Praktesch Beispiller , déi Är Fäegkeeten als Fernsystemadministrator op en neien Niveau bréngen. Kommandoen an Tipps hëllefen net nëmmen ze benotzen SSH, mee navigéiert och am Netz méi kompetent.
Wëssen e puer Tricken ssh nëtzlech fir all Systemadministrator, Netzwierkingenieur oder Sécherheetsspezialist.
Praktesch SSH Beispiller
Éischt d'Basis
Parsing vun der SSH Kommandozeil
Déi folgend Beispill benotzt allgemeng Parameteren déi dacks begéint ginn wann Dir mat engem Fernserver verbënnt SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Debugging Output ass besonnesch nëtzlech wann Dir Authentifikatiounsproblemer analyséiert. Kann e puer Mol benotzt ginn fir zousätzlech Informatioun ze weisen.- p 22: Verbindung port op en Remote SSH Server. 22 muss net spezifizéiert ginn, well dëst de Standardwäert ass, awer wann de Protokoll op engem aneren Hafen ass, spezifizéiere mir et mam Parameter-p. Den Nolauschtersport gëtt an der Datei spezifizéiertsshd_configam FormatPort 2222.-C: Kompressioun fir Verbindung. Wann Dir eng lues Verbindung hutt oder vill Text kuckt, kann dëst d'Verbindung beschleunegen.neo@: D'Linn virum @ Symbol weist de Benotzernumm fir d'Authentifikatioun um Fernserver un. Wann Dir et net spezifizéiert, gëtt et als Standard de Benotzernumm vum Kont op deem Dir am Moment ageloggt sidd (~$whoami). De Benotzer kann och mat dem Parameter spezifizéiert ginn-l.remoteserver: Numm vum Host fir ze verbannenssh, Dëst kann e komplett qualifizéierten Domain Numm, eng IP Adress oder all Host an der lokaler Hostdatei sinn. Fir mat engem Host ze verbannen, deen souwuel IPv4 an IPv6 ënnerstëtzt, kënnt Dir de Parameter op d'Kommandozeil addéieren-4oder-6fir déi richteg Opléisung.
All vun den uewe Parameteren sinn fakultativ ausser remoteserver.
Benotzt d'Konfiguratiounsdatei
Och wa vill mat der Datei vertraut sinn sshd_config, et gëtt och e Client Konfiguratiounsdatei fir de Kommando ssh. Default Wäert ~/.ssh/config, mee et kann als Parameter fir eng Optioun definéiert ginn -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyEt ginn zwou Hostentréeën an der Beispill ssh Konfiguratiounsdatei hei uewen. Déi éischt bedeit all Hosten, all benotzt de Konfiguratiounsparameter Port 2222. Deen zweete seet dat fir den Host Fernserver en anere Benotzernumm, Port, FQDN an IdentityFile solle benotzt ginn.
Eng Konfiguratiounsdatei kann vill Schreifzäit spueren andeems d'fortgeschratt Konfiguratioun automatesch applizéiert gëtt wann Dir mat spezifesche Hosten verbënnt.
Kopie vun Dateien iwwer SSH mat SCP
Den SSH Client kënnt mat zwee aner ganz praktesch Tools fir Dateien ze kopéieren verschlësselte ssh Verbindung. Kuckt hei ënnen fir e Beispill vun der Standardverbrauch vun de scp a sftp Kommandoen. Bedenkt datt vill vun den ssh Optiounen och fir dës Kommandoen gëllen.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngAn dësem Beispill d'Datei mypic.png kopéiert op Fernserver an den Dossier /media/daten an ëmbenannt ze mypic_2.png.
Vergiesst net iwwer den Ënnerscheed am Portparameter. Dëst ass wou vill Leit gefaange ginn wann se starten scp vun der Kommandozeil. Hei ass de Portparameter -P, an net -p, grad wéi an engem ssh Client! Dir wäert vergiessen, awer maach der keng Suergen, jidderee vergiess.
