პრაქტიკული მაგალითები სშჰ, რომელიც თქვენს უნარებს, როგორც დისტანციური სისტემის ადმინისტრატორის, ახალ დონეზე გადაიყვანს. ბრძანებები და რჩევები დაგეხმარებათ არა მხოლოდ გამოყენებაში SSH, არამედ უფრო კომპეტენტურად ნავიგაცია ქსელში.

რამდენიმე ხრიკის ცოდნა ssh სასარგებლოა ნებისმიერი სისტემის ადმინისტრატორისთვის, ქსელის ინჟინრისთვის ან უსაფრთხოების სპეციალისტისთვის.

პრაქტიკული SSH მაგალითები

1. SSH წინდების პროქსი
2. SSH გვირაბი (პორტის გადამისამართება)
3. SSH გვირაბი მესამე მასპინძელამდე
4. უკუ SSH გვირაბი
5. SSH საპირისპირო პროქსი
6. VPN-ის ინსტალაცია SSH-ზე
7. SSH გასაღების კოპირება (ssh-copy-id)
8. დისტანციური ბრძანების შესრულება (არაინტერაქტიული)
9. დისტანციური პაკეტის აღება და ნახვა Wireshark-ში
10. ადგილობრივი საქაღალდის კოპირება დისტანციურ სერვერზე SSH-ის საშუალებით
11. დისტანციური GUI პროგრამები SSH X11 გადამისამართებით
12. ფაილის დისტანციური კოპირება rsync და SSH გამოყენებით
13. SSH Tor ქსელის მეშვეობით
14. SSH EC2 მაგალითზე
15. ტექსტური ფაილების რედაქტირება VIM-ის გამოყენებით ssh/scp-ის საშუალებით
16. დააინსტალირეთ დისტანციური SSH როგორც ლოკალური საქაღალდე SSHFS-ით
17. SSH მულტიპლექსირება ControlPath-ით
18. ვიდეოს სტრიმინგი SSH-ზე VLC და SFTP გამოყენებით
19. ორი ფაქტორიანი ავთენტიფიკაცია
20. ხტომა მასპინძლები SSH-ით და -J
21. SSH უხეში ძალის მცდელობების დაბლოკვა iptables-ის გამოყენებით
22. SSH Escape პორტის გადამისამართების შესაცვლელად

ჯერ საფუძვლები

SSH ბრძანების ხაზის ანალიზი

შემდეგი მაგალითი იყენებს საერთო პარამეტრებს, რომლებიც ხშირად გვხვდება დისტანციურ სერვერთან დაკავშირებისას SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: გამომავალი გამართვა განსაკუთრებით სასარგებლოა ავთენტიფიკაციის პრობლემების ანალიზისას. შეიძლება გამოყენებულ იქნას არაერთხელ დამატებითი ინფორმაციის საჩვენებლად.
• - p 22: კავშირის პორტი დისტანციურ SSH სერვერზე. 22 არ უნდა იყოს მითითებული, რადგან ეს არის ნაგულისხმევი მნიშვნელობა, მაგრამ თუ პროტოკოლი სხვა პორტზეა, მაშინ მას პარამეტრის გამოყენებით ვაზუსტებთ -p. მოსასმენი პორტი მითითებულია ფაილში sshd_config ფორმატში Port 2222.
• -C: შეკუმშვა კავშირისთვის. თუ თქვენ გაქვთ ნელი კავშირი ან უყურებთ ბევრ ტექსტს, ამან შეიძლება დააჩქაროს კავშირი.
• neo@: ხაზი @ სიმბოლოს წინ მიუთითებს მომხმარებლის სახელს დისტანციურ სერვერზე ავთენტიფიკაციისთვის. თუ ამას არ მიუთითებთ, ის ნაგულისხმევად იქნება იმ ანგარიშის მომხმარებლის სახელი, რომელშიც ამჟამად ხართ შესული (~$whoami). მომხმარებლის ასევე შეიძლება დაზუსტდეს პარამეტრის გამოყენებით -l.
• remoteserver: მასპინძლის სახელი დასაკავშირებლად ssh, ეს შეიძლება იყოს სრულად კვალიფიციური დომენის სახელი, IP მისამართი ან ნებისმიერი ჰოსტი ლოკალური ჰოსტების ფაილში. ჰოსტთან დასაკავშირებლად, რომელიც მხარს უჭერს ორივე IPv4 და IPv6, შეგიძლიათ დაამატოთ პარამეტრი ბრძანების სტრიქონში -4 ან -6 სათანადო გადაწყვეტისთვის.

