ProHoster > Blog > Rêveberî > Serişteyên pratîk, mînak û tunelên SSH

Serişteyên pratîk, mînak û tunelên SSH

Serişteyên pratîk, mînak û tunelên SSH
Mînakên pratîk SSH, ku dê jêhatîyên we wekî rêvebirê pergalê yê dûr bigihîne astek nû. Ferman û şîret dê ne tenê ji bo karanîna alîkariyê bikin SSH, lê di heman demê de bêtir jêhatî li torê bigerin.

Dizanin çend hîle ssh ji bo her rêveberê pergalê, endezyarê torê an pisporê ewlehiyê kêrhatî ye.

Nimûneyên SSH yên pratîkî

  1. SSH socks proxy
  2. Tunela SSH (pêşkêşkirina portê)
  3. SSH tunela mêvandarê sêyemîn
  4. Tunela SSH berevajî
  5. SSH proxy berevajî
  6. Sazkirina VPN li ser SSH
  7. Kopîkirina mifteyek SSH (ssh-copy-id)
  8. Pêkanîna fermana dûr (ne înteraktîf)
  9. Di Wireshark de girtin û dîtina pakêtê ji dûr ve
  10. Kopîkirina peldankek herêmî li ser serverek dûr bi riya SSH
  11. Serlêdanên GUI-ya Dûr bi Pêşkêşkirina SSH X11
  12. Kopîkirina pelê ji dûr ve bi karanîna rsync û SSH
  13. SSH li ser tora Tor
  14. Mînaka SSH berbi EC2
  15. Veguherandina pelên nivîsê bi karanîna VIM-ê bi ssh/scp
  16. SSH-ya ji dûr ve wekî peldanka herêmî bi SSHFS-ê ve girêdin
  17. Pirrjimarkirina SSH bi ControlPath
  18. Vîdyoyê li ser SSH bi karanîna VLC û SFTP bişopînin
  19. Nasnameya du-faktor
  20. Bi SSH û -J re hostayan hildiweşîne
  21. Astengkirina hewildanên hêza hov a SSH bi karanîna iptables
  22. SSH Escape ku şandina portê biguhezîne

Pêşî bingehîn

Parskirina rêzika fermana SSH

Mînaka jêrîn pîvanên hevpar bikar tîne ku pir caran dema ku bi serverek dûr ve tê girêdan têne dîtin SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

  • -v: Dema ku pirsgirêkên erêkirinê têne analîz kirin, derxistina xeletiyê bi taybetî bikêr e. Dikare gelek caran were bikar anîn da ku agahdariya zêde nîşan bide.
  • - p 22: port girêdanê ji bo serverek SSH ya dûr. 22 ne hewce ye ku were diyar kirin, ji ber ku ev nirxa xwerû ye, lê heke protokol li portek din be, wê hingê em wê bi karanîna pîvanê diyar dikin. -p. Porta guhdarîkirinê di pelê de tête diyar kirin sshd_config di forma Port 2222.
  • -C: Kompresyon ji bo girêdanê. Ger pêwendiyek weya hêdî hebe an pir nivîsê temaşe bikin, ev dikare pêwendiyê bilez bike.
  • neo@: Rêza berî nîşana @, navê bikarhêner ji bo piştrastkirina servera dûr destnîşan dike. Ger tu wê diyar nekî, ew ê wekî navê bikarhênerê hesabê ku tu niha têkevî (~$whoami) jixweber bike. Bikarhêner dikare bi karanîna pîvanê jî were destnîşankirin -l.
  • remoteserver: navê mêvandarê ku pê ve girêdayî ye ssh, ev dikare navek domainek bi tevahî jêhatî be, navnîşek IP-yê, an her mêvandarek di pelê mêvandarên herêmî de be. Ji bo girêdana bi hosteyek ku hem IPv4 û hem jî IPv6 piştgirî dike, hûn dikarin pîvanê li rêzika fermanê zêde bikin -4 an -6 ji bo çareseriya rast.

