ຕົວຢ່າງພາກປະຕິບັດ SSH, ເຊິ່ງຈະເອົາທັກສະຂອງທ່ານເປັນຜູ້ເບິ່ງແຍງລະບົບຫ່າງໄກສອກຫຼີກໄປສູ່ລະດັບໃຫມ່. ຄໍາສັ່ງແລະຄໍາແນະນໍາຈະຊ່ວຍໃຫ້ບໍ່ພຽງແຕ່ການນໍາໃຊ້ SSH, ແຕ່ຍັງນໍາທາງເຄືອຂ່າຍຄວາມສາມາດຫຼາຍ.

ຮູ້ tricks ບໍ່ຫຼາຍປານໃດ ssh ເປັນປະໂຫຍດຕໍ່ຜູ້ບໍລິຫານລະບົບ, ວິສະວະກອນເຄືອຂ່າຍ ຫຼືຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພ.

ຕົວຢ່າງ SSH ທີ່ໃຊ້ໄດ້

1. SSH socks proxy
2. ອຸໂມງ SSH (ການສົ່ງຕໍ່ພອດ)
3. ອຸໂມງ SSH ໄປຫາເຈົ້າພາບທີສາມ
4. Reverse SSH tunnel
5. SSH reverse proxy
6. ກຳລັງຕິດຕັ້ງ VPN ຜ່ານ SSH
7. ສຳເນົາລະຫັດ SSH (ssh-copy-id)
8. ການປະຕິບັດຄໍາສັ່ງໄລຍະໄກ (ບໍ່ໂຕ້ຕອບ)
9. ບັນທຶກ ແລະເບິ່ງແພັກເກັດໄລຍະໄກໃນ Wireshark
10. ສຳເນົາໂຟນເດີທ້ອງຖິ່ນໃສ່ເຊີບເວີທາງໄກຜ່ານ SSH
11. ແອັບພລິເຄຊັນ GUI ໄລຍະໄກດ້ວຍການສົ່ງຕໍ່ SSH X11
12. ການຄັດລອກໄຟລ໌ໄລຍະໄກໂດຍໃຊ້ rsync ແລະ SSH
13. SSH ຜ່ານເຄືອຂ່າຍ Tor
14. SSH ຫາ EC2 ຕົວຢ່າງ
15. ການແກ້ໄຂໄຟລ໌ຂໍ້ຄວາມໂດຍໃຊ້ VIM ຜ່ານ ssh/scp
16. ເຊື່ອມຕໍ່ SSH ໄລຍະໄກເປັນໂຟນເດີທ້ອງຖິ່ນດ້ວຍ SSHFS
17. Multiplexing SSH ກັບ ControlPath
18. ຖ່າຍທອດວິດີໂອຜ່ານ SSH ໂດຍໃຊ້ VLC ແລະ SFTP
19. ການພິສູດຢືນຢັນສອງປັດໃຈ
20. ໂດດໂຮສດ້ວຍ SSH ແລະ -J
21. ການຂັດຂວາງຄວາມພະຍາຍາມຂອງ SSH brute force ໂດຍໃຊ້ iptables
22. SSH Escape ເພື່ອປ່ຽນການສົ່ງຕໍ່ພອດ

ກ່ອນອື່ນ ໝົດ, ພື້ນຖານ

parsing ເສັ້ນຄໍາສັ່ງ SSH

ຕົວຢ່າງຕໍ່ໄປນີ້ໃຊ້ຕົວກໍານົດການທົ່ວໄປທີ່ພົບເລື້ອຍໆໃນເວລາທີ່ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: ຜົນການດີບັ໊ກແມ່ນເປັນປະໂຫຍດໂດຍສະເພາະເມື່ອວິເຄາະບັນຫາການພິສູດຢືນຢັນ. ສາມາດໃຊ້ຫຼາຍຄັ້ງເພື່ອສະແດງຂໍ້ມູນເພີ່ມເຕີມ.
• - p 22: ພອດການເຊື່ອມຕໍ່ ກັບເຄື່ອງແມ່ຂ່າຍ SSH ຫ່າງໄກສອກຫຼີກ. 22 ບໍ່ຈໍາເປັນຕ້ອງລະບຸ, ເພາະວ່ານີ້ແມ່ນຄ່າເລີ່ມຕົ້ນ, ແຕ່ຖ້າໂປໂຕຄອນຢູ່ໃນພອດອື່ນ, ພວກເຮົາກໍານົດມັນໂດຍໃຊ້ພາລາມິເຕີ. -p. ພອດຟັງແມ່ນລະບຸໄວ້ໃນໄຟລ໌ sshd_config ໃນຮູບແບບ Port 2222.
• -C: ການບີບອັດສໍາລັບການເຊື່ອມຕໍ່. ຖ້າທ່ານມີການເຊື່ອມຕໍ່ຊ້າຫຼືເບິ່ງຂໍ້ຄວາມຫຼາຍ, ນີ້ສາມາດເຮັດໃຫ້ການເຊື່ອມຕໍ່ໄວຂຶ້ນ.
• neo@: ເສັ້ນກ່ອນສັນຍາລັກ @ ຊີ້ບອກຊື່ຜູ້ໃຊ້ສໍາລັບການພິສູດຢືນຢັນໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ. ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ບໍ່​ໄດ້​ລະ​ບຸ​ມັນ​, ມັນ​ຈະ​ເລີ່ມ​ຕົ້ນ​ກັບ​ຊື່​ຜູ້​ໃຊ້​ຂອງ​ບັນ​ຊີ​ທີ່​ທ່ານ​ກໍາ​ລັງ​ເຂົ້າ​ສູ່​ລະ​ບົບ​ໃນ​ປັດ​ຈຸ​ບັນ (~$whoami​)​. ຜູ້ໃຊ້ຍັງສາມາດຖືກກໍານົດໂດຍໃຊ້ພາລາມິເຕີ -l.
• remoteserver: ຊື່ຂອງເຈົ້າພາບທີ່ຈະເຊື່ອມຕໍ່ກັບ ssh, ນີ້ສາມາດເປັນຊື່ໂດເມນທີ່ມີຄຸນສົມບັດຄົບຖ້ວນ, ທີ່ຢູ່ IP, ຫຼືໂຮດໃດໆໃນໄຟລ໌ໂຮດທ້ອງຖິ່ນ. ເພື່ອເຊື່ອມຕໍ່ກັບໂຮດທີ່ຮອງຮັບທັງ IPv4 ແລະ IPv6, ທ່ານສາມາດເພີ່ມພາລາມິເຕີໃສ່ເສັ້ນຄໍາສັ່ງ -4 ຫຼື -6 ສໍາລັບການແກ້ໄຂທີ່ເຫມາະສົມ.