Fir déi, déi mat der Konsol vertraut sinn ftp, vill vun de Kommandoen sinn ähnlech an sftp. Dir kënnt maachen Prozedur, setzen и lswéi d'Häerz wënscht.
sftp neo@remoteserverPraktesch Beispiller
A ville vun dëse Beispiller kënnen d'Resultater mat verschiddene Methoden erreecht ginn. Wéi an all eis a Beispiller, Preferenz fir praktesch Beispiller gëtt, datt einfach hir Aarbecht maachen.
1. SSH socks Proxy
D'SSH Proxy Feature ass Nummer 1 fir e gudde Grond. Et ass méi mächteg wéi vill realiséieren a gëtt Iech Zougang zu all System op deen de Fernserver Zougang huet, mat praktesch all Applikatioun. En ssh Client kann den Traffic duerch e SOCKS Proxy mat engem einfachen Kommando tunneléieren. Et ass wichteg ze verstoen datt de Verkéier op Fernsystemer vun engem Fernserver kënnt, dëst gëtt an de Webserver Logbicher uginn.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshHei lafe mir e Socken Proxy op TCP Hafen 8888, den zweeten Kommando kontrolléiert datt den Hafen am Hörermodus aktiv ass. 127.0.0.1 weist datt de Service nëmmen op localhost leeft. Mir kënnen e bëssen anere Kommando benotze fir op all Interfaces ze lauschteren, dorënner Ethernet oder Wifi, dëst erlaabt aner Applikatiounen (Browser, etc.) op eisem Netz fir mam Proxy Service duerch den ssh socks Proxy ze verbannen.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverElo kënne mir de Browser konfiguréieren fir mat de Socken Proxy ze verbannen. Am Firefox, wielt Astellungen | Basis | Reseau Astellunge. Gitt d'IP Adress an den Hafen un fir ze verbannen.
Notéiert w.e.g. d'Optioun um Enn vum Formulaire fir och Är DNS-Ufroe vun Ärem Browser duerch e SOCKS Proxy ze goen. Wann Dir e Proxy-Server benotzt fir de Webverkéier op Ärem lokalen Netzwierk ze verschlësselen, wëllt Dir wahrscheinlech dës Optioun auswielen, sou datt DNS-Ufroen duerch d'SSH-Verbindung tunneléiert ginn.
Aktivéiert Socken Proxy am Chrome
Chrome mat bestëmmte Kommandozeilparameter lancéiere wäert de Socken Proxy aktivéieren, souwéi DNS-Ufroe vum Browser Tunnel. Vertrauen awer kontrolléieren. Benotzt fir ze kontrolléieren ob DNS Ufroen net méi sichtbar sinn.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Benotzt aner Uwendungen mat engem Proxy
Denkt drun datt vill aner Uwendungen och Socken Proxy benotzen. De Webbrowser ass einfach de beléifste vun hinnen all. E puer Applikatiounen hunn Konfiguratiounsoptioune fir e Proxy-Server z'aktivéieren. Anerer brauchen e bëssen Hëllef mat engem Helfer Programm. Zum Beispill, erlaabt Iech duerch eng socks Proxy Microsoft RDP, etc.
localhost:~$ proxychains rdesktop $RemoteWindowsServerSocks Proxy Konfiguratiounsparameter sinn an der Proxychains Konfiguratiounsdatei gesat.
Tipp: Wann Dir Remote Desktop vu Linux op Windows benotzt? Probéiert de Client . Dëst ass eng méi modern Ëmsetzung wéi
rdesktop, mat enger vill méi glatter Erfahrung.
Optioun fir SSH iwwer Socken Proxy ze benotzen
Dir sëtzt an engem Café oder Hotel - a sidd gezwongen éischter onzouverlässeg WiFi ze benotzen. Mir lancéieren en ssh Proxy lokal vun engem Laptop an installéieren en ssh Tunnel an d'Heemnetz op engem lokalen Rasberry Pi. Mat engem Browser oder aner Applikatiounen, déi fir e Socken Proxy konfiguréiert sinn, kënne mir Zougang zu all Netzwierkservicer op eisem Heemnetz oder op den Internet iwwer eis Heemverbindung kréien. Alles tëscht Ärem Laptop an Ärem Heemserver (iwwer Wi-Fi an Internet zu Ärem Heem) ass an engem SSH Tunnel verschlësselt.