Hemî pîvanên jorîn ji bilî vebijarkî ne remoteserver.

Bikaranîna pelê veavakirinê

Tevî ku gelek bi pelê dizanin sshd_config, ji bo fermanê pelê veavakirina xerîdar jî heye ssh. Nirxa standard ~/.ssh/config, lê ew dikare wekî pîvanek ji bo vebijarkê were pênase kirin -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Di mînaka pelê veavakirina ssh ya li jor de du navnîşên mêvandar hene. Ya yekem tê wateya hemî mêvandar, hemî pîvana veavakirina Port 2222 bikar tînin. Ya duyemîn dibêje ku ji bo mêvandar remoteserver Divê navek bikarhêner, port, FQDN û IdentityFile cûda were bikar anîn.

Pelek veavakirinê dikare gelek wextê nivîsandinê hilîne bi rê dide ku veavakirina pêşkeftî bixweber were sepandin dema ku bi hosteyên taybetî ve were girêdan.

Kopîkirina pelan li ser SSH bi karanîna SCP

Muwekîlê SSH ji bo kopîkirina pelan bi du amûrên din ên pir bikêr tê girêdana ssh ya şîfrekirî. Ji bo nimûneyek karanîna standard a emrên scp û sftp li jêr binêrin. Têbînî ku gelek vebijarkên ssh li ser van fermanan jî bicîh dibin.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

Di vê nimûneyê de pelê mypic.png kopî kirin remoteserver ji bo peldankê /medya/dane û nav lê kirin mypic_2.png.

Cûdahiya di pîvana portê de ji bîr nekin. Li vir gava ku dest pê dikin gelek kes têne girtin scp ji rêzika fermanê. Li vir parametreya portê ye -Pû ne -p, mîna di xerîdarek ssh de! Hûn ê ji bîr bikin, lê xem neke, her kes ji bîr dike.

Ji bo kesên ku bi konsolê dizanin ftp, gelek ferman di nav de mîna hev in sftp. Hûn dikarin bikin lêqellibînî, Put и lswekî dil dixwaze.

sftp neo@remoteserver

Mînakên pratîk

Di gelek ji van mînakan de, encam bi karanîna rêbazên cûda têne bidestxistin. Wekî ku di hemû me pirtûkên dersê û mînak, tercîh ji mînakên pratîkî re tê dayîn ku bi tenê karê xwe dikin.

1. SSH socks proxy

Taybetmendiya SSH Proxy ji ber sedemek baş jimare 1 e. Ew ji ya ku pir kes pê dihesin bi hêztir e û ji we re digihîje her pergalek ku servera dûr bigihîje, hema hema her serîlêdanê bikar tîne. Xerîdarek ssh dikare bi yek fermanek hêsan ve trafîkê bi navgînek SOCKS ve tune bike. Girîng e ku meriv fêm bike ku seyrûsefera pergalên dûr dê ji serverek dûr were, ev ê di têketinên servera malperê de were destnîşan kirin.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Li vir em li porta TCP 8888 proxyek socks dimeşînin, fermana duyemîn kontrol dike ku port di moda guhdarîkirinê de çalak e. 127.0.0.1 destnîşan dike ku karûbar tenê li ser localhost dimeşîne. Em dikarin fermanek hinekî cûda bikar bînin da ku li hemî navbeynkaran guhdarî bikin, di nav de ethernet an wifi, ev ê rê bide serîlêdanên din (gerok, hwd.) li ser tora me ku bi navgîniya ssh socks proxy ve bi karûbarê proxy ve girêbidin.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Naha em dikarin gerokê mîheng bikin da ku bi proxy socksê ve girêbide. Di Firefox de, hilbijêrin Settings | Bingehîn | Mîhengên torê. Navnîşana IP-ê û portê ji bo girêdanê diyar bikin.

Serişteyên pratîk, mînak û tunelên SSH

Ji kerema xwe vebijarka li binê formê binihêrin da ku daxwazên DNS-ya geroka we jî bi navgînek SOCKS re derbas bibin. Heke hûn serverek proxy bikar tînin da ku seyrûsefera webê li ser tora xweya herêmî şîfre bikin, dibe ku hûn bixwazin vê vebijarkê hilbijêrin da ku daxwazên DNS bi girêdana SSH-ê ve werin tunekirin.

Di Chrome-ê de proxy socks çalak dike

Destpêkirina Chrome bi hin pîvanên rêza fermanê dê proxy socks çalak bike, û hem jî daxwazên DNS-ê ji gerokê tune bike. Bawer bikin lê kontrol bikin. Bikaranîn tcpdump ji bo kontrol bikin ku pirsên DNS êdî ne xuya ne.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Bi proxy re serîlêdanên din bikar tînin

Bînin bîra xwe ku dibe ku gelek serîlêdanên din jî proxeyên sokê bikar bînin. Geroka webê bi tenê ji wan re herî populer e. Hin serîlêdan vebijarkên veavakirinê hene ku serverek proxy çalak bikin. Yên din bi bernameyek arîkar re hewceyê arîkariya piçûk in. Bo nimûne, proxychains destûrê dide te ku hûn bi navgînek proxyek Microsoft RDP, hwd, bimeşînin.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Parametreyên veavakirina proxy Socks di pelê veavakirina proxychains de têne danîn.

Nîşan: ger hûn sermaseya dûr a Linux-ê li ser Windows-ê bikar bînin? Bi muwekîlê biceribînin FreeRDP. Ev pêkanîneke moderntir ji rdesktop, bi ezmûnek pir xweştir.

Vebijarka karanîna SSH bi navgîniya socks proxy

Hûn li qehwexaneyek an otêlekê rûniştin - û neçar in ku WiFi-ya bêbawer bikar bînin. Em proxyek ssh-a herêmî ji laptopek dest pê dikin û tunelek ssh-ê di nav tora malê de li ser Rasberry Pi-ya herêmî saz dikin. Bi karanîna gerokek an serîlêdanên din ên ku ji bo proxyek socks hatine mîheng kirin, em dikarin bigihîjin her karûbarên torê yên li ser tora xweya malê an jî bi girêdana xweya malê ve bigihîjin Înternetê. Her tişt di navbera laptopa we û servera weya malê de (bi rêya Wi-Fi û înternetê heya mala we) di tunelek SSH de hatî şîfre kirin.

2. Tunela SSH (pêşkêşkirina portê)

Di forma xweya herî hêsan de, tunelek SSH bi tenê portek li ser pergala weya herêmî vedike ku li dawiya tunelê bi portek din ve girêdide.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Ka em li parametreyê binêrin -L. Ew dikare wekî aliyê herêmî yê guhdarîkirinê were fikirîn. Ji ber vê yekê di mînaka li jor de, port 9999 li alîyê localhost-ê guhdarî dike û bi porta 80-ê ji servera dûr re tê şandin. Ji kerema xwe not bikin ku 127.0.0.1 li ser servera dûr vedibêje localhost!

Werin em herin jor. Mînaka jêrîn portên guhdarîkirinê bi mêvandarên din ên li ser tora herêmî re ragihîne.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

Di van mînakan de em bi portek li ser servera malperê ve girêdayî ne, lê ev dibe ku serverek proxy an karûbarek din a TCP be.

3. SSH tunnel ji bo mêvandarê sêyemîn

Em dikarin heman pîvanan bikar bînin da ku tunelekek ji serverek dûr bi karûbarek din a ku li ser pergala sêyemîn dixebite ve girêbidin.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

Di vê nimûneyê de, em tunelekek ji servera dûr vediguhezînin serverek malperê ku di 10.10.10.10-ê de dixebite. Trafîka ji servera dûr heya 10.10.10.10 êdî di tunela SSH. Pêşkêşkara malperê ya di 10.10.10.10 de dê servera ji dûr ve bibe çavkaniya daxwazên malperê.

4. Tunela SSH berevajî

Li vir em ê portek guhdarîkirinê li ser servera ji dûr ve mîheng bikin ku dê vegere bendera herêmî ya li ser hosteya meya herêmî (an pergalek din).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Ev danişîna SSH ji porta 1999-an a li ser servera dûr heya porta 902-ê li ser muwekîlê meya herêmî pêwendiyek saz dike.

5. SSH Reverse Proxy

Di vê rewşê de, em li ser pêwendiya xweya ssh-ê proxyek socks saz dikin, lê proxy li dawiya dûr a serverê guhdarî dike. Girêdanên bi vê proxy-ya dûr ve naha ji tunelê wekî seyrûsefera ji mêvandarê meya herêmî xuya dibin.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Pirsgirêkên bi tunelên SSH yên dûr ve çareser bikin

Ger pirsgirêkên we bi vebijarkên SSH-ya dûr ve dixebitin, bi wan re kontrol bikin netstat, porta guhdarîkirinê bi kîjan pêwendiyên din ve girêdayî ye. Her çend me di mînakan de 0.0.0.0 destnîşan kir, lê heke nirx GatewayPorts в sshd_config set to na, wê hingê dê guhdar tenê bi localhost (127.0.0.1) ve were girêdan.

Hişyariya Ewlekariyê

Ji kerema xwe bala xwe bidin ku bi vekirina tunel û proxeyên çolê, dibe ku çavkaniyên torê yên navxweyî bigihîjin torên nebawer (wek Înternetê!). Ev dikare xeterek ewlehiyê ya ciddî be, ji ber vê yekê pê ewle bine ku hûn fêm dikin ku guhdar çi ye û gihîştina wan çi ye.

6. Sazkirina VPN bi rêya SSH

Peyvek hevpar di nav pisporên di rêbazên êrîşê de (pentester, hwd.) "Di torê de xalek e." Dema ku têkiliyek li ser yek pergalê were saz kirin, ew pergal dibe dergehek ji bo gihîştina bêtir a torê. Bingehek ku destûrê dide te ku hûn bi berfirehî tevbigerin.

Ji bo pêgehek wusa em dikarin proxyek SSH bikar bînin û proxychains, lê belê hin sînor hene. Mînakî, ew ê nekare rasterast bi soketan re bixebite, ji ber vê yekê em ê nikaribin di nav torê de benderan bişopînin. Nmap SYN.

Bi karanîna vê vebijarka VPN ya pêşkeftî, girêdan kêm dibe asta 3. Dûv re em dikarin bi tenê rêgezkirina torê ya standard bi riya tunelê ve trafîkê bi rê ve bibin.

Rêbaz bikar tîne ssh, iptables, tun interfaces û rêkirin.

Pêşî hûn hewce ne ku van parameteran têxin hundur sshd_config. Ji ber ku em di navberên pergalên dûr û xerîdar de guhertinan çêdikin, em li ser herdu aliyan mafên root hewce ne.

PermitRootLogin yes
PermitTunnel yes

Dûv re em ê pêwendiyek ssh-ê bi karanîna pîvana ku daxwaza destpêkirina cîhazên tun dike saz bikin.

localhost:~# ssh -v -w any root@remoteserver

Naha dema ku navberan nîşan didin divê amûrek me hebe (# ip a). Pêngava paşîn dê navnîşanên IP-ê li navgînên tunelê zêde bike.

Aliyê xerîdar SSH:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

Aliyê Pêşkêşkara SSH:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Naha me rêyek rasterast a mêvandarek din heye (route -n и ping 10.10.10.10).

Hûn dikarin her subnetê bi mêvandarek li alîyê din ve rêve bikin.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

Li aliyê dûr divê hûn çalak bikin ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Boom! VPN li ser tunela SSH li qata torê 3. Niha ev serkeftin e.

Ger pirsgirêk çêbibin, bikar bînin tcpdump и pingji bo destnîşankirina sedemê. Ji ber ku em li qata 3-ê dilîzin, pakêtên me yên icmp dê di vê tunelê re derbas bibin.

7. Bişkojka SSH (ssh-copy-id) kopî bikin

Gelek awayên kirina vê yekê hene, lê ev ferman bi ne kopîkirina pelan bi destan dem xilas dike. Ew bi tenê ~/.ssh/id_rsa.pub (an mifteya xwerû) ji pergala we kopî dike ~/.ssh/authorized_keys li ser serverek dûr.

localhost:~$ ssh-copy-id user@remoteserver

8. Pêkanîna fermana dûr (ne-înteraktîf)

kom ssh Ji bo navgînek hevpar, bikarhêner-heval dikare bi fermanên din ve were girêdan. Tenê fermana ku hûn dixwazin li ser mêvandarê dûr bixebitin wekî pîvana paşîn di nav quotes de zêde bikin.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

Di vê nimûneyê de grep piştî ku têketin bi kanala ssh ve hatî dakêşandin li ser pergala herêmî tête darve kirin. Ger pel mezin e, xebitandin hêsantir e grep li milê dûr bi tenê vegirtina her du fermanan di nav tîpên ducar de.

Mînakek din heman fonksiyonê dike ssh-copy-id ji mînaka 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Girtin û dîtina pakêtê ji dûr ve li Wireshark

Min yek ji me girt mînakên tcpdump. Wê bikar bînin ku ji dûr ve pakêtan bigirin û encaman rasterast di navgîniya Wireshark GUI ya herêmî de nîşan bidin.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Kopîkirina peldankek herêmî ji bo serverek dûr bi riya SSH

Çêlekek xweş ku peldankek bikar tîne teng dike bzip2 (ev vebijarka -j di fermanê de ye tar), û dûv re çemê vedigerîne bzip2 li aliyê din, li ser servera dûr peldankek dubare biafirîne.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Serlêdanên GUI yên Dûr bi Pêşkêşkirina SSH X11

Ger X li ser xerîdar û servera dûr ve hatî saz kirin, wê hingê hûn dikarin ji dûr ve fermanek GUI bi pencereyek li ser sermaseya xweya herêmî re bicîh bikin. Ev taybetmendî ji demek dirêj ve heye, lê hîn jî pir bikêr e. Mîna ku ez di vê nimûneyê de dikim gerokek webê ya dûr an tewra konsolxaneya Karkera VMWawre dest pê bikin.

localhost:~$ ssh -X remoteserver vmware

String pêwîst X11Forwarding yes di dosyayê de sshd_config.

12. Kopîkirina pelê ji dûr ve bi karanîna rsync û SSH

rsync pir hêsantir scp, heke ji we re paşvekişandina periyodîk a pelrêçek, hejmareke mezin a pelan, an pelên pir mezin hewce dike. Fonksiyonek heye ku ji têkçûnek veguheztinê vegere û tenê pelên guhezbar kopî bike, ku seyrûsefer û dem xilas dike.

Ev nimûne compression bikar tîne gzip (-z) û moda arşîvkirinê (-a), ku kopîkirina vegerî dike.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH li ser tora Tor

Tora Tor ya nenas dikare bi karanîna fermanê seyrûsefera SSH tune bike torsocks. Fermana jêrîn dê proxy ssh bi Tor re derbas bike.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Torsocks dê porta 9050 li ser localhost ji bo proxy bikar bîne. Mîna her gav, dema ku Tor bikar tînin hûn hewce ne ku bi ciddî kontrol bikin ka çi seyrûsefera ku tê tunekirin û pirsgirêkên din ên ewlehiya xebitandinê (opsec). Pirsên we yên DNS li ku diçin?

14. SSH bo nimûne EC2

Ji bo ku hûn bi mînakek EC2 ve girêdayî bibin, hûn hewceyê mifteyek taybet in. Wê ji panela kontrolê ya Amazon EC2 dakêşin (.pem extension) û destûrên biguherînin (chmod 400 my-ec2-ssh-key.pem). Miftê li cîhek ewle bihêlin an jî wê di peldanka xwe de bihêlin ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Parîsê -i bi tenê ji muwekîlê ssh re dibêje ku vê mifteyê bikar bîne. Dosî ~/.ssh/config Ji bo mîhengkirina bixweber karanîna mifteyê dema ku bi mêvandarek ec2 ve girêdayî ye îdeal e.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Veguherandina pelên nivîsê bi karanîna VIM bi ssh/scp

Ji bo hemû evîndaran vim Ev şîret dê hin dem xilas bike. Bi karanîna vim pelan bi yek fermanê bi scp ve têne sererast kirin. Ev rêbaz bi tenê pelê li herêmî diafirîne /tmpû dûv re gava ku me ew jê xilas kir wê dîsa kopî dike vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Nîşe: format ji ya normal hinekî cûda ye scp. Piştî mazûvan em du qat //. Ev referansa riya mutleq e. Yek bişkok dê rêyek li gorî peldanka mala we nîşan bide users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Heke hûn vê xeletiyê dibînin, formata fermanê du caran kontrol bikin. Ev bi gelemperî tê wateya xeletiyek hevoksaziyê.

16. Bi SSHFS re SSH-ya ji dûr ve wekî peldankek herêmî vekir

Bi alîkariya alîkariya sshfs - muwekîlê pergala pelan ssh - em dikarin pelrêçek herêmî bi cîhek dûr ve bi hemî danûstendinên pelan re di danişînek şîfrekirî de girêdin ssh.

localhost:~$ apt install sshfs

Pakêtê li Ubuntu û Debian saz bikin sshfs, û dûv re tenê cîhê dûr li pergala me siwar bikin.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH Multiplexing bi ControlPath

Ji hêla xwerû, heke pêwendiyek heyî ya bi serverek dûr ve tê bikar anîn hebe ssh girêdana duyemîn bi kar tîne ssh an scp danişînek nû bi piştrastkirina zêde saz dike. Dibe ControlPath dihêle ku rûniştina heyî ji bo hemî girêdanên paşîn were bikar anîn. Ev ê pêvajoyê bi girîngî bileztir bike: bandor li ser torgilokek herêmî jî xuya dibe, û hêj bêtir dema ku bi çavkaniyên dûr ve girêdayî ye.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath soketê destnîşan dike ku ji bo girêdanên nû kontrol bike da ku bibîne ka danişînek çalak heye ssh. Vebijarka paşîn tê vê wateyê ku tewra piştî ku hûn ji konsolê derkevin jî, danişîna heyî dê 10 hûrdem vekirî bimîne, ji ber vê yekê di vê demê de hûn dikarin li ser soketa heyî ji nû ve girêdin. Ji bo bêtir agahdarî, alîkariyê bibînin. ssh_config man.

18. Vîdyoyê li ser SSH bi karanîna VLC û SFTP biherikînin

Tewra bikarhênerên demdirêj ssh и vlc (Video Lan Client) gava ku hûn bi rastî hewce ne ku hûn vîdyoyek li ser torê temaşe bikin her gav ji vê vebijarka hêsan haydar nînin. Di mîhengan de Pelê | Stream Torê vekin bernameyên vlc hûn dikarin cîhê wekî têkevin sftp://. Ger şîfreyek pêdivî ye, dê pêvekek xuya bibe.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Rastkirina du-faktor

Heman pejirandina du-faktorî wekî hesabê weya bankê an hesabê Google-ê li ser karûbarê SSH-ê derbas dibe.

Bêguman, ssh di destpêkê de fonksiyonek pejirandina du-faktorî heye, ku tê wateya şîfreyek û mifteyek SSH. Feydeya tokenek hardware an serîlêdana Google Authenticator ev e ku ew bi gelemperî amûrek fîzîkî ya cûda ye.

Binêre rêberê me yê 8-deqîqe bikaranîna Google Authenticator û SSH.

20. Bi ssh û -J-ê re hostayan bazdan

Ger dabeşkirina torê tê vê wateyê ku hûn neçar in ku di nav gelek mêvandarên ssh-ê re derbas bibin da ku bigihîjin tora mebesta dawîn, kurtebirra -J dê wextê we xilas bike.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Ya sereke ku meriv li vir fêm bike ev e ku ev ne heman ferman e ssh host1hingê user@host1:~$ ssh host2 hwd. Vebijarka -J bi zanetî şandinê bikar tîne da ku zorê bide localhost da ku rûniştinek bi mêvandarê din re di zincîrê de saz bike. Ji ber vê yekê di mînaka jorîn de, hosteya meya herêmî bi host4-ê ve hatî pejirandin. Ango, mifteyên meya localhost têne bikar anîn, û danişîna ji localhost heya host4 bi tevahî şîfrekirî ye.

Ji bo îhtimaleke wiha di ssh_config vebijarka veavakirinê diyar bike ProxyJump. Heke hûn bi rêkûpêk neçar in ku di nav çend mêvandaran re derbas bibin, wê hingê otomasyona bi navgîniyê ve dê gelek wext xilas bike.

21. Hewldanên hêza hovane ya SSH bi karanîna iptables asteng bikin

Her kesê ku karûbarek SSH bi rê ve biriye û li têketin mêze kiriye, bi hejmara hewildanên hêza hovane ya ku her demjimêr her roj diqewime dizane. Rêbazek bilez a kêmkirina deng di têketinan de ev e ku hûn SSH berbi portek ne-standard veguhezînin. Guhertinên pelê bikin sshd_config bi rêya parametre veavakirina Bender##.

Bi alîkariya alîkariya iptables Di heman demê de hûn dikarin bi hêsanî hewildanên girêdana bi benderek bi gihîştina bergehek diyarkirî asteng bikin. Rêyek hêsan a kirina vê yekê karanîna ye OSSEC, ji ber ku ew ne tenê SSH-ê asteng dike, lê komek tedbîrên din ên tespîtkirina ketina nav-bingeha mêvandar (HIDS) dike.

22. SSH Escape ku şandina portê biguhezîne

Û mînaka me ya dawî ssh ji bo guheztina şandina portê bi lez di nav danişînek heyî de hatî çêkirin ssh. Vê senaryoyê bifikirin. Hûn di torê de kûr in; dibe ku li ser nîv deh mêvandar hilkişin û pêdivî ye ku portek herêmî li ser stasyona xebatê ya ku ji Microsoft SMB-ya pergala kevn a Windows 2003 re tê şandin (kes ms08-67 bi bîr tîne?).

Bitikîne enter, hewl bidin ku têkevin konsolê ~C. Ev rêzek kontrolê ya danişînê ye ku destûrê dide guheztinên li pêwendiyek heyî.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Li vir hûn dikarin bibînin ku me porta xweya herêmî 1445 şandiye mêvandarek Windows 2003 ku me li ser tora navxweyî dît. Niha tenê birevin msfconsole, û hûn dikarin bimeşin (bihesibînin ku hûn plan dikin ku vê mêvandar bikar bînin).

Têkilî

Ev mînak, şîret û ferman ssh divê xala destpêkê bide; Zêdetir agahdarî li ser her yek ji ferman û kapasîteyên li ser rûpelên mêr hene (man ssh, man ssh_config, man sshd_config).

Ez her gav ji şiyana gihîştina pergalan û pêkanîna fermanan li her deverê cîhanê meraq dikim. Bi pêşxistina jêhatîbûna xwe bi amûrên mîna ssh hûn ê di her lîstika ku hûn lîstin de bi bandortir bibin.

Source: www.habr.com

Add a comment