ຕົວກໍານົດການຂ້າງເທິງທັງຫມົດແມ່ນທາງເລືອກຍົກເວັ້ນ remoteserver.

ການ​ນໍາ​ໃຊ້​ໄຟລ​໌​ການ​ຕັ້ງ​ຄ່າ​

ເຖິງແມ່ນວ່າຈໍານວນຫຼາຍມີຄວາມຄຸ້ນເຄີຍກັບໄຟລ໌ sshd_config, ຍັງມີໄຟລ໌ການຕັ້ງຄ່າລູກຄ້າສໍາລັບຄໍາສັ່ງ ssh. ຄ່າເລີ່ມຕົ້ນ ~/.ssh/config, ແຕ່ມັນສາມາດຖືກກໍານົດເປັນພາລາມິເຕີສໍາລັບທາງເລືອກ -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

ມີສອງລາຍການເຈົ້າພາບໃນຕົວຢ່າງໄຟລ໌ການຕັ້ງຄ່າ ssh ຂ້າງເທິງ. ອັນທໍາອິດຫມາຍເຖິງໂຮດທັງຫມົດ, ທັງຫມົດໂດຍໃຊ້ພາລາມິເຕີການຕັ້ງຄ່າ Port 2222. ອັນທີສອງເວົ້າວ່າສໍາລັບເຈົ້າພາບ. ເຊີບເວີທາງໄກ ຄວນໃຊ້ຊື່ຜູ້ໃຊ້, ພອດ, FQDN ແລະ IdentityFile ທີ່ແຕກຕ່າງກັນ.

ໄຟລ໌ການຕັ້ງຄ່າສາມາດປະຫຍັດເວລາພິມໄດ້ຫຼາຍໂດຍການອະນຸຍາດໃຫ້ການຕັ້ງຄ່າຂັ້ນສູງຖືກນຳໃຊ້ໂດຍອັດຕະໂນມັດເມື່ອເຊື່ອມຕໍ່ກັບໂຮສສະເພາະ.

ສຳເນົາໄຟລ໌ຜ່ານ SSH ໂດຍໃຊ້ SCP

ລູກຄ້າ SSH ມາພ້ອມກັບສອງເຄື່ອງມືທີ່ມີປະໂຫຍດຫຼາຍສໍາລັບການຄັດລອກໄຟລ໌ ການເຊື່ອມຕໍ່ ssh ທີ່ເຂົ້າລະຫັດໄວ້. ເບິ່ງຂ້າງລຸ່ມນີ້ສໍາລັບຕົວຢ່າງຂອງການນໍາໃຊ້ມາດຕະຖານຂອງຄໍາສັ່ງ scp ແລະ sftp. ໃຫ້ສັງເກດວ່າຫຼາຍທາງເລືອກ ssh ໃຊ້ກັບຄໍາສັ່ງເຫຼົ່ານີ້ເຊັ່ນກັນ.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

ໃນຕົວຢ່າງນີ້ໄຟລ໌ mypic.png ສຳເນົາໃສ່ ເຊີບເວີທາງໄກ ໄປຫາໂຟນເດີ /media/data ແລະປ່ຽນຊື່ເປັນ mypic_2.png.

ຢ່າລືມກ່ຽວກັບຄວາມແຕກຕ່າງຂອງຕົວກໍານົດການພອດ. ນີ້ແມ່ນບ່ອນທີ່ປະຊາຊົນຈໍານວນຫຼາຍໄດ້ຮັບການຈັບໃນເວລາທີ່ພວກເຂົາເປີດຕົວ scp ຈາກບັນທັດຄໍາສັ່ງ. ນີ້ແມ່ນຕົວກໍານົດການພອດ -Pແລະບໍ່ -p, ຄືກັນກັບຢູ່ໃນລູກຄ້າ ssh! ເຈົ້າຈະລືມ, ແຕ່ຢ່າກັງວົນ, ທຸກຄົນລືມ.

ສໍາລັບຜູ້ທີ່ຄຸ້ນເຄີຍກັບ console ftp, ຫຼາຍຄໍາສັ່ງແມ່ນຄ້າຍຄືກັນໃນ sftp. ເຈົ້າສາມາດເຮັດໄດ້ ການຊຸກຍູ້, ເອົາໃຈໃສ່ и lsຕາມທີ່ຫົວໃຈຕ້ອງການ.

sftp neo@remoteserver

ຕົວຢ່າງພາກປະຕິບັດ

ໃນຫຼາຍໆຕົວຢ່າງເຫຼົ່ານີ້, ຜົນໄດ້ຮັບສາມາດບັນລຸໄດ້ໂດຍໃຊ້ວິທີການທີ່ແຕກຕ່າງກັນ. ດັ່ງ​ທີ່​ຢູ່​ໃນ​ທັງ​ຫມົດ​ຂອງ​ພວກ​ເຮົາ​ ປຶ້ມແບບຮຽນ ແລະຕົວຢ່າງ, ຄວາມຕ້ອງການແມ່ນໃຫ້ຕົວຢ່າງພາກປະຕິບັດທີ່ພຽງແຕ່ເຮັດວຽກຂອງເຂົາເຈົ້າ.

1. SSH socks proxy

ຄຸນສົມບັດ SSH Proxy ເປັນອັນດັບ 1 ສໍາລັບເຫດຜົນທີ່ດີ. ມັນມີອໍານາດຫຼາຍກ່ວາຈໍານວນຫຼາຍຮັບຮູ້ແລະໃຫ້ທ່ານເຂົ້າເຖິງລະບົບໃດໆທີ່ເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກໄດ້ເຂົ້າເຖິງ, ການນໍາໃຊ້ເກືອບທຸກຄໍາຮ້ອງສະຫມັກ. ລູກຄ້າ ssh ສາມາດ tunnel traffic ຜ່ານ SOCKS proxy ດ້ວຍຄໍາສັ່ງງ່າຍໆຫນຶ່ງ. ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈວ່າການຈະລາຈອນກັບລະບົບຫ່າງໄກສອກຫຼີກຈະມາຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ, ນີ້ຈະຖືກຊີ້ບອກຢູ່ໃນບັນທຶກຂອງເຄື່ອງແມ່ຂ່າຍເວັບ.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