ყველა ზემოთ ჩამოთვლილი პარამეტრი არჩევითია გარდა remoteserver.

კონფიგურაციის ფაილის გამოყენებით

მიუხედავად იმისა, რომ ბევრი იცნობს ფაილს sshd_config, ასევე არის კლიენტის კონფიგურაციის ფაილი ბრძანებისთვის ssh. ნაგულისხმევი მნიშვნელობა ~/.ssh/config, მაგრამ ის შეიძლება განისაზღვროს, როგორც პარამეტრი ვარიანტისთვის -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

ზემოთ მოყვანილი ssh კონფიგურაციის ფაილში ორი ჰოსტის ჩანაწერია. პირველი ნიშნავს ყველა ჰოსტს, ყველა იყენებს Port 2222 კონფიგურაციის პარამეტრს. მეორე ამბობს, რომ ჰოსტისთვის. დისტანციური სერვერი უნდა იყოს გამოყენებული სხვა მომხმარებლის სახელი, პორტი, FQDN და IdentityFile.

კონფიგურაციის ფაილს შეუძლია დაზოგოს აკრეფის დიდი დრო, გაფართოებული კონფიგურაციის ავტომატურად გამოყენების საშუალებას კონკრეტულ ჰოსტებთან დაკავშირებისას.

ფაილების კოპირება SSH-ზე SCP-ის გამოყენებით

SSH კლიენტს გააჩნია ორი სხვა ძალიან მოსახერხებელი ინსტრუმენტი ფაილების კოპირებისთვის დაშიფრული ssh კავშირი. ქვემოთ იხილეთ scp და sftp ბრძანებების სტანდარტული გამოყენების მაგალითი. გაითვალისწინეთ, რომ ბევრი ssh ვარიანტი ვრცელდება ამ ბრძანებებზეც.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

ამ მაგალითში ფაილი mypic.png გადაწერა დისტანციური სერვერი საქაღალდეში /მედია/მონაცემები და გადაერქვა mypic_2.png.

არ დაივიწყოთ განსხვავება პორტის პარამეტრებში. ეს არის სადაც ბევრი ადამიანი იჭერს, როდესაც ისინი გაშვებას აპირებენ scp ბრძანების ხაზიდან. აქ არის პორტის პარამეტრი -Pდა არა -p, ისევე როგორც ssh კლიენტში! დაივიწყებ, მაგრამ არ ინერვიულო, ყველას ავიწყდება.

მათთვის, ვინც კარგად იცნობს კონსოლს ftp, ბევრი ბრძანება მსგავსია sftp. შეგიძლიათ გააკეთოთ დააყენებს, ბოლო и lsროგორც გული სურს.

sftp neo@remoteserver

პრაქტიკული მაგალითები

ამ მაგალითებიდან ბევრში, შედეგების მიღწევა შესაძლებელია სხვადასხვა მეთოდის გამოყენებით. როგორც ყველა ჩვენში სახელმძღვანელოები და მაგალითები, უპირატესობა ენიჭება პრაქტიკულ მაგალითებს, რომლებიც უბრალოდ ასრულებენ თავიანთ საქმეს.

1. SSH წინდების პროქსი

SSH Proxy ფუნქცია არის ნომერი 1 კარგი მიზეზის გამო. ის უფრო მძლავრია, ვიდრე ბევრი ფიქრობს და გაძლევთ წვდომას ნებისმიერ სისტემაზე, რომელზეც დისტანციურ სერვერს აქვს წვდომა, პრაქტიკულად ნებისმიერი აპლიკაციის გამოყენებით. ssh კლიენტს შეუძლია გვირაბის ტრაფიკი SOCKS პროქსის მეშვეობით ერთი მარტივი ბრძანებით. მნიშვნელოვანია გვესმოდეს, რომ დისტანციურ სისტემებზე ტრაფიკი მოვა დისტანციური სერვერიდან, ეს მითითებული იქნება ვებ სერვერის ჟურნალებში.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

