधाजनक विकल्प के बारे में पता नहीं होता है जब आपको वास्तव में नेटवर्क पर वीडियो देखने की आवश्यकता होती है। सेटिंग्स में फ़ाइल | नेटवर्क स्ट्रीम खोलें कार्यक्रमों vlc आप स्थान को इस प्रकार दर्ज कर सकते हैं sftp://. यदि पासवर्ड की आवश्यकता है, तो एक संकेत दिखाई देगा।

sftp://remoteserver//media/uploads/myvideo.mkv

19. दो-कारक प्रमाणीकरण

आपके बैंक खाते या Google खाते के समान ही दो-कारक प्रमाणीकरण SSH सेवा पर लागू होता है।

बेशक, ssh प्रारंभ में इसमें दो-कारक प्रमाणीकरण फ़ंक्शन होता है, जिसका अर्थ है एक पासवर्ड और एक SSH कुंजी। हार्डवेयर टोकन या Google प्रमाणक ऐप का लाभ यह है कि यह आमतौर पर एक अलग भौतिक उपकरण होता है।

हमारी 8-मिनट की मार्गदर्शिका देखें Google प्रमाणक और SSH का उपयोग करना.

20. एसएसएच और -जे के साथ जंपिंग होस्ट

यदि नेटवर्क विभाजन का मतलब है कि आपको अंतिम गंतव्य नेटवर्क तक पहुंचने के लिए कई एसएसएच होस्ट से गुजरना होगा, तो -जे शॉर्टकट आपका समय बचाएगा।

localhost:~$ ssh -J host1,host2,host3 [email protected]

यहां समझने वाली मुख्य बात यह है कि यह कमांड के समान नहीं है ssh host1, फिर user@host1:~$ ssh host2 आदि। -J विकल्प चतुराई से लोकलहोस्ट को श्रृंखला में अगले होस्ट के साथ एक सत्र स्थापित करने के लिए बाध्य करने के लिए फ़ॉरवर्डिंग का उपयोग करता है। तो उपरोक्त उदाहरण में, हमारा लोकलहोस्ट होस्ट4 के लिए प्रमाणित है। यानी, हमारी लोकलहोस्ट कुंजियों का उपयोग किया जाता है, और लोकलहोस्ट से होस्ट4 तक का सत्र पूरी तरह से एन्क्रिप्टेड होता है।

ऐसी संभावना के लिए ssh_config कॉन्फ़िगरेशन विकल्प निर्दिष्ट करें प्रॉक्सीजम्प. यदि आपको नियमित रूप से कई होस्ट से गुजरना पड़ता है, तो कॉन्फ़िगरेशन के माध्यम से स्वचालन से बहुत समय की बचत होगी।

21. आईपीटेबल्स का उपयोग करके एसएसएच क्रूर बल प्रयासों को ब्लॉक करें

जिस किसी ने भी एसएसएच सेवा का प्रबंधन किया है और लॉग्स को देखा है, वह हर दिन हर घंटे होने वाले क्रूर बल प्रयासों की संख्या के बारे में जानता है। लॉग में शोर को कम करने का एक त्वरित तरीका एसएसएच को गैर-मानक पोर्ट पर ले जाना है। फ़ाइल में परिवर्तन करें sshd_config कॉन्फ़िगरेशन पैरामीटर के माध्यम से पत्तन##.

साथ iptables आप एक निश्चित सीमा तक पहुंचने पर पोर्ट से कनेक्ट करने के प्रयासों को आसानी से ब्लॉक भी कर सकते हैं। ऐसा करने का एक आसान तरीका उपयोग करना है OSSEC, क्योंकि यह न केवल एसएसएच को अवरुद्ध करता है, बल्कि अन्य होस्टनाम-आधारित घुसपैठ का पता लगाने (एचआईडीएस) उपायों का एक समूह भी करता है।

22. पोर्ट फ़ॉरवर्डिंग बदलने के लिए SSH एस्केप

और हमारा आखिरी उदाहरण ssh मौजूदा सत्र के भीतर तुरंत पोर्ट फ़ॉरवर्डिंग बदलने के लिए डिज़ाइन किया गया ssh. इस परिदृश्य की कल्पना करें. आप नेटवर्क में गहरे हैं; हो सकता है कि आधा दर्जन से अधिक होस्ट हो गए हों और वर्कस्टेशन पर एक स्थानीय पोर्ट की आवश्यकता हो जो पुराने विंडोज 2003 सिस्टम के माइक्रोसॉफ्ट एसएमबी को अग्रेषित किया गया हो (क्या किसी को एमएस08-67 याद है?)।

क्लिक करना enter, कंसोल में प्रवेश करने का प्रयास करें ~C. यह एक सत्र नियंत्रण अनुक्रम है जो आपको मौजूदा कनेक्शन में परिवर्तन करने की अनुमति देता है।

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

यहां आप देख सकते हैं कि हमने अपने स्थानीय पोर्ट 1445 को विंडोज़ 2003 होस्ट पर अग्रेषित कर दिया है जो हमें आंतरिक नेटवर्क पर मिला था। अब बस भागो msfconsole, और आप आगे बढ़ सकते हैं (यह मानते हुए कि आप इस होस्ट का उपयोग करने की योजना बना रहे हैं)।

समापन

ये उदाहरण, युक्तियाँ और आदेश ssh एक प्रारंभिक बिंदु देना चाहिए; प्रत्येक कमांड और क्षमताओं के बारे में अधिक जानकारी मैन पेज पर उपलब्ध है (man ssh, man ssh_config, man sshd_config).

मैं दुनिया में कहीं भी सिस्टम तक पहुंचने और कमांड निष्पादित करने की क्षमता से हमेशा आकर्षित रहा हूं। जैसे उपकरणों के साथ अपने कौशल को विकसित करके ssh आप जो भी खेल खेलेंगे उसमें आप अधिक प्रभावी हो जायेंगे।

स्रोत: www.habr.com

व्यावहारिक सुझाव, उदाहरण और एसएसएच सुरंगें