ໃນທີ່ນີ້ພວກເຮົາດໍາເນີນການ proxy socks ໃນ TCP port 8888, ຄໍາສັ່ງທີສອງກວດເບິ່ງວ່າພອດແມ່ນເຮັດວຽກຢູ່ໃນໂຫມດຟັງ. 127.0.0.1 ຊີ້ບອກວ່າບໍລິການເຮັດວຽກຢູ່ໃນ localhost ເທົ່ານັ້ນ. ພວກເຮົາສາມາດໃຊ້ຄໍາສັ່ງທີ່ແຕກຕ່າງກັນເລັກນ້ອຍເພື່ອຟັງໃນທຸກການໂຕ້ຕອບ, ລວມທັງອີເທີເນັດຫຼື wifi, ນີ້ຈະຊ່ວຍໃຫ້ແອັບພລິເຄຊັນອື່ນໆ (ຕົວທ່ອງເວັບ, ແລະອື່ນໆ) ໃນເຄືອຂ່າຍຂອງພວກເຮົາເຊື່ອມຕໍ່ກັບບໍລິການຕົວແທນຜ່ານ ssh socks proxy.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

ໃນປັດຈຸບັນພວກເຮົາສາມາດ configure ຕົວທ່ອງເວັບເພື່ອເຊື່ອມຕໍ່ກັບ socks proxy. ໃນ Firefox, ເລືອກ ການຕັ້ງຄ່າ | ພື້ນຖານ | ການຕັ້ງຄ່າເຄືອຂ່າຍ. ລະບຸທີ່ຢູ່ IP ແລະພອດເພື່ອເຊື່ອມຕໍ່.

ກະລຸນາສັງເກດທາງເລືອກທີ່ຢູ່ລຸ່ມສຸດຂອງແບບຟອມເພື່ອໃຫ້ການຮ້ອງຂໍ DNS ຂອງຕົວທ່ອງເວັບຂອງທ່ານຜ່ານ SOCKS proxy. ຖ້າທ່ານກໍາລັງໃຊ້ເຄື່ອງແມ່ຂ່າຍຂອງຕົວແທນເພື່ອເຂົ້າລະຫັດການເຂົ້າຊົມເວັບໃນເຄືອຂ່າຍທ້ອງຖິ່ນຂອງທ່ານ, ທ່ານອາດຈະຕ້ອງການເລືອກທາງເລືອກນີ້ເພື່ອໃຫ້ການຮ້ອງຂໍ DNS ຖືກເຈາະຜ່ານການເຊື່ອມຕໍ່ SSH.

ກຳລັງເປີດໃຊ້ proxy socks ໃນ Chrome

ການເປີດຕົວ Chrome ດ້ວຍຕົວກໍານົດການເສັ້ນຄໍາສັ່ງທີ່ແນ່ນອນຈະເປີດໃຊ້ proxy socks, ເຊັ່ນດຽວກັນກັບການຮ້ອງຂໍ DNS tunneling ຈາກຕົວທ່ອງເວັບ. ເຊື່ອແຕ່ກວດສອບ. ໃຊ້ tcpdump ເພື່ອກວດເບິ່ງວ່າການສອບຖາມ DNS ແມ່ນບໍ່ເຫັນໄດ້ອີກຕໍ່ໄປ.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

ການນໍາໃຊ້ຄໍາຮ້ອງສະຫມັກອື່ນໆທີ່ມີຕົວແທນ

ຈົ່ງຈື່ໄວ້ວ່າແອັບພລິເຄຊັນອື່ນໆຈໍານວນຫຼາຍອາດຈະໃຊ້ proxies socks. ຕົວທ່ອງເວັບຂອງເວັບໄຊຕ໌ແມ່ນພຽງແຕ່ເປັນທີ່ນິຍົມຫຼາຍທີ່ສຸດຂອງພວກເຂົາທັງຫມົດ. ບາງແອັບພລິເຄຊັນມີຕົວເລືອກການຕັ້ງຄ່າເພື່ອເປີດໃຊ້ເຊີບເວີພຣັອກຊີ. ຄົນອື່ນຕ້ອງການຄວາມຊ່ວຍເຫຼືອເລັກນ້ອຍກັບໂຄງການຜູ້ຊ່ວຍ. ຍົກ​ຕົວ​ຢ່າງ, ໂສ້ງພຣັອກຊີ ອະນຸຍາດໃຫ້ທ່ານດໍາເນີນການຜ່ານ socks proxy Microsoft RDP, ແລະອື່ນໆ.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

ຕົວກໍານົດການການຕັ້ງຄ່າພຣັອກຊີ Socks ຖືກກໍານົດໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າ proxychains.

ຄໍາແນະນໍາ: ຖ້າທ່ານໃຊ້ desktop ຫ່າງໄກສອກຫຼີກຈາກ Linux ໃນ Windows? ລອງລູກຄ້າ FreeRDP. ນີ້ແມ່ນການປະຕິບັດທີ່ທັນສະໄຫມຫຼາຍກ່ວາ rdesktop, ມີປະສົບການ smoother ຫຼາຍ.

ທາງເລືອກທີ່ຈະໃຊ້ SSH ຜ່ານ socks proxy

ທ່ານກໍາລັງນັ່ງຢູ່ໃນຄາເຟຫຼືໂຮງແຮມ - ແລະຖືກບັງຄັບໃຫ້ໃຊ້ WiFi ທີ່ບໍ່ຫນ້າເຊື່ອຖືຫຼາຍ. ພວກເຮົາເປີດຕົວ ssh proxy ໃນທ້ອງຖິ່ນຈາກແລັບທັອບແລະຕິດຕັ້ງອຸໂມງ ssh ເຂົ້າໄປໃນເຄືອຂ່າຍເຮືອນໃນ Rasberry Pi ທ້ອງຖິ່ນ. ການນໍາໃຊ້ຕົວທ່ອງເວັບຫຼືຄໍາຮ້ອງສະຫມັກອື່ນໆທີ່ກໍາຫນົດຄ່າສໍາລັບ socks proxy, ພວກເຮົາສາມາດເຂົ້າເຖິງການບໍລິການເຄືອຂ່າຍໃດໆໃນເຄືອຂ່າຍບ້ານຂອງພວກເຮົາຫຼືເຂົ້າເຖິງອິນເຕີເນັດໂດຍຜ່ານການເຊື່ອມຕໍ່ບ້ານຂອງພວກເຮົາ. ທຸກຢ່າງລະຫວ່າງແລັບທັອບຂອງເຈົ້າກັບເຊີບເວີໃນເຮືອນຂອງເຈົ້າ (ຜ່ານ Wi-Fi ແລະອິນເຕີເນັດໄປຫາເຮືອນຂອງເຈົ້າ) ຖືກເຂົ້າລະຫັດໄວ້ໃນອຸໂມງ SSH.