აქ ჩვენ ვაწარმოებთ socks proxy-ს TCP პორტზე 8888, მეორე ბრძანება ამოწმებს, რომ პორტი აქტიურია მოსმენის რეჟიმში. 127.0.0.1 მიუთითებს, რომ სერვისი მუშაობს მხოლოდ ლოკალჰოსტზე. ჩვენ შეგვიძლია გამოვიყენოთ ოდნავ განსხვავებული ბრძანება ყველა ინტერფეისის მოსასმენად, მათ შორის Ethernet ან wifi, ეს საშუალებას მისცემს ჩვენს ქსელში არსებულ სხვა აპლიკაციებს (ბრაუზერები და ა.შ.) დაუკავშირდნენ პროქსი სერვისს ssh socks proxy-ის მეშვეობით.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

ახლა ჩვენ შეგვიძლია დავაკონფიგურიროთ ბრაუზერი წინდების პროქსისთან დასაკავშირებლად. Firefox-ში აირჩიეთ პარამეტრები | ძირითადი | Ქსელის პარამეტრები. მიუთითეთ IP მისამართი და პორტი დასაკავშირებლად.

გთხოვთ, გაითვალისწინოთ ფორმის ბოლოში არსებული ვარიანტი, რომ თქვენი ბრაუზერის DNS მოთხოვნები ასევე გაიაროს SOCKS პროქსი. თუ თქვენ იყენებთ პროქსი სერვერს თქვენს ლოკალურ ქსელში ვებ ტრაფიკის დაშიფვრად, ალბათ გსურთ აირჩიოთ ეს პარამეტრი ისე, რომ DNS მოთხოვნები გვირაბი იყოს SSH კავშირის საშუალებით.

წინდების პროქსის გააქტიურება Chrome-ში

Chrome-ის გაშვება ბრძანების ხაზის გარკვეული პარამეტრებით ჩართავს socks proxy-ს, ასევე ბრაუზერიდან DNS-ის მოთხოვნების გვირაბის გაშვებას. ენდე, მაგრამ შეამოწმე. გამოყენება tcpdump შეამოწმეთ, რომ DNS მოთხოვნები აღარ ჩანს.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

სხვა აპლიკაციების გამოყენება პროქსით

გაითვალისწინეთ, რომ ბევრ სხვა აპლიკაციას ასევე შეუძლია გამოიყენოს წინდების პროქსი. ვებ ბრაუზერი უბრალოდ მათგან ყველაზე პოპულარულია. ზოგიერთ აპლიკაციას აქვს კონფიგურაციის პარამეტრები პროქსი სერვერის გასააქტიურებლად. სხვებს სჭირდებათ მცირე დახმარება დამხმარე პროგრამით. Მაგალითად, მარიონეტული ჯაჭვები საშუალებას გაძლევთ გაუშვათ წინდების პროქსი Microsoft RDP და ა.შ.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Socks proxy-ის კონფიგურაციის პარამეტრები დაყენებულია proxychains-ის კონფიგურაციის ფაილში.

მინიშნება: თუ იყენებთ დისტანციურ დესკტოპს Linux-დან Windows-ზე? სცადეთ კლიენტი FreeRDP. ეს უფრო თანამედროვე განხორციელებაა ვიდრე rdesktop, ბევრად უფრო რბილი გამოცდილებით.

SSH-ის გამოყენების შესაძლებლობა წინდების პროქსის საშუალებით

თქვენ ზიხართ კაფეში ან სასტუმროში - და იძულებული ხართ გამოიყენოთ საკმაოდ არასანდო WiFi. ჩვენ გავუშვით ssh პროქსი ლოკალურად ლეპტოპიდან და ვაინსტალირებთ ssh გვირაბს სახლის ქსელში ადგილობრივ Rasberry Pi-ზე. ბრაუზერის ან სხვა აპლიკაციების გამოყენებით, რომლებიც კონფიგურირებულია წინდების პროქსისთვის, ჩვენ შეგვიძლია წვდომა ნებისმიერ ქსელურ სერვისზე ჩვენი სახლის ქსელში ან ინტერნეტში წვდომა ჩვენი სახლის კავშირის საშუალებით. ყველაფერი თქვენს ლეპტოპსა და სახლის სერვერს შორის (Wi-Fi და ინტერნეტით თქვენს სახლში) დაშიფრულია SSH გვირაბში.

2. SSH გვირაბი (პორტის გადამისამართება)

უმარტივესი ფორმით, SSH გვირაბი უბრალოდ ხსნის პორტს თქვენს ლოკალურ სისტემაზე, რომელიც აკავშირებს სხვა პორტს გვირაბის მეორე ბოლოში.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

მოდით შევხედოთ პარამეტრს -L. ის შეიძლება ჩაითვალოს მოსმენის ლოკალურ მხარედ. ასე რომ, ზემოთ მოყვანილ მაგალითში, პორტი 9999 უსმენს ლოკალური ჰოსტის მხარეს და გადაგზავნილია 80 პორტის მეშვეობით დისტანციურ სერვერზე. გთხოვთ გაითვალისწინოთ, რომ 127.0.0.1 ეხება ლოკალჰოსტს დისტანციურ სერვერზე!

ავიდეთ საფეხურზე. შემდეგი მაგალითი აკავშირებს მოსმენის პორტებს ლოკალურ ქსელში არსებულ სხვა ჰოსტებთან.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

ამ მაგალითებში ჩვენ ვუკავშირდებით პორტს ვებ სერვერზე, მაგრამ ეს შეიძლება იყოს პროქსი სერვერი ან სხვა TCP სერვისი.

3. SSH გვირაბი მესამე მხარის მასპინძელთან

ჩვენ შეგვიძლია გამოვიყენოთ იგივე პარამეტრები დისტანციური სერვერიდან გვირაბის დასაკავშირებლად სხვა სერვისზე, რომელიც მუშაობს მესამე სისტემაზე.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

ამ მაგალითში, ჩვენ გადამისამართებთ გვირაბს დისტანციური სერვერიდან ვებ სერვერზე, რომელიც მუშაობს 10.10.10.10. ტრაფიკი დისტანციური სერვერიდან 10.10.10.10-მდე აღარ არის SSH გვირაბში. ვებ სერვერი 10.10.10.10 განიხილავს დისტანციურ სერვერს ვებ მოთხოვნის წყაროდ.

4. უკუ SSH გვირაბი

აქ ჩვენ დავაკონფიგურირებთ მოსმენის პორტს დისტანციურ სერვერზე, რომელიც დაუკავშირდება ჩვენს ლოკალურ ჰოსტზე (ან სხვა სისტემას) ადგილობრივ პორტს.

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

ეს SSH სესია ამყარებს კავშირს 1999 წლის პორტიდან დისტანციურ სერვერზე 902 პორტთან ჩვენს ადგილობრივ კლიენტზე.

5. SSH Reverse Proxy

ამ შემთხვევაში, ჩვენ ვაყენებთ socks proxy-ს ჩვენს ssh კავშირზე, მაგრამ პროქსი უსმენს სერვერის დისტანციურ ბოლოში. კავშირები ამ დისტანციურ პროქსისთან ახლა გამოჩნდება გვირაბიდან, როგორც ტრაფიკი ჩვენი ლოკალური ჰოსტიდან.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

პრობლემების მოგვარება დისტანციური SSH გვირაბებით

თუ პრობლემები გაქვთ დისტანციური SSH პარამეტრების მუშაობასთან დაკავშირებით, შეამოწმეთ netstatსხვა რა ინტერფეისებთან არის დაკავშირებული მოსმენის პორტი. მართალია მაგალითებში მივუთითეთ 0.0.0.0, მაგრამ თუ მნიშვნელობა GatewayPorts в sshd_config დააყენეთ არა, მაშინ მსმენელი მიბმული იქნება მხოლოდ localhost-თან (127.0.0.1).

უსაფრთხოების გაფრთხილება

გთხოვთ, გაითვალისწინოთ, რომ გვირაბებისა და წინდების პროქსის გახსნით, შიდა ქსელის რესურსები შეიძლება იყოს ხელმისაწვდომი არასანდო ქსელებისთვის (როგორიცაა ინტერნეტი!). ეს შეიძლება იყოს უსაფრთხოების სერიოზული რისკი, ამიტომ დარწმუნდით, რომ გესმით, რა არის მსმენელი და რაზე აქვს მას წვდომა.

6. VPN-ის ინსტალაცია SSH-ის საშუალებით

თავდასხმის მეთოდების სპეციალისტებს შორის გავრცელებული ტერმინი (პენტესტერები და ა.შ.) არის „საყრდენი წერტილი ქსელში“. როდესაც კავშირი დამყარდება ერთ სისტემაზე, ეს სისტემა გახდება კარიბჭე ქსელში შემდგომი წვდომისთვის. საყრდენი წერტილი, რომელიც საშუალებას გაძლევთ გადაადგილდეთ სიგანეში.