2. SSH Tunnel (Port Forwarding)
A senger einfachster Form mécht en SSH Tunnel einfach en Hafen op Ärem lokalen System op, deen mat engem aneren Hafen um aneren Enn vum Tunnel verbënnt.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Loosst eis de Parameter kucken -L. Et kann als déi lokal Säit vum Nolauschteren geduecht ginn. Also am Beispill hei uewen lauschtert den Hafen 9999 op der localhost Säit an iwwer den Hafen 80 op de Remoteserver weider. Notéiert w.e.g. datt 127.0.0.1 op localhost um Remote Server bezitt!
Loosst eis de Schrëtt eropgoen. Déi folgend Beispill kommunizéiert Nolauschtererhäfen mat anere Hosten am lokalen Netzwierk.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverAn dëse Beispiller verbannen mir mat engem Hafen um Webserver, awer dëst kéint e Proxy-Server oder all aner TCP-Service sinn.
3. SSH Tunnel zu engem Drëttubidder Host
Mir kënnen déiselwecht Parameter benotzen fir en Tunnel vun engem Fernserver mat engem anere Service op engem drëtte System ze verbannen.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverAn dësem Beispill redirectéiere mir en Tunnel vum Remoteserver op e Webserver deen op 10.10.10.10 leeft. Verkéier vum Remoteserver bis 10.10.10.10 net méi am SSH-Tunnel. De Webserver op 10.10.10.10 betruecht de Remoteserver als Quell vu Webufroen.
4. Ëmgedréit SSH Tunnel
Hei konfiguréieren mir en Nolauschtersport um Remote Server deen zréck op de lokalen Hafen op eisem localhost (oder anere System) verbënnt.
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverDës SSH Sessioun etabléiert eng Verbindung vum Hafen 1999 um Remoteserver zum Port 902 op eisem lokalen Client.
5. SSH ëmgedréint Proxy
An dësem Fall setzen mir e Socks Proxy op eiser ssh Verbindung, awer de Proxy lauschtert um Fernend vum Server. Verbindunge mat dësem Remote Proxy schéngen elo aus dem Tunnel als Traffic vun eisem Localhost.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverTroubleshooting Problemer mat Remote SSH Tunnels
Wann Dir Probleemer hutt mat Remote SSH Optiounen ze schaffen, kontrolléiert mat netstat, wéi eng aner Schnëttplazen den Nolauschterport ugeschloss ass. Obwuel mir uginn 0.0.0.0 an de Beispiller, mä wann de Wäert GatewayPorts в sshd_config setzen op nee, da gëtt den Nolauschterer nëmmen un localhost gebonnen (127.0.0.1).
Sécherheet Warnung
Notéiert w.e.g. datt andeems Dir Tunnelen a Socken Proxyen opmaacht, intern Ressourcen fir net vertraute Netzwierker zougänglech sinn (wéi den Internet!). Dëst kann e seriéise Sécherheetsrisiko sinn, also vergewëssert Iech datt Dir verstitt wat den Nolauschterer ass a wat se Zougang zu hunn.
6. Installéiere VPN iwwer SSH
E gemeinsame Begrëff ënner Spezialisten an Attackemethoden (Pentesters, asw.) ass "e Stützpunkt am Netz." Wann eng Verbindung op engem System etabléiert ass, gëtt dee System de Paart fir weider Zougang zum Netz. E Stützpunkt deen Iech erlaabt Iech an der Breet ze bewegen.
Fir esou Foussgänger kënne mir en SSH Proxy benotzen an Proxychains, awer et ginn e puer Aschränkungen. Zum Beispill wäert et net méiglech sinn direkt mat Sockets ze schaffen, sou datt mir net fäeg sinn Ports am Netz ze scannen SYN.
Mat dëser méi fortgeschratt VPN Optioun gëtt d'Verbindung reduzéiert op Niveau 3. Mir kënnen dann einfach Traffic duerch den Tunnel route mat Standard Netzwierk Routing.
D'Method benotzt ssh, iptables, tun interfaces an Routing.
Als éischt musst Dir dës Parameteren astellen sshd_config. Well mir Ännerungen un den Interfaces vu béide Fern- a Clientsystemer maachen, hu mir brauch root Rechter op béide Säiten.
PermitRootLogin yes
PermitTunnel yesDa wäerte mir eng ssh Verbindung mat dem Parameter etabléieren deen d'Initialiséierung vun Tun Geräter freet.
localhost:~# ssh -v -w any root@remoteserver
Mir sollten elo en Tun-Apparat hunn wann Dir Interfaces weist (# ip a). De nächste Schrëtt wäert IP Adressen un d'Tunnel-Interfaces addéieren.
SSH Client Säit:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upSSH Server Säit:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Elo hu mir en direkten Wee op en aneren Host (route -n и ping 10.10.10.10).
Dir kënnt all Subnet duerch e Host op der anerer Säit route.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Op der Remote Säit musst Dir aktivéieren ip_forward и iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBomm! VPN iwwer SSH Tunnel op Netzwierkschicht 3. Elo ass et eng Victoire.
Wann Problemer optrieden, benotzen и pingd'Ursaach ze bestëmmen. Well mir op der Layer 3 spillen, ginn eis icmp Päck duerch dësen Tunnel.
7. Kopéiert den SSH Schlëssel (ssh-copy-id)
Et gi verschidde Weeër fir dëst ze maachen, awer dëst Kommando spuert Zäit andeems Dir Dateien net manuell kopéiert. Et kopéiert einfach ~/.ssh/id_rsa.pub (oder de Standardschlëssel) vun Ärem System op ~/.ssh/authorized_keys op engem Fernserver.
localhost:~$ ssh-copy-id user@remoteserver
8. Remote Kommando Ausféierung (net-interaktiv)
D'Equipe ssh Kann mat anere Kommandoen fir eng gemeinsam, User-frëndlech Interface verbonne ginn. Füügt just de Kommando un, deen Dir wëllt op de Fernhost lafen als de leschte Parameter an Zitater.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
An dësem Beispill grep op de lokale System ausgefouert nodeems de Log iwwer ssh Kanal erofgeluede gouf. Wann d'Datei grouss ass, ass et méi bequem ze lafen grep op der Remote Säit andeems Dir béid Kommandoen einfach an duebel Zitaten ëmschléisst.
En anert Beispill mécht déiselwecht Funktioun wéi ssh-copy-id vum Beispill 7.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Remote Packet Capture a kucken an Wireshark
Ech hunn ee vun eis geholl . Benotzt et fir Päckchen op afstand ze fangen an d'Resultater direkt an der lokaler Wireshark GUI ze weisen.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Kopéiert e lokalen Dossier op e Fernserver iwwer SSH
E flotten Trick deen en Dossier kompriméiert benotzt bzip2 (dëst ass d'-j Optioun am Kommando tar), an hëlt dann de Stream zréck bzip2 op der anerer Säit, en duplizéierten Dossier um Fernserver erstellen.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Remote GUI Uwendungen mat SSH X11 Forwarding
Wann X um Client an dem Remote Server installéiert ass, da kënnt Dir e GUI Kommando mat enger Fënster op Ärem lokalen Desktop ausféieren. Dës Fonktioun ass scho laang ronderëm, awer ass ëmmer nach ganz nëtzlech. Lancéiere e Remote Webbrowser oder souguer d'VMWawre Workstation Konsole wéi ech an dësem Beispill maachen.
localhost:~$ ssh -X remoteserver vmware
Néideg String X11Forwarding yes am Fichier sshd_config.
12. Remote Datei kopéieren mat rsync an SSH
rsync vill méi bequem scp, wann Dir periodesch Backupe vun engem Verzeichnis braucht, eng grouss Zuel vu Fichieren oder ganz grouss Dateien. Et gëtt eng Funktioun fir d'Erhuelung vun engem Transferfehler an nëmmen geännert Dateien ze kopéieren, wat Traffic an Zäit spuert.
Dëst Beispill benotzt Kompressioun gzip (-z) an den Archivmodus (-a), deen rekursiv Kopie erlaabt.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH iwwer dem Tor Netzwierk
Den anonyme Tor-Netzwierk kann den SSH-Traffic tunnel mam Kommando benotzen torsocks. De folgende Kommando wäert den ssh Proxy duerch Tor passéieren.
localhost:~$ torsocks ssh myuntracableuser@remoteserverwäert port 9050 op localhost fir Proxy benotzen. Wéi ëmmer, wann Dir Tor benotzt, musst Dir eescht iwwerpréiwen wat de Traffic tunneléiert gëtt an aner Operatiounssécherheet (Opsec) Themen. Wou ginn Är DNS Ufroen hin?
14. SSH zu EC2 Instanz
Fir mat enger EC2 Instanz ze verbannen, braucht Dir e private Schlëssel. Luet et erof (.pem Extensioun) vun der Amazon EC2 Kontrollpanel an ännert d'Permissiounen (chmod 400 my-ec2-ssh-key.pem). Haalt de Schlëssel op enger sécherer Plaz oder setzt se an Ärem eegenen Dossier ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
Parameter -i seet einfach dem ssh Client dëse Schlëssel ze benotzen. Fichier ~/.ssh/config Ideal fir automatesch Schlësselverbrauch ze konfiguréieren wann Dir mat engem ec2 Host verbënnt.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Änneren Textdateien mat VIM iwwer ssh / scp
Fir all Liebhaber vim Dësen Tipp wäert Zäit spueren. Duerch d'Benotzung vim Dateien ginn iwwer scp mat engem Kommando geännert. Dës Method erstellt einfach d'Datei lokal an /tmpan dann kopéiert et zréck eemol mir et gerett aus vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Notiz: d'Format ass liicht anescht wéi dat gewéinlech scp. Nom Gaascht hu mir duebel //. Dëst ass eng absolut Wee Referenz. Ee Slash weist e Wee relativ zu Ärem Heemdopper un users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Wann Dir dëse Feeler gesitt, kontrolléiert de Kommandoformat duebel. Dëst bedeit normalerweis e Syntaxfehler.
16. Montéierung vun engem Remote SSH als lokalen Dossier mat SSHFS
Mat der Hëllef vun sshfs - Dateisystem Client ssh - mir kënnen e lokalen Verzeechnes mat enger Fernplaz mat all Dateiinteraktiounen an enger verschlësselter Sessioun verbannen ssh.
localhost:~$ apt install sshfs
Installéiert de Package op Ubuntu an Debian sshfs, an dann einfach d'Fernplaz op eise System montéieren.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. SSH Multiplexing mat ControlPath
Par défaut, wann et eng existent Verbindung zu engem Remote Server benotzt ssh zweet Verbindung benotzt ssh oder scp etabléiert eng nei Sessioun mat zousätzlech Authentifikatioun. Optioun ControlPath erlaabt déi existent Sessioun fir all spéider Verbindungen ze benotzen. Dëst wäert de Prozess wesentlech beschleunegen: den Effekt ass och op engem lokalen Netzwierk bemierkbar, an nach méi wann Dir mat Fernressourcen verbënnt.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath spezifizéiert de Socket fir nei Verbindungen ze kontrolléieren fir ze kucken ob et eng aktiv Sessioun ass ssh. Déi lescht Optioun bedeit datt och nodeems Dir d'Konsole verlooss hutt, déi existent Sessioun fir 10 Minutten op bleift, also während dëser Zäit kënnt Dir op déi existent Socket erëm konnektéieren. Fir méi Informatioun, kuckt d'Hëllef. ssh_config man.
18. Stream Video iwwer SSH mat VLC a SFTP
Och laang Zäit Benotzer ssh и vlc (Video Lan Client) sinn net ëmmer bewosst vun dëser praktesch Optioun wann Dir wierklech e Video iwwer de Reseau kucken muss. An Astellungen Datei | Open Network Stream Programmer vlc Dir kënnt de Standuert gitt als sftp://. Wann e Passwuert erfuerderlech ass, erschéngt eng Ufro.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Zwee-Faktor Authentifikatioun
Déi selwecht Zwee-Faktor Authentifikatioun wéi Äre Bankkonto oder Google Kont gëllt fir den SSH Service.