2. ອຸໂມງ SSH (ການສົ່ງຕໍ່ພອດ)

ໃນຮູບແບບທີ່ງ່າຍດາຍທີ່ສຸດ, ອຸໂມງ SSH ພຽງແຕ່ເປີດພອດຢູ່ໃນລະບົບທ້ອງຖິ່ນຂອງທ່ານທີ່ເຊື່ອມຕໍ່ກັບພອດອື່ນຢູ່ປາຍອຸໂມງ.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

ໃຫ້ເບິ່ງຢູ່ໃນພາລາມິເຕີ -L. ມັນສາມາດຖືກຄິດວ່າເປັນຝ່າຍທ້ອງຖິ່ນຂອງການຟັງ. ດັ່ງນັ້ນໃນຕົວຢ່າງຂ້າງເທິງ, port 9999 ແມ່ນຟັງຢູ່ຂ້າງ localhost ແລະສົ່ງຕໍ່ຜ່ານ port 80 ໄປຫາ remoteserver. ກະລຸນາສັງເກດວ່າ 127.0.0.1 ຫມາຍເຖິງ localhost ຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ!

ໃຫ້ໄປເຖິງຂັ້ນຕອນ. ຕົວຢ່າງຕໍ່ໄປນີ້ສື່ສານພອດຟັງກັບໂຮດອື່ນໃນເຄືອຂ່າຍທ້ອງຖິ່ນ.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

ໃນຕົວຢ່າງເຫຼົ່ານີ້ພວກເຮົາກໍາລັງເຊື່ອມຕໍ່ກັບພອດຢູ່ໃນເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌, ແຕ່ນີ້ອາດຈະເປັນເຄື່ອງແມ່ຂ່າຍຕົວແທນຫຼືບໍລິການ TCP ອື່ນໆ.

3. ອຸໂມງ SSH ໄປຫາເຈົ້າພາບພາກສ່ວນທີສາມ

ພວກເຮົາສາມາດໃຊ້ຕົວກໍານົດການດຽວກັນເພື່ອເຊື່ອມຕໍ່ອຸໂມງຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກໄປຫາບໍລິການອື່ນທີ່ເຮັດວຽກຢູ່ໃນລະບົບທີສາມ.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

ໃນຕົວຢ່າງນີ້, ພວກເຮົາກໍາລັງປ່ຽນເສັ້ນທາງອຸໂມງຈາກ remoteserver ໄປຫາເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ທີ່ເຮັດວຽກຢູ່ໃນ 10.10.10.10. ການຈະລາຈອນຈາກ remoteserver ຫາ 10.10.10.10 ບໍ່ມີຢູ່ໃນອຸໂມງ SSH ອີກຕໍ່ໄປ. ເຊີບເວີເວັບໃນ 10.10.10.10 ຈະພິຈາລະນາ remoteserver ເປັນແຫຼ່ງຂອງການຮ້ອງຂໍເວັບ.

4. Reverse SSH tunnel

ໃນທີ່ນີ້ພວກເຮົາຈະກໍາຫນົດຄ່າພອດຟັງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກທີ່ຈະເຊື່ອມຕໍ່ກັບຄືນໄປບ່ອນພອດທ້ອງຖິ່ນໃນ localhost ຂອງພວກເຮົາ (ຫຼືລະບົບອື່ນໆ).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

ເຊດຊັນ SSH ນີ້ສ້າງການເຊື່ອມຕໍ່ຈາກພອດ 1999 ເທິງເຊີບເວີຣີໄກໄປຫາພອດ 902 ໃນລູກຄ້າທ້ອງຖິ່ນຂອງພວກເຮົາ.

5. SSH Reverse Proxy

ໃນກໍລະນີນີ້, ພວກເຮົາກໍາລັງຕັ້ງ proxy socks ໃນການເຊື່ອມຕໍ່ ssh ຂອງພວກເຮົາ, ແຕ່ proxy ກໍາລັງຟັງຢູ່ທາງໄກຂອງເຄື່ອງແມ່ຂ່າຍ. ການເຊື່ອມຕໍ່ກັບພຣັອກຊີທາງໄກນີ້ປາກົດຈາກອຸໂມງເປັນການຈະລາຈອນຈາກໂຮສທ້ອງຖິ່ນຂອງພວກເຮົາ.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

ການແກ້ໄຂບັນຫາກັບອຸໂມງ SSH ໄລຍະໄກ

ຖ້າທ່ານມີບັນຫາກັບທາງເລືອກ SSH ຫ່າງໄກສອກຫຼີກເຮັດວຽກ, ໃຫ້ກວດເບິ່ງກັບ netstat, ການໂຕ້ຕອບອັນໃດທີ່ພອດຟັງຖືກເຊື່ອມຕໍ່ກັບ. ເຖິງແມ່ນວ່າພວກເຮົາຊີ້ໃຫ້ເຫັນ 0.0.0.0 ໃນຕົວຢ່າງ, ແຕ່ຖ້າຫາກວ່າມູນຄ່າ GatewayPorts в sshd_config ຕັ້ງ​ຄ່າ no, ຫຼັງຈາກນັ້ນຜູ້ຟັງຈະຖືກຜູກມັດກັບ localhost (127.0.0.1).

ຄຳເຕືອນຄວາມປອດໄພ

ກະລຸນາຮັບຊາບວ່າໂດຍການເປີດ tunnels ແລະ socks proxies, ຊັບພະຍາກອນເຄືອຂ່າຍພາຍໃນອາດຈະສາມາດເຂົ້າເຖິງເຄືອຂ່າຍທີ່ບໍ່ເຊື່ອຖືໄດ້ (ເຊັ່ນ: ອິນເຕີເນັດ!). ນີ້ສາມາດເປັນຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ຮ້າຍແຮງ, ດັ່ງນັ້ນໃຫ້ແນ່ໃຈວ່າທ່ານເຂົ້າໃຈວ່າຜູ້ຟັງແມ່ນຫຍັງແລະສິ່ງທີ່ພວກເຂົາເຂົ້າເຖິງ.

6. ການຕິດຕັ້ງ VPN ຜ່ານ SSH

ຄໍາສັບທົ່ວໄປໃນບັນດາຜູ້ຊ່ຽວຊານໃນວິທີການໂຈມຕີ (ຜູ້ໃສ່ໃຈ, ແລະອື່ນໆ) ແມ່ນ "ເຕັມທີ່ໃນເຄືອຂ່າຍ." ເມື່ອການເຊື່ອມຕໍ່ຖືກສ້າງຕັ້ງຂຶ້ນໃນລະບົບຫນຶ່ງ, ລະບົບນັ້ນຈະກາຍເປັນປະຕູສໍາລັບການເຂົ້າເຖິງເຄືອຂ່າຍຕື່ມອີກ. fulcrum ທີ່ອະນຸຍາດໃຫ້ທ່ານຍ້າຍອອກໄປໃນຄວາມກວ້າງ.