ასეთი დასაყრდენისთვის შეგვიძლია გამოვიყენოთ SSH პროქსი და მარიონეტული ჯაჭვები, თუმცა არის გარკვეული შეზღუდვები. მაგალითად, შეუძლებელი იქნება უშუალოდ სოკეტებთან მუშაობა, ამიტომ ჩვენ ვერ შევძლებთ ქსელის შიგნით პორტების სკანირებას. Nmap SYN.

ამ უფრო მოწინავე VPN ვარიანტის გამოყენებით, კავშირი მცირდება დონე 3. ჩვენ შეგვიძლია უბრალოდ გავატაროთ ტრაფიკი გვირაბში სტანდარტული ქსელის მარშრუტიზაციის გამოყენებით.

მეთოდი იყენებს ssh, iptables, tun interfaces და მარშრუტიზაცია.

პირველ რიგში, თქვენ უნდა დააყენოთ ეს პარამეტრები sshd_config. ვინაიდან ჩვენ ვაკეთებთ ცვლილებებს როგორც დისტანციური, ასევე კლიენტური სისტემების ინტერფეისებში, ჩვენ სჭირდება root უფლებები ორივე მხრიდან.

PermitRootLogin yes
PermitTunnel yes

შემდეგ ჩვენ დავამყარებთ ssh კავშირს პარამეტრის გამოყენებით, რომელიც ითხოვს tun მოწყობილობების ინიციალიზაციას.

localhost:~# ssh -v -w any root@remoteserver

ახლა ჩვენ უნდა გვქონდეს tun მოწყობილობა ინტერფეისების ჩვენებისას (# ip a). შემდეგი ნაბიჯი დაამატებს IP მისამართებს გვირაბის ინტერფეისებში.

SSH კლიენტის მხარე:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH სერვერის მხარე:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

ახლა ჩვენ გვაქვს პირდაპირი მარშრუტი სხვა მასპინძლისკენ (route -n и ping 10.10.10.10).

შეგიძლიათ ნებისმიერი ქვექსელის მარშრუტი მეორე მხარეს ჰოსტის მეშვეობით.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

დისტანციურ მხარეს უნდა ჩართოთ ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

ბუმი! VPN SSH გვირაბზე ქსელის ფენაზე 3. ახლა ეს გამარჯვებაა.

თუ რაიმე პრობლემა წარმოიქმნება, გამოიყენეთ tcpdump и pingმიზეზის დასადგენად. ვინაიდან მე-3 ფენაზე ვთამაშობთ, ჩვენი icmp პაკეტები გაივლის ამ გვირაბს.

7. დააკოპირეთ SSH გასაღები (ssh-copy-id)

ამის გაკეთების რამდენიმე გზა არსებობს, მაგრამ ეს ბრძანება დაზოგავს დროს ფაილების ხელით არ კოპირებით. ის უბრალოდ აკოპირებს ~/.ssh/id_rsa.pub (ან ნაგულისხმევი გასაღები) თქვენი სისტემიდან ~/.ssh/authorized_keys დისტანციურ სერვერზე.

localhost:~$ ssh-copy-id user@remoteserver

8. დისტანციური ბრძანების შესრულება (არაინტერაქტიული)

გუნდი ssh შეიძლება დაუკავშირდეს სხვა ბრძანებებს საერთო, მოსახერხებელი ინტერფეისისთვის. უბრალოდ დაამატეთ ბრძანება, რომლის გაშვებაც გსურთ დისტანციურ ჰოსტზე, როგორც ბოლო პარამეტრს ბრჭყალებში.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

ამ მაგალითში grep შესრულებულია ლოკალურ სისტემაზე ჟურნალის ჩამოტვირთვის შემდეგ ssh არხის საშუალებით. თუ ფაილი დიდია, მისი გაშვება უფრო მოსახერხებელია grep დისტანციურ მხარეს, უბრალოდ ორივე ბრძანების ორმაგ ბრჭყალებში ჩასვით.

სხვა მაგალითი ასრულებს იგივე ფუნქციას, როგორც ssh-copy-id მაგალითი 7-დან.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. დისტანციური პაკეტის აღება და ნახვა Wireshark-ში

ერთი ჩვენი ავიღე tcpdump მაგალითები. გამოიყენეთ იგი პაკეტების დისტანციურად დასაჭერად და შედეგების პირდაპირ ადგილობრივ Wireshark GUI-ში საჩვენებლად.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. ლოკალური საქაღალდის კოპირება დისტანციურ სერვერზე SSH-ის საშუალებით

კარგი ხრიკი, რომელიც შეკუმშავს საქაღალდეს გამოყენებით bzip2 (ეს არის -j ვარიანტი ბრძანებაში tar), და შემდეგ იბრუნებს ნაკადს bzip2 მეორე მხარეს, დისტანციურ სერვერზე დუბლიკატი საქაღალდის შექმნა.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. დისტანციური GUI პროგრამები SSH X11 გადამისამართებით

თუ X დაინსტალირებულია კლიენტზე და დისტანციურ სერვერზე, მაშინ შეგიძლიათ დისტანციურად შეასრულოთ GUI ბრძანება ფანჯრიდან თქვენს ადგილობრივ დესკტოპზე. ეს ფუნქცია დიდი ხანია არსებობს, მაგრამ მაინც ძალიან სასარგებლოა. გაუშვით დისტანციური ვებ ბრაუზერი ან თუნდაც VMWawre Workstation კონსოლი, როგორც ამას ვაკეთებ ამ მაგალითში.

localhost:~$ ssh -X remoteserver vmware

საჭირო სტრიქონი X11Forwarding yes ფაილში sshd_config.

12. ფაილის დისტანციური კოპირება rsync და SSH გამოყენებით

rsync ბევრად უფრო მოსახერხებელი scp, თუ გჭირდებათ დირექტორიის პერიოდული სარეზერვო ასლები, ფაილების დიდი რაოდენობა ან ძალიან დიდი ფაილები. არსებობს გადაცემის წარუმატებლობისგან აღდგენის ფუნქცია და მხოლოდ შეცვლილი ფაილების კოპირება, რაც დაზოგავს ტრაფიკს და დროს.

ეს მაგალითი იყენებს შეკუმშვას gzip (-z) და დაარქივების რეჟიმი (-a), რომელიც იძლევა რეკურსიულ კოპირებას.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH Tor ქსელში

ანონიმურ Tor ქსელს შეუძლია SSH ტრაფიკის გვირაბი ბრძანების გამოყენებით torsocks. შემდეგი ბრძანება გადასცემს ssh პროქსის Tor-ის მეშვეობით.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

ტორსოკები გამოიყენებს პორტს 9050 ლოკალჰოსტზე პროქსისთვის. როგორც ყოველთვის, Tor-ის გამოყენებისას თქვენ სერიოზულად უნდა შეამოწმოთ რა ტრაფიკის გვირაბია და სხვა ოპერაციული უსაფრთხოების (opsec) საკითხები. სად მიდის თქვენი DNS მოთხოვნები?

14. SSH to EC2 ინსტანცია

EC2 ეგზემპლართან დასაკავშირებლად საჭიროა პირადი გასაღები. ჩამოტვირთეთ ის (.pem გაფართოება) Amazon EC2 პანელიდან და შეცვალეთ ნებართვები (chmod 400 my-ec2-ssh-key.pem). შეინახეთ გასაღები უსაფრთხო ადგილას ან განათავსეთ იგი თქვენს საქაღალდეში ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

პარამეტრის -i უბრალოდ ეუბნება ssh კლიენტს გამოიყენოს ეს გასაღები. ფაილი ~/.ssh/config იდეალურია გასაღების გამოყენების ავტომატურად კონფიგურაციისთვის ec2 ჰოსტთან დაკავშირებისას.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. ტექსტური ფაილების რედაქტირება VIM-ის გამოყენებით ssh/scp

ყველა მოყვარულისთვის vim ეს რჩევა დაზოგავს გარკვეულ დროს. Გამოყენებით vim ფაილების რედაქტირება ხდება scp-ით ერთი ბრძანებით. ეს მეთოდი უბრალოდ ქმნის ფაილს ადგილობრივად /tmpდა შემდეგ აკოპირებს მას, როგორც კი შევინახავთ vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

შენიშვნა: ფორმატი ოდნავ განსხვავდება ჩვეულებრივისგან scp. მასპინძლის შემდეგ გვაქვს ორმაგი //. ეს არის აბსოლუტური გზა მითითება. ერთი ხაზი მიუთითებს თქვენი სახლის საქაღალდესთან შედარებით ბილიკზე users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

თუ ხედავთ ამ შეცდომას, შეამოწმეთ ბრძანების ფორმატი. ეს ჩვეულებრივ ნიშნავს სინტაქსის შეცდომას.

16. დისტანციური SSH-ის დამონტაჟება ადგილობრივ საქაღალდეში SSHFS-ით

საშუალებით sshfs - ფაილური სისტემის კლიენტი ssh - ჩვენ შეგვიძლია დავუკავშიროთ ლოკალური დირექტორია დისტანციურ მდებარეობას ყველა ფაილური ურთიერთქმედებით დაშიფრულ სესიაში ssh.

localhost:~$ apt install sshfs

დააინსტალირეთ პაკეტი Ubuntu-სა და Debian-ზე sshfsდა შემდეგ უბრალოდ დააინსტალირეთ დისტანციური მდებარეობა ჩვენს სისტემაში.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH გამრავლება ControlPath-ით

ნაგულისხმევად, თუ არსებობს კავშირი დისტანციურ სერვერთან გამოყენებით ssh მეორე კავშირის გამოყენებით ssh ან scp ადგენს ახალ სესიას დამატებითი ავთენტიფიკაციით. ვარიანტი ControlPath საშუალებას იძლევა არსებული სესია გამოიყენოს ყველა შემდგომი კავშირისთვის. ეს მნიშვნელოვნად დააჩქარებს პროცესს: ეფექტი შესამჩნევია ლოკალურ ქსელშიც კი და მით უმეტეს, დისტანციურ რესურსებთან დაკავშირებისას.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath აკონკრეტებს სოკეტს ახალი კავშირების შესამოწმებლად, არის თუ არა აქტიური სესია ssh. ბოლო ვარიანტი ნიშნავს, რომ კონსოლიდან გასვლის შემდეგაც კი, არსებული სესია ღია დარჩება 10 წუთის განმავლობაში, ასე რომ ამ დროის განმავლობაში შეგიძლიათ ხელახლა დაუკავშირდეთ არსებულ სოკეტს. დამატებითი ინფორმაციისთვის იხილეთ დახმარება. ssh_config man.

18. ვიდეოს სტრიმინგი SSH-ზე VLC და SFTP გამოყენებით

თუნდაც დიდი ხნის მომხმარებლები ssh и vlc (Video Lan Client) ყოველთვის არ იცის ეს მოსახერხებელი ვარიანტი, როდესაც ნამდვილად გჭირდებათ ვიდეოს ყურება ქსელში. პარამეტრებში ფაილი | გახსენით ქსელის ნაკადი პროგრამები vlc თქვენ შეგიძლიათ შეიყვანოთ ადგილმდებარეობა როგორც sftp://. თუ პაროლი საჭიროა, გამოჩნდება მოთხოვნა.

sftp://remoteserver//media/uploads/myvideo.mkv

19. ორფაქტორიანი ავთენტიფიკაცია

იგივე ორფაქტორიანი ავთენტიფიკაცია, როგორც თქვენი საბანკო ანგარიში ან Google ანგარიში, ვრცელდება SSH სერვისზე.

რა თქმა უნდა, ssh თავდაპირველად აქვს ორფაქტორიანი ავთენტიფიკაციის ფუნქცია, რაც ნიშნავს პაროლს და SSH კლავიშს. ტექნიკის ჟეტონის ან Google Authenticator აპის უპირატესობა ის არის, რომ ის ჩვეულებრივ სხვა ფიზიკური მოწყობილობაა.

იხილეთ ჩვენი 8 წუთიანი სახელმძღვანელო Google Authenticator-ისა და SSH-ის გამოყენებით.

20. ხტომა მასპინძლები ssh და -J

თუ ქსელის სეგმენტაცია ნიშნავს, რომ თქვენ უნდა გადახვიდეთ რამდენიმე ssh ჰოსტში, რათა მიხვიდეთ საბოლოო დანიშნულების ქსელში, -J მალსახმობი დაზოგავს თქვენს დროს.

localhost:~$ ssh -J host1,host2,host3 [email protected]

აქ მთავარია იმის გაგება, რომ ეს არ არის იგივე ბრძანება ssh host1, მაშინ user@host1:~$ ssh host2 და ა.შ. -J ოფცია ჭკვიანურად იყენებს გადამისამართებას, რათა აიძულოს ლოკალჰოსტი დაამყაროს სესია ჯაჭვის შემდეგ ჰოსტთან. ასე რომ, ზემოთ მოცემულ მაგალითში, ჩვენი ლოკალური ჰოსტი დამოწმებულია host4-ზე. ანუ გამოიყენება ჩვენი ლოკალჰოსტის გასაღებები და სესია localhost-დან host4-მდე მთლიანად დაშიფრულია.

ასეთი შესაძლებლობისთვის ssh_config მიუთითეთ კონფიგურაციის ვარიანტი ProxyJump. თუ რეგულარულად გიწევთ რამდენიმე ჰოსტის გავლა, მაშინ კონფიგურაციის საშუალებით ავტომატიზაცია დიდ დროს დაზოგავს.

21. დაბლოკეთ SSH უხეში ძალის მცდელობები iptables-ის გამოყენებით

ყველამ, ვინც მოახერხა SSH სერვისი და დაათვალიერა ჟურნალები, იცის უხეში ძალის მცდელობების რაოდენობა, რომელიც ხდება ყოველ საათში ყოველდღე. ჟურნალებში ხმაურის შემცირების სწრაფი გზა არის SSH გადატანა არასტანდარტულ პორტში. შეიტანეთ ცვლილებები ფაილში sshd_config კონფიგურაციის პარამეტრის საშუალებით პორტი##.

ერთად iptables თქვენ ასევე შეგიძლიათ მარტივად დაბლოკოთ პორტთან დაკავშირების მცდელობები გარკვეული ზღურბლის მიღწევის შემდეგ. ამის გაკეთების მარტივი გზა გამოყენებაა OSSEC, რადგან ის არა მხოლოდ ბლოკავს SSH-ს, არამედ აკეთებს სხვა ჰოსტის სახელზე დაფუძნებული შეჭრის გამოვლენის (HIDS) ზომებს.

22. SSH Escape პორტის გადამისამართების შესაცვლელად

და ჩვენი ბოლო მაგალითი ssh შექმნილია პორტის გადამისამართების შესაცვლელად არსებული სესიის ფარგლებში ssh. წარმოიდგინეთ ეს სცენარი. თქვენ ღრმად ხართ ქსელში; შესაძლოა გადახტა ნახევარ ათეულზე მეტი ჰოსტი და დასჭირდეს ლოკალური პორტი სამუშაო სადგურზე, რომელიც გადაეგზავნება ძველი Windows 2003 სისტემის Microsoft SMB-ს (ვინმეს გახსოვთ ms08-67?).

დაწკაპუნება enterსცადეთ კონსოლში შესვლა ~C. ეს არის სესიის კონტროლის თანმიმდევრობა, რომელიც საშუალებას გაძლევთ შეიტანოთ ცვლილებები არსებულ კავშირში.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

აქ ხედავთ, რომ ჩვენ გადავგზავნეთ ჩვენი ადგილობრივი პორტი 1445 Windows 2003 ჰოსტზე, რომელიც ვიპოვეთ შიდა ქსელში. ახლა უბრალოდ გაიქეცი msfconsole, და შეგიძლიათ გადახვიდეთ (თუ ვივარაუდებთ, რომ აპირებთ ამ ჰოსტის გამოყენებას).

დასრულება

ეს მაგალითები, რჩევები და ბრძანებები ssh უნდა მისცეს ამოსავალი წერტილი; დამატებითი ინფორმაცია თითოეული ბრძანებისა და შესაძლებლობების შესახებ ხელმისაწვდომია man გვერდებზე (man ssh, man ssh_config, man sshd_config).

მე ყოველთვის მოხიბლული ვიყავი სისტემებზე წვდომისა და ბრძანებების შესრულების უნარით მსოფლიოს ნებისმიერ წერტილში. თქვენი უნარების განვითარებით ისეთი ინსტრუმენტებით, როგორიცაა ssh თქვენ გახდებით უფრო ეფექტური ნებისმიერ თამაშში, რომელსაც თამაშობთ.

წყარო: www.habr.com