Natiirlech, ssh huet am Ufank eng zwee-Faktor Authentifikatioun Funktioun, dat heescht e Passwuert an engem SSH Schlëssel. De Virdeel vun engem Hardware Token oder Google Authenticator App ass datt et normalerweis en aneren physeschen Apparat ass.
Gesinn eis 8-Minutt Guide ze .
20. Sprangen Hosten mat ssh an -J
Wann d'Netz Segmentatioun bedeit datt Dir duerch verschidde ssh Hosten hopsen musst fir an d'Finale Destinatiounsnetz ze kommen, spuert d'-J Ofkiirzung Iech Zäit.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Den Haapt Saach hei ze verstoen ass datt dëst net d'selwecht ass wéi de Kommando ssh host1, dann user@host1:~$ ssh host2 etc.. D'Optioun -J benotzt clever Forwarding fir localhost ze zwéngen fir eng Sessioun mam nächste Host an der Kette opzebauen. Also am uewe genannte Beispill ass eise localhost op Host4 authentifizéiert. Dat ass, eis localhost Schlësselen ginn benotzt, an d'Sessioun vum localhost op Host4 ass komplett verschlësselt.
Fir esou eng Méiglechkeet an ssh_config uginn Configuratioun Optioun ProxyJump. Wann Dir regelméisseg duerch verschidde Hosten muss goen, da wäert d'Automatisatioun duerch d'Konfiguratioun vill Zäit spueren.
21. Block SSH brute Force Versich mat iptables
Jiddereen deen en SSH Service verwalt huet an d'Logbicher gekuckt huet, weess iwwer d'Zuel vun de brute Force Versich, déi all Stonn vun all Dag optrieden. E séiere Wee fir Kaméidi an de Logbicher ze reduzéieren ass SSH op en net-Standard Hafen ze réckelen. Maacht Ännerungen an der Datei sshd_config iwwer Configuratioun Parameter Port ##.
Mat der Hëllef vun iptables Dir kënnt och einfach Versich blockéieren fir mat engem Hafen ze verbannen wann Dir e bestëmmte Schwell erreecht. En einfache Wee fir dëst ze maachen ass ze benotzen , well et net nëmmen SSH blockéiert, mee mécht eng Rëtsch aner Hostnumm-baséiert Intrusion Detection (HIDS) Moossnamen.
22. SSH Fluchtweeër port Forwarding änneren
An eist lescht Beispill ssh entworf port Forwarding op der fléien bannent enger bestehend Sëtzung änneren ssh. Stellt Iech dëst Szenario vir. Dir sidd déif am Netz; hu vläicht iwwer eng hallef Dosen Hosten gesprongen a brauch e lokalen Hafen op der Aarbechtsstatioun, déi un de Microsoft SMB vun engem alen Windows 2003 System weidergeleet gëtt (jiddereen erënnert sech un ms08-67?).
Klick enter, probéiert an der Konsole anzeginn ~C. Dëst ass eng Sessiounskontrollsequenz déi Ännerunge fir eng existent Verbindung erlaabt.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Hei kënnt Dir gesinn datt mir eise lokalen Hafen 1445 op e Windows 2003 Host weiderginn hunn dee mir am internen Netzwierk fonnt hunn. Elo einfach lafen msfconsole, an Dir kënnt weidergoen (unhuelen datt Dir plangt dëse Host ze benotzen).
Komplett
Dës Beispiller, Tipps a Kommandoen ssh soll e Startpunkt ginn; Méi Informatioun iwwer jidderee vun de Kommandoen a Fäegkeeten ass verfügbar op de Man Säiten (man ssh, man ssh_config, man sshd_config).
Ech war ëmmer faszinéiert vun der Fäegkeet fir Zougang zu Systemer ze kréien an Kommandoen iwwerall op der Welt auszeféieren. Andeems Dir Är Kompetenzen mat Tools wéi ssh Dir wäert méi efficace ginn an all Spill Dir Leeschtung.
Source: will.com