ສໍາລັບ foothold ດັ່ງກ່າວພວກເຮົາສາມາດນໍາໃຊ້ຕົວແທນ SSH ແລະ ໂສ້ງພຣັອກຊີ, ຢ່າງໃດກໍຕາມ, ມີຂໍ້ຈໍາກັດບາງ. ຕົວຢ່າງ, ມັນຈະບໍ່ສາມາດເຮັດວຽກໂດຍກົງກັບຊັອກເກັດໄດ້, ດັ່ງນັ້ນພວກເຮົາຈະບໍ່ສາມາດສະແກນພອດພາຍໃນເຄືອຂ່າຍຜ່ານ. ແຜນທີ່ SYN.

ການນໍາໃຊ້ທາງເລືອກ VPN ກ້າວຫນ້າທາງດ້ານຫຼາຍນີ້, ການເຊື່ອມຕໍ່ໄດ້ຖືກຫຼຸດລົງ ລະດັບ 3. ຫຼັງຈາກນັ້ນພວກເຮົາສາມາດພຽງແຕ່ເສັ້ນທາງການຈະລາຈອນຜ່ານອຸໂມງໂດຍໃຊ້ເສັ້ນທາງເຄືອຂ່າຍມາດຕະຖານ.

ວິທີການນໍາໃຊ້ ssh, iptables, tun interfaces ແລະເສັ້ນທາງ.

ກ່ອນອື່ນ ໝົດ, ທ່ານ ຈຳ ເປັນຕ້ອງ ກຳ ນົດພາລາມິເຕີເຫຼົ່ານີ້ sshd_config. ເນື່ອງຈາກພວກເຮົາກໍາລັງເຮັດການປ່ຽນແປງໃນການໂຕ້ຕອບຂອງທັງສອງລະບົບຫ່າງໄກສອກຫຼີກແລະລູກຄ້າ, ພວກເຮົາ ຕ້ອງການສິດທິຂອງຮາກທັງສອງດ້ານ.

PermitRootLogin yes
PermitTunnel yes

ຫຼັງຈາກນັ້ນ, ພວກເຮົາຈະສ້າງການເຊື່ອມຕໍ່ ssh ໂດຍໃຊ້ພາລາມິເຕີທີ່ຮ້ອງຂໍການເລີ່ມຕົ້ນຂອງອຸປະກອນ tun.

localhost:~# ssh -v -w any root@remoteserver

ໃນປັດຈຸບັນພວກເຮົາຄວນຈະມີອຸປະກອນ tun ໃນເວລາທີ່ສະແດງການໂຕ້ຕອບ (# ip a). ຂັ້ນຕອນຕໍ່ໄປຈະເພີ່ມທີ່ຢູ່ IP ເຂົ້າໃນການໂຕ້ຕອບອຸໂມງ.

ດ້ານລູກຄ້າ SSH:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

ຂ້າງເຊີບເວີ SSH:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

ໃນປັດຈຸບັນພວກເຮົາມີເສັ້ນທາງໂດຍກົງກັບເຈົ້າພາບອື່ນ (route -n и ping 10.10.10.10).

ທ່ານ​ສາ​ມາດ​ນໍາ​ທາງ​ເຄືອ​ຂ່າຍ​ຍ່ອຍ​ໃດ​ຫນຶ່ງ​ໂດຍ​ຜ່ານ​ການ​ເປັນ​ເຈົ້າ​ພາບ​ໃນ​ອີກ​ດ້ານ​ຫນຶ່ງ​.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

ຢູ່ທາງໄກທ່ານຕ້ອງເປີດໃຊ້ງານ ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

ບູມ! VPN ຜ່ານອຸໂມງ SSH ຢູ່ຊັ້ນເຄືອຂ່າຍ 3. ໃນປັດຈຸບັນນັ້ນເປັນໄຊຊະນະ.

ຖ້າມີບັນຫາໃດໆເກີດຂື້ນ, ໃຫ້ໃຊ້ tcpdump и pingເພື່ອກໍານົດສາເຫດ. ເນື່ອງຈາກພວກເຮົາກໍາລັງຫຼີ້ນຢູ່ໃນຊັ້ນ 3, ຊຸດ icmp ຂອງພວກເຮົາຈະຜ່ານອຸໂມງນີ້.

7. ສຳເນົາລະຫັດ SSH (ssh-copy-id)

ມີຫຼາຍວິທີທີ່ຈະເຮັດແນວນີ້, ແຕ່ຄໍາສັ່ງນີ້ປະຫຍັດເວລາໂດຍການບໍ່ຄັດລອກໄຟລ໌ດ້ວຍຕົນເອງ. ມັນພຽງແຕ່ຄັດລອກ ~/.ssh/id_rsa.pub (ຫຼືລະຫັດເລີ່ມຕົ້ນ) ຈາກລະບົບຂອງທ່ານໄປຫາ ~/.ssh/authorized_keys ໃນເຊີບເວີທາງໄກ.

localhost:~$ ssh-copy-id user@remoteserver

8. ການປະຕິບັດຄໍາສັ່ງໄລຍະໄກ (ບໍ່ໂຕ້ຕອບ)

ທີມງານ ssh ສາມາດເຊື່ອມຕໍ່ກັບຄໍາສັ່ງອື່ນໆສໍາລັບການໂຕ້ຕອບທີ່ເປັນມິດກັບຜູ້ໃຊ້ທົ່ວໄປ. ພຽງ​ແຕ່​ເພີ່ມ​ຄໍາ​ສັ່ງ​ທີ່​ທ່ານ​ຕ້ອງ​ການ​ທີ່​ຈະ​ດໍາ​ເນີນ​ການ​ກ່ຽວ​ກັບ​ເຈົ້າ​ພາບ​ຫ່າງ​ໄກ​ສອກ​ຫຼີກ​ເປັນ​ຕົວ​ກໍາ​ນົດ​ການ​ສຸດ​ທ້າຍ​ໃນ​ວົງ​ຢືມ​.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

ໃນຕົວຢ່າງນີ້ grep ປະຕິບັດໃນລະບົບທ້ອງຖິ່ນຫຼັງຈາກບັນທຶກໄດ້ຖືກດາວໂຫຼດຜ່ານຊ່ອງທາງ ssh. ຖ້າໄຟລ໌ມີຂະຫນາດໃຫຍ່, ມັນສະດວກກວ່າທີ່ຈະດໍາເນີນການ grep ໃນດ້ານຫ່າງໄກສອກຫຼີກໂດຍພຽງແຕ່ປິດຄໍາສັ່ງທັງສອງຢູ່ໃນວົງຢືມຄູ່.

ຕົວຢ່າງອື່ນປະຕິບັດຫນ້າທີ່ດຽວກັນກັບ ssh-copy-id ຈາກຕົວຢ່າງ 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. ການຈັບແພັກເກັດໄລຍະໄກແລະການເບິ່ງຢູ່ໃນ Wireshark

ຂ້າພະເຈົ້າໄດ້ເອົາຫນຶ່ງຂອງພວກເຮົາ tcpdump ຕົວຢ່າງ. ໃຊ້ມັນເພື່ອບັນທຶກແພັກເກັດຈາກໄລຍະໄກ ແລະສະແດງຜົນໄດ້ຮັບໂດຍກົງໃນ Wireshark GUI ທ້ອງຖິ່ນ.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. ການຄັດລອກໂຟເດີທ້ອງຖິ່ນໄປຫາເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກຜ່ານ SSH

ເຄັດລັບທີ່ດີທີ່ບີບອັດໂຟນເດີໂດຍໃຊ້ bzip2 (ນີ້ແມ່ນທາງເລືອກ -j ໃນຄໍາສັ່ງ tar), ແລະຫຼັງຈາກນັ້ນດຶງເອົານ້ໍາ bzip2 ອີກດ້ານຫນຶ່ງ, ການສ້າງໂຟນເດີທີ່ຊ້ໍາກັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. ແອັບພລິເຄຊັນ GUI ໄລຍະໄກດ້ວຍການສົ່ງຕໍ່ SSH X11

ຖ້າ X ຖືກຕິດຕັ້ງຢູ່ໃນລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ, ຫຼັງຈາກນັ້ນທ່ານສາມາດປະຕິບັດຄໍາສັ່ງ GUI ຫ່າງໄກສອກຫຼີກດ້ວຍປ່ອງຢ້ຽມໃນ desktop ທ້ອງຖິ່ນຂອງທ່ານ. ຄຸນສົມບັດນີ້ມີມາແຕ່ດົນນານແລ້ວ, ແຕ່ຍັງມີປະໂຫຍດຫຼາຍ. ເປີດຕົວຕົວທ່ອງເວັບທາງໄກຫຼືແມ້ກະທັ້ງ VMWawre Workstation console ຄືກັບຂ້ອຍໃນຕົວຢ່າງນີ້.

localhost:~$ ssh -X remoteserver vmware

ສະຕຣິງທີ່ຕ້ອງການ X11Forwarding yes ໃນໄຟລ sshd_config.

12. ການຄັດລອກໄຟລ໌ໄລຍະໄກໂດຍໃຊ້ rsync ແລະ SSH

rsync ສະດວກກວ່າ scp, ຖ້າທ່ານຕ້ອງການການສໍາຮອງແຕ່ລະໄລຍະຂອງໄດເລກະທໍລີ, ໄຟລ໌ຈໍານວນຫລາຍ, ຫຼືໄຟລ໌ຂະຫນາດໃຫຍ່ຫຼາຍ. ມີຫນ້າທີ່ສໍາລັບການຟື້ນຕົວຈາກຄວາມລົ້ມເຫຼວຂອງການໂອນແລະການຄັດລອກໄຟລ໌ທີ່ມີການປ່ຽນແປງເທົ່ານັ້ນ, ເຊິ່ງຊ່ວຍປະຢັດການຈະລາຈອນແລະເວລາ.

ຕົວຢ່າງນີ້ໃຊ້ການບີບອັດ gzip (-z) ແລະຮູບແບບການຈັດເກັບ (-a), ເຊິ່ງເຮັດໃຫ້ການສຳເນົາແບບຊ້ຳໆ.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH ຜ່ານເຄືອຂ່າຍ Tor

ເຄືອຂ່າຍ Tor ທີ່ບໍ່ເປີດເຜີຍຊື່ສາມາດ tunnel ການຈະລາຈອນ SSH ໂດຍໃຊ້ຄໍາສັ່ງ torsocks. ຄໍາສັ່ງຕໍ່ໄປນີ້ຈະຜ່ານ ssh proxy ຜ່ານ Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Torsocks ຈະໃຊ້ພອດ 9050 ໃນ localhost ສໍາລັບພຣັອກຊີ. ໃນຖານະເປັນສະເຫມີ, ເມື່ອນໍາໃຊ້ Tor ທ່ານຈໍາເປັນຕ້ອງໄດ້ກວດເບິ່ງຢ່າງຈິງຈັງວ່າການຈະລາຈອນໃດຖືກ tunneled ແລະບັນຫາຄວາມປອດໄພດ້ານການດໍາເນີນງານອື່ນໆ (opsec). ຄໍາຖາມ DNS ຂອງເຈົ້າໄປໃສ?

14. SSH ກັບ EC2 instance

ເພື່ອເຊື່ອມຕໍ່ກັບຕົວຢ່າງ EC2, ທ່ານຕ້ອງການລະຫັດສ່ວນຕົວ. ດາວໂຫລດມັນ (.pem extension) ຈາກແຜງຄວບຄຸມ Amazon EC2 ແລະປ່ຽນການອະນຸຍາດ (chmod 400 my-ec2-ssh-key.pem). ຮັກສາກະແຈໄວ້ໃນບ່ອນປອດໄພ ຫຼືວາງໄວ້ໃນໂຟນເດີ້ຂອງເຈົ້າເອງ ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Parameter -i ພຽງແຕ່ບອກລູກຄ້າ ssh ໃຫ້ໃຊ້ກະແຈນີ້. ໄຟລ໌ ~/.ssh/config ເໝາະສຳລັບການຕັ້ງຄ່າການໃຊ້ກະແຈອັດຕະໂນມັດເມື່ອເຊື່ອມຕໍ່ກັບໂຮສ ec2.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. ການແກ້ໄຂໄຟລ໌ຂໍ້ຄວາມໂດຍໃຊ້ VIM ຜ່ານ ssh/scp

ສໍາລັບ lovers ທັງຫມົດ vim ຄໍາແນະນໍານີ້ຈະຊ່ວຍປະຢັດເວລາບາງຢ່າງ. ໂດຍການນໍາໃຊ້ vim ໄຟລ໌ຖືກແກ້ໄຂຜ່ານ scp ດ້ວຍຄໍາສັ່ງດຽວ. ວິທີນີ້ພຽງແຕ່ສ້າງໄຟລ໌ຢູ່ໃນທ້ອງຖິ່ນ /tmpແລະຫຼັງຈາກນັ້ນຄັດລອກມັນຄືນເມື່ອພວກເຮົາບັນທຶກມັນຈາກ vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

ຫມາຍເຫດ: ຮູບແບບແມ່ນແຕກຕ່າງກັນເລັກນ້ອຍຈາກປົກກະຕິ scp. ຫຼັງຈາກເຈົ້າພາບພວກເຮົາມີສອງເທົ່າ //. ນີ້ແມ່ນການອ້າງອີງເສັ້ນທາງຢ່າງແທ້ຈິງ. ນຶ່ງສະໄລ້ຈະຊີ້ບອກເສັ້ນທາງທີ່ກ່ຽວຂ້ອງກັບໂຟນເດີຫຼັກຂອງເຈົ້າ users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

ຖ້າທ່ານເຫັນຂໍ້ຜິດພາດນີ້, ໃຫ້ກວດເບິ່ງຮູບແບບຄໍາສັ່ງສອງຄັ້ງ. ນີ້ມັກຈະຫມາຍເຖິງຄວາມຜິດພາດ syntax.

16. ການຕິດຕັ້ງ SSH ໄລຍະໄກເປັນໂຟເດີທ້ອງຖິ່ນດ້ວຍ SSHFS

ດ້ວຍຄວາມຊ່ວຍເຫຼືອຂອງ sshfs - ລູກ​ຄ້າ​ລະ​ບົບ​ໄຟລ​໌​ ssh - ພວກ​ເຮົາ​ສາ​ມາດ​ເຊື່ອມ​ຕໍ່​ລະ​ບົບ​ທ້ອງ​ຖິ່ນ​ກັບ​ສະ​ຖານ​ທີ່​ຫ່າງ​ໄກ​ສອກ​ຫຼີກ​ທີ່​ມີ​ການ​ໂຕ້​ຕອບ​ຂອງ​ໄຟລ​໌​ທັງ​ຫມົດ​ໃນ​ກອງ​ປະ​ຊຸມ​ເຂົ້າ​ລະ​ຫັດ​ ssh.

localhost:~$ apt install sshfs

ຕິດຕັ້ງແພັກເກັດໃນ Ubuntu ແລະ Debian sshfs, ແລະຫຼັງຈາກນັ້ນພຽງແຕ່ mount ສະຖານທີ່ຫ່າງໄກສອກຫຼີກກັບລະບົບຂອງພວກເຮົາ.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH Multiplexing ກັບ ControlPath

ໂດຍຄ່າເລີ່ມຕົ້ນ, ຖ້າມີການເຊື່ອມຕໍ່ທີ່ມີຢູ່ແລ້ວກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກໂດຍໃຊ້ ssh ການເຊື່ອມຕໍ່ທີສອງໂດຍໃຊ້ ssh ຫຼື scp ສ້າງຕັ້ງເຊດຊັນໃໝ່ດ້ວຍການພິສູດຢືນຢັນເພີ່ມເຕີມ. ທາງເລືອກ ControlPath ອະນຸຍາດໃຫ້ໃຊ້ເຊດຊັນທີ່ມີຢູ່ສໍາລັບການເຊື່ອມຕໍ່ຕໍ່ໄປທັງຫມົດ. ນີ້ຈະເລັ່ງຂະບວນການຢ່າງຫຼວງຫຼາຍ: ຜົນກະທົບແມ່ນສັງເກດເຫັນເຖິງແມ່ນວ່າຢູ່ໃນເຄືອຂ່າຍທ້ອງຖິ່ນ, ແລະແມ້ກະທັ້ງຫຼາຍດັ່ງນັ້ນເມື່ອເຊື່ອມຕໍ່ກັບຊັບພະຍາກອນຫ່າງໄກສອກຫຼີກ.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath ກໍານົດເຕົ້າຮັບເພື່ອກວດສອບການເຊື່ອມຕໍ່ໃຫມ່ເພື່ອເບິ່ງວ່າມີ session active ssh. ທາງເລືອກສຸດທ້າຍຫມາຍຄວາມວ່າເຖິງແມ່ນວ່າຫຼັງຈາກທີ່ທ່ານອອກຈາກ console, ເຊດຊັນທີ່ມີຢູ່ຈະຍັງຄົງເປີດເປັນເວລາ 10 ນາທີ, ດັ່ງນັ້ນໃນລະຫວ່າງເວລານີ້ທ່ານສາມາດເຊື່ອມຕໍ່ໃຫມ່ໃນເຕົ້າຮັບທີ່ມີຢູ່ແລ້ວ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງການຊ່ວຍເຫຼືອ. ssh_config man.

18. ຖ່າຍທອດວິດີໂອຜ່ານ SSH ໂດຍໃຊ້ VLC ແລະ SFTP

ເຖິງແມ່ນວ່າຜູ້ໃຊ້ທີ່ໃຊ້ເວລາດົນນານ ssh и vlc (Video Lan Client) ບໍ່ສະເຫມີຮູ້ເຖິງທາງເລືອກທີ່ສະດວກນີ້ໃນເວລາທີ່ທ່ານຕ້ອງການເບິ່ງວິດີໂອຜ່ານເຄືອຂ່າຍຢ່າງແທ້ຈິງ. ໃນການຕັ້ງຄ່າ ໄຟລ໌ | ເປີດ Network Stream ບັນດາໂຄງການ vlc ທ່ານສາມາດໃສ່ສະຖານທີ່ເປັນ sftp://. ຖ້າຕ້ອງການລະຫັດຜ່ານ, ການເຕືອນຈະປາກົດ.

sftp://remoteserver//media/uploads/myvideo.mkv

19. ການກວດສອບສອງປັດໃຈ

ການພິສູດຢືນຢັນສອງປັດໃຈດຽວກັນກັບບັນຊີທະນາຄານ ຫຼືບັນຊີ Google ຂອງທ່ານນຳໃຊ້ກັບການບໍລິການ SSH.

ແນ່ນອນ, ssh ໃນເບື້ອງຕົ້ນມີຟັງຊັນການກວດສອບສອງປັດໃຈ, ຊຶ່ງຫມາຍຄວາມວ່າລະຫັດຜ່ານແລະລະຫັດ SSH. ຂໍ້ໄດ້ປຽບຂອງ token ຮາດແວ ຫຼື ແອັບ Google Authenticator ແມ່ນວ່າມັນມັກຈະເປັນອຸປະກອນທາງດ້ານຮ່າງກາຍທີ່ແຕກຕ່າງກັນ.

ເບິ່ງຄູ່ມື 8 ນາທີຂອງພວກເຮົາ ໃຊ້ Google Authenticator ແລະ SSH.

20. ໂດດໂຮສດ້ວຍ ssh ແລະ -J

ຖ້າການແບ່ງສ່ວນເຄືອຂ່າຍຫມາຍຄວາມວ່າທ່ານຕ້ອງຜ່ານ ssh hosts ຫຼາຍອັນເພື່ອໄປຫາເຄືອຂ່າຍປາຍທາງສຸດທ້າຍ, ທາງລັດ -J ຈະຊ່ວຍໃຫ້ທ່ານປະຫຍັດເວລາ.

localhost:~$ ssh -J host1,host2,host3 user@host4.internal

ສິ່ງທີ່ສໍາຄັນທີ່ຈະເຂົ້າໃຈຢູ່ທີ່ນີ້ແມ່ນວ່ານີ້ບໍ່ແມ່ນຄືກັນກັບຄໍາສັ່ງ ssh host1, ຫຼັງຈາກນັ້ນ, user@host1:~$ ssh host2 ແລະອື່ນໆ ທາງເລືອກ -J ສະຫລາດໃຊ້ການສົ່ງຕໍ່ເພື່ອບັງຄັບໃຫ້ localhost ສ້າງຕັ້ງກອງປະຊຸມກັບເຈົ້າພາບຕໍ່ໄປໃນລະບົບຕ່ອງໂສ້. ດັ່ງນັ້ນໃນຕົວຢ່າງຂ້າງເທິງ, localhost ຂອງພວກເຮົາແມ່ນ authenticated ກັບ host4. ນັ້ນແມ່ນ, ກະແຈ localhost ຂອງພວກເຮົາຖືກໃຊ້, ແລະ session ຈາກ localhost ຫາ host4 ຖືກເຂົ້າລະຫັດຢ່າງສົມບູນ.

ສໍາລັບຄວາມເປັນໄປໄດ້ດັ່ງກ່າວໃນ ssh_config ລະບຸຕົວເລືອກການຕັ້ງຄ່າ ProxyJump. ຖ້າເຈົ້າຕ້ອງຜ່ານເຈົ້າພາບຫຼາຍໆຢ່າງເປັນປົກກະຕິ, ອັດຕະໂນມັດຜ່ານ config ຈະຊ່ວຍປະຫຍັດເວລາຫຼາຍ.

21. ຂັດຂວາງຄວາມພະຍາຍາມຂອງ SSH brute force ໂດຍໃຊ້ iptables

ໃຜກໍ່ຕາມທີ່ໄດ້ຈັດການການບໍລິການ SSH ແລະເບິ່ງບັນທຶກຂໍ້ມູນແມ່ນຮູ້ກ່ຽວກັບຈໍານວນຄວາມພະຍາຍາມຂອງການໂຈມຕີທີ່ເກີດຂື້ນໃນທຸກໆຊົ່ວໂມງຂອງທຸກໆມື້. ວິທີທີ່ໄວເພື່ອຫຼຸດຜ່ອນສິ່ງລົບກວນໃນບັນທຶກແມ່ນການຍ້າຍ SSH ໄປຫາພອດທີ່ບໍ່ແມ່ນມາດຕະຖານ. ປ່ຽນແປງໄຟລ໌ sshd_config ຜ່ານພາລາມິເຕີການຕັ້ງຄ່າ ພອດ##.

ດ້ວຍຄວາມຊ່ວຍເຫຼືອຂອງ iptables ທ່ານຍັງສາມາດປິດກັ້ນຄວາມພະຍາຍາມທີ່ຈະເຊື່ອມຕໍ່ກັບພອດໄດ້ຢ່າງງ່າຍດາຍເມື່ອຮອດເກນທີ່ແນ່ນອນ. ວິທີທີ່ງ່າຍທີ່ຈະເຮັດນີ້ແມ່ນການນໍາໃຊ້ OSSEC, ເນື່ອງຈາກວ່າມັນບໍ່ພຽງແຕ່ປິດກັ້ນ SSH, ແຕ່ມີມາດຕະການກວດຈັບການບຸກລຸກທີ່ອີງໃສ່ຊື່ໂຮດອື່ນ (HIDS).

22. SSH Escape ເພື່ອປ່ຽນການສົ່ງຕໍ່ພອດ

ແລະຕົວຢ່າງສຸດທ້າຍຂອງພວກເຮົາ ssh ອອກແບບມາເພື່ອປ່ຽນການສົ່ງຕໍ່ພອດໂດຍບິນພາຍໃນເຊດຊັນທີ່ມີຢູ່ແລ້ວ ssh. ຈິນຕະນາການສະຖານະການນີ້. ທ່ານເລິກຢູ່ໃນເຄືອຂ່າຍ; ອາດຈະ hopped ຫຼາຍກວ່າເຄິ່ງຫນຶ່ງອາຍແກັເປັນເຈົ້າພາບແລະຕ້ອງການພອດທ້ອງຖິ່ນໃນບ່ອນເຮັດວຽກທີ່ຖືກສົ່ງໄປຫາ Microsoft SMB ຂອງລະບົບ Windows 2003 ເກົ່າ (ມີໃຜຈື່ ms08-67?).

ການຄລິກ enter, ພະຍາຍາມເຂົ້າໄປໃນ console ~C. ນີ້ແມ່ນລຳດັບການຄວບຄຸມເຊດຊັນທີ່ອະນຸຍາດໃຫ້ມີການປ່ຽນແປງຕໍ່ກັບການເຊື່ອມຕໍ່ທີ່ມີຢູ່ແລ້ວ.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

ໃນທີ່ນີ້ທ່ານສາມາດເຫັນໄດ້ວ່າພວກເຮົາໄດ້ສົ່ງຕໍ່ພອດທ້ອງຖິ່ນຂອງພວກເຮົາ 1445 ໄປຫາເຈົ້າພາບ Windows 2003 ທີ່ພວກເຮົາພົບເຫັນຢູ່ໃນເຄືອຂ່າຍພາຍໃນ. ໃນປັດຈຸບັນພຽງແຕ່ດໍາເນີນການ msfconsole, ແລະທ່ານສາມາດກ້າວຕໍ່ໄປ (ສົມມຸດວ່າເຈົ້າວາງແຜນທີ່ຈະໃຊ້ເຈົ້າພາບນີ້).

ການສໍາເລັດ

ຕົວຢ່າງ, ຄໍາແນະນໍາແລະຄໍາສັ່ງເຫຼົ່ານີ້ ssh ຄວນໃຫ້ຈຸດເລີ່ມຕົ້ນ; ຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບແຕ່ລະຄໍາສັ່ງ ແລະຄວາມສາມາດແມ່ນມີຢູ່ໃນໜ້າ man (man ssh, man ssh_config, man sshd_config).

ຂ້າພະເຈົ້າສະເຫມີ fascