Exempla practica quae tuas artes ut remotam rationem administratorem ad novum gradum capiet. Imperat et tips auxiliabitur tibi non solum uteris SSHsed etiam melius retiacula navigare.
Sciens paucis dolis ssh utilis ad aliquem administratorem systematis, fectum network vel specialist securitatis.
Practical SSH Exempla
Primum basics
Parsing SSH order versus
Hoc exemplo usus ambitum communium saepe offendit cum servo remoto coniungens SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Debugging output maxime utile est cum problemata authentica examinare. Pluribus temporibus adhiberi potest ut informationis informationis ostendas.- p 22: nexum portum SSH ad remotis calculonis servi. 22 specificari non debet, quia hic valor defaltus est, sed si protocollum in alium portum, tum modulo utentem denotamus.-p. Auditorium portum specificatur in tabellasshd_configin formaPort 2222.-C: compressio pro nexu. Si lentum nexum habeas vel textum multum consideres, nexum accelerare potest.neo@Linea ante symbolum usoris authenticas indicat in calculonis remotis. Si id non indicas, usoris rationis defaltam habebit quam currently initium ad (~$whoami). Usor etiam specificari potest uti parametro-l.remoteserver: Nomen exercitum ad coniungere tossh, hoc nomen dominii plene idoneus esse potest, an IP oratio, vel quilibet exercitus in file locali exercituum. Copiam coniungere quae tam IPv4 et IPv6 sustinet, modulom ad lineam praecepti addere potes-4aut-6ad propriam sententiam.
Omnia supradicta parametri sunt ad libitum excepto remoteserver.
Configuratione per lima
Etsi multa tabella nota sunt sshd_config, est etiam file configurationis clientis pro imperio ssh. Default valorem ~/.ssh/configsed definiri potest ut modulus optionis -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyDuo introitus exercitus in exemplo ssh configurationis fasciculi supersunt. Primus unus significat omnes exercitus, omnes Portus 2222 conformationis modulo utentes. Secunda dicit quod ad exercitum remoteserver aliud nomen usoris, portus, FQDN et IdentityFile adhiberi debent.
Configuratio fasciculi multum temporis typings servare potest, permittens configurationem provectam applicari automatice cum certis exercitibus connectens.
Effingo lima per SSH utens SCP
SSH client venit cum duobus aliis instrumentis valde habilis ad exscribendum files supra encrypted ssh nexu. Vide infra ad exemplum normae usus scp et sftp imperat. Nota quod multi optiones ssh ad haec mandata pariter applicanda sunt.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngIn hoc exemplo tabella mypic.png * copied to remoteserver ut folder /media/data et renamed to mypic_2.png.
Noli oblivisci differentiam in parametri portu. Hoc est ubi multi capiuntur cum deducunt scp ex mandato versus. Hic est portum parametri -Pet non -pac velut in clientelam ssh! Oblivisceris, sed ne cures, quisque obliviscitur.
Pro his qui consolantur ftp, multa imperia fimilia sftp. Potestis facere dis, posuit ΠΈ lssicut desiderat animus.
sftp neo@remoteserverExempla practica
In multis exemplis, diversis modis consequi potest eventus. Sicut in omnibus nostris et exemplis praeponitur exemplis practicis quae simpliciter suum officium faciunt.
1. SSH socks ineundo
SSH Proxy notatio numerus 1 causa bona est. Potentius est quam multi percipere et accessum tibi alicui systemati dat, quod longinquus cultor accessum habet ad, pene omni applicatione utens. Cliens ssh potest cuniculum negotiationis per socks procuratorem cum uno simplici imperio. Interest intelligere quod negotiatio ad systemata longinqua a remoto servo venturum, hoc in interretiario tignis indicabitur.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshHic currimus tibialia procuratorem in TCP portum 8888, alterum mandatum coercet portum activum in modo audiendo. 127.0.0.1 indicat ministerium localis tantum incurrere. Mandato paulo alio uti possumus ad audiendum in omnibus interfaces, inclusis ethernet vel wifi, hoc permittet alias applicationes (pastores, etc.) in retis nostris coniungere ad officium procuratoris per ssh socks procuratorem.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverNunc navigatrum configurare possumus cum procuratore tibialia coniungere. In Firefox, select Optiones | Basic | Network occasus. Denota IP oratio et portum coniungere.
Quaeso note optionem in fundo formae ut etiam petitiones navigatri tui DNS per procuratorem SOCKS habere debeas. Si procuratorem adhibes ad negotiationem interretialem encryptarum in retis localis, verisimile vis hanc optionem eligere ut petitiones DNS per nexum SSH eligantur.
Activum socks ineundo Chrome
Chrome deducendo cum certo mandato parametri lineae socks procuratorem dabunt, necnon DNS effosso petitiones e navigatro. Crede sed reprehendo. Usus reprehendo quod DNS queries non sunt visibiles.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Utens aliis applicationibus cum procuratorio
Meminerint multa alia medicamenta etiam tibialia procuratores uti. Navicula interretialis simpliciter omnium popularis est. Nonnullae applicationes optiones conformationis habent ut procuratorem praestandi. Alii parum auxilii egent cum programmate adiutorio. Exempli gratia permittit tibi ut Microsoft RDP procuratorem percurras socks, etc.
localhost:~$ proxychains rdesktop $RemoteWindowsServerSocks procuratoris configurationis parametri in proxycatis configurationis collocantur.
Hint: si desktop remota a Linux in Fenestra uteris? Conare client . Haec magis moderna exsecutio quam
rdesktopmulto levius experimento.
Optionem uti SSH per socks procuratorem
Sedes in casu vel deversorio - et cogeris WiFi potius uti. Procuratorem ssh localiter de laptop demittimus et ssh cuniculum struimus in retis domus in locali Rasberry Pi. Usura navigatri vel alias applicationes ad socks ineundo configuratas, accessere possumus quaelibet officia retis in domum nostram retis vel per Internet connexionem nostram accedere. Omnia inter laptop et domum tuam servo tuo (per Wi-Fi et penitus domum tuam) in cuniculo SSH encryptae sunt.
2. SSH cuniculum (portum procuret)
Simplicissima forma, cuniculus SSH portum simpliciter aperit in systemate locali tuo, quod alteri portum in altero cuniculi fine coniungit.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Intueamur parametri -L. Potest cogitari de audiendo latere locali. Sic in exemplo supra, portus 9999 auscultat in latere locali et per 80 portum remotissimum ad ministratorem transmittit. Quaeso note quod 127.0.0.1 refers to localhost in the remote server!
Eamus gradum. Hoc exemplum communicat portuum audientium cum aliis exercituum in retiacula locali.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverIn his exemplis coniungimus portum cum servo interretiali, sed hoc inenarrabile vel quodlibet aliud servitium TCP esse potuit.
3. SSH cuniculum ad tertiam partem exercitum
Eisdem parametris uti possumus ad connectendum cuniculum a servo remoto ad aliud ministerium in tertia ratio currens.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverIn hoc exemplo nos reducimus cuniculum a remotissimo servo ad interretialem currens 10.10.10.10. Negotiatio ab remoteservo ad 10.10.10.10 non iam in SSH cuniculum. Tela server in 10.10.10.10 considerabit remotiorem Servatorem interretialium petitionum esse fontem.
4. Reverse SSH cuniculum
Hic portum audientem configurabimus in servo remoto, qui ad portum locali nostro locali (vel alia systema) reduceret.
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverSestatio haec SSH nexum a portu MCMXCIX in remotiore servo ad portum 1999 in clientelae nostrae locali constituit.
5. SSH Reverse Proxy
In hoc casu, procuratorem nostrum in nexu ssh socks constituimus, sed procurator auscultat in remoto fine servientis. Nexus ad hunc procuratorem remotum nunc apparent e cuniculo sicut negotiatio ab hospite nostro.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverTroubleshooting difficultates remotis SSH cuniculis
Si problems cum remotis SSH bene operando, reprehendo cum netstatquem alium portum audientem iungitur. Etsi in exemplis indicavimus 0.0.0.0, at si valor PortaPorts Π² sshd_config set ad nihiltunc solum localis exercitus auditor tenebitur (127.0.0.1).
Monitum securitatis
Nota quaeso quod per cuniculos et tibialia procuratores aperientes, facultates retis internae intrusis reticulis (qualia sunt interrete!) pervia esse possunt. Gravis securitatis periculum hoc esse potest, fac ut intellegas quid auditor et quid aditus habeat.
6. Installing VPN per SSH
Commune nomen apud specialitas in methodis oppugnantibus (pentesters, etc.) est "fulcrum in retis." Cum nexus in una systemate constituto, haec ratio portae fit ulterioris accessus ad ornatum. Fulcrum quod in latitudinem moveri permittit.
Tali enim consistorio uti possumus procuratorem SSH et procuratoreslimitationes tamen aliquae sunt. Exempli gratia, directe cum basibus operari non poterit, sic portus intra retis viam scandere non poterimus. SYN.
Utens hac provectiore optione VPN, nexus reducitur ad gradu 3. Tunc simpliciter possumus per cuniculum commercii meatus per vexillum retis fundere.
Modus usus ssh, iptables, tun interfaces fundere.
Primum debes hos parametri in sshd_config. Cum mutamus interfactiones systematum tam remotarum quam clientium, nos opus est radix iura utrimque.
PermitRootLogin yes
PermitTunnel yesTunc nexum ssh constituemus utens modulo qui initializationem tun machinis petit.
localhost:~# ssh -v -w any root@remoteserver
Nunc nobis debet habere tun fabricam cum ostendens interfaces (# ip a). Proximus gradus IP inscriptiones ad cuniculum interfaces adde.
sSh clientis latus;
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upSSH Servo Side:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Nunc ad aliam exercitum directum iter habemus.route -n ΠΈ ping 10.10.10.10).
Potes per exercitum trans aliquem subnet iter.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
In parte remota debes facere ip_forward ΠΈ iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBoom! VPN super SSH cuniculum ad network iacuit 3. Iam victoria est.
Si aliqua problemata occurrunt, utere ΠΈ pingcausam statuere. Cum ludimus iacuit 3 , per hoc cuniculum faclum nostrum ibunt.
7. Exemplar SSH clavis (ssh-exemplum-id)
Plures modi sunt ad hoc faciendum, sed hoc mandatum tempus servat ne imagini manually describendo. Simpliciter codices ~/.ssh/id_rsa.pub (vel clavis default) ex systemate tuo to ~/.ssh/authorized_keys in longinquo servo.
localhost:~$ ssh-copy-id user@remoteserver
8. Longinquus mandatum supplicium (non-interactive)
bigas ssh Alia mandata coniungi possunt pro instrumento communi, usuario amicabili. Modo adde imperium quod vis remotam exercitum currere sicut modulus ultimus in sententiis.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
In hoc exemplo grep exsecutioni mandari in systemate locali postquam stipes per canalem ssh receptae sunt. Scapus si magnus est, currere commodius est grep in latere remoto per utrumque praeceptum simpliciter concludens in duplici quotes.
Alterum exemplum idem munus fungitur ssh-copy-id ab exemplo VII.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Longinquus fasciculus captio spectandi in Wireshark
Unum e nostris . Hoc utere ut fasciculis remotius capias et eventus directe in loci Wireshark GUI ostendas.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Effingo locali folder ut a remotis server per SSH
A nice quod dolum comprimit folder usura bzip2 (Hoc est -j optionem in imperio tar) Et reddat amnis bzip2 in altera parte, duplicatam folder in servo remoto creans.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Longinquus GUI Applications cum SSH X11 Transmissio
Si X in clientelam et in servo remoto constitutus est, tunc GUI mandatum cum fenestra in escritorio locali tuo remote exsequi potes. Pluma haec diu circum fuit, sed tamen utilissima est. Emitte navigatorem remotum vel etiam VMWawre Workstation consolatorium sicut ego in hoc exemplo.
localhost:~$ ssh -X remoteserver vmware
Requiritur filum X11Forwarding yes in file sshd_config.
12. Longinquus lima exscribend testatem per rsync et SSH
rsync multo commodius scpsi tergum directorii periodici desideras, magnum numerum imaginum vel fasciculorum amplissimum. Munus est ut ex defectione translationis recuperet et tabellas tantum mutatas exscribas, quae mercaturam et tempus servat.
Hoc exemplum pressionem adhibet gzip (-z) et modus archiving (-a), quod efficit recursivum exemplum.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH super Tor network
Anonymi Tor network cuniculum SSH negotiationis utens imperio torsocks. Procuratorem ipsum per Tor.
localhost:~$ torsocks ssh myuntracableuser@remoteserverportum adhibebit 9050 in localhost per procuratorem. Ut semper, cum Tor utens, debes graviter inspicere quae negotiatio obvolvitur et aliae securitatis perficiendae (opsec) quaestiones. Ubi DNS tuum queries ibimus?
14. SSH ad EC2 instantia
Exempli gratia coniungi ad EC2, clavis privatis debes. Download eam (.pem extensionem) ex Amazon EC2 tabulis moderari ac permissiones mutare (chmod 400 my-ec2-ssh-key.pem). Serva clavem in loco tuto vel pone in tuo folder ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
parametri -i simpliciter narrat ssh clientem ut hac clavis utatur. File ~/.ssh/config Specimen pro automatice usu clavem configurans cum ad exercitum ec2 connectens.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Editing text files utens VIM per ssh/scp
Omnes amantes vim Aliquam tempus id nisi et faucibus. Ab usura vim lima per scp edidit cum uno imperio. Hoc modo tabella localiter simpliciter creat /tmpet tunc eam semel restituimus ex exemplaribus vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Nota: forma paullo differt a vulgari scp. Post exercitum habemus duplicem //. Haec est absoluta via. Una slash indicabit viam relativam ad domum tuam folder users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Si hunc errorem vides, duplex praecepti forma reprehendo. Syntaxis erroris plerumque significat.
16. Adscendens remotis SSH ut loci folder cum SSHFS
per sshfs - lima ratio clientis ssh - possumus coniungere directorium localem ad locum remotum cum omnibus interationibus lima in sessione encrypted ssh.
localhost:~$ apt install sshfs
Install sarcina in Ubuntu et Debian sshfset tum remotum locum conscendimus ad nostram rationem.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. SSH Multiplexing cum ControlPath
Defalta, si nexus existens remoto servo utens ssh secundo nexu utens ssh aut scp novam sessionem addit cum authenticas. Option ControlPath sessionem existentem pro omnibus necessariis subsequentibus adhiberi permittit. Hoc signanter accelerare processum erit: effectus notabilis est etiam in retis localibus, et multo magis cum remotis opibus connectens.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath nominat nervum ad reprimendam novas nexus ad videndum an sessionis activae sit ssh. Ultima optio significat quod etiam postquam consolatorium exit, sessionem existentem per 10 minutas apertas manebit, ut hoc tempore in nervum existentem reiungere possis. pro maiori, see auxilium. ssh_config man.
18. Stream video super SSH usura VLC et SFTP
Etiam tempor tempus users ssh ΠΈ vlc (Video Lan Client) Non semper conscii sunt hanc optionem opportunam, cum vere opus est ut video in retiaculis spectare. In occasus File | Apertum Network Stream programs vlc potes intrare locum ut sftp://. Si tesseram requiri, promptum apparebit.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Duo-factor authenticas
Eadem duo factores authenticas ut ratio ripae vel Ratio Google applicatur ad servitium SSH.
Scilicet, ssh initio munus authenticas bifariam habet, quod tesseram et clavem SSH significat. Commodum instrumenti ferrarii vel Google Authenticatoris app est quod plerumque alia corporis fabrica.
Vide nos VIII-minute dux est .
20. Saliendo exercituum cum ssh et -J *
Si retis segmentatio significat tibi per multiplices exercitus ssh salire ut ad finem destinatum retis, -J brevis tempus te servabit.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Summa hic intelligenda est quod hoc non est idem cum imperio ssh host1tum user@host1:~$ ssh host2 etc. -J optione callide adhibet procuret ut cogeret localem exercitum ad constituendum sessionem cum exercitu proximo in vinculo. Ita in exemplo praemisso, noster localis est authentico host4. Hoc est, claves nostri locales adhibentur, et sessio ab locali ad host4 omnino encrypta est.
Talis enim possibilitas in ssh_config specificare configuratione optionem ProxyJump. Si regulariter per plures turmas ire debebis, automatio per config multum temporis servabit.
21. Acta SSH violente conatus per iptables
Quicumque officium SSH administravit et ligna aspexit ac novit de numero violentiae violentiae inceptis quae singulis horis cotidie fiunt. Celeriter ad redigendum sonitum in lignis est movendum SSH ad portum non vexillum. Mutationes in tabella sshd_config per configuratione parametri Portus ##.
cum iptables Facillime etiam obstruere conatus potes ad portum aliquem limen attingendum coniungere. Facilis modus ad hoc est usus , quia non solum impedit SSH, sed fasciculum aliorum consiliorum intrusionis intrusionis (HIDS) dat.
22. SSH Effugere ad mutationem portum procuret
Et exemplum nostrum ultimum ssh volueruntque mutare portum procuret in musca intra sessionem existentem ssh. Hunc finge missionis. Profunda es in retis; forsitan tripudio super dimidium duodecim exercituum et portum localem in workstation quae transmittuntur ad Microsoft SMB fenestrae veteris systematis MMIII (quis memini ms2003-08?).
Clicking enter, Conare introitum in consolatorium ~C. Haec est series sessionis imperium quae permittit ut mutationes nexum existentem reddas.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Hic videre potes nos portum localem nostrum 1445 ad Fenestram MMIII exercitum quam in retis internis invenimus. Nunc iustus run msfconsoleet movere potes (si modo isto exercitu uti cogitas).
completionem
Haec exempla, apicibus et praeceptis ssh initium dare debet; Plura de singulis praeceptis et facultatibus in homine paginae praesto sunt.man ssh, man ssh_config, man sshd_config).
Semper captus sum facultate rationum accedendi et ubique terrarum mandata exequendi. Per artes cum developing sicut instrumenta ssh efficacior fies in omni ludo ludere.
Source: www.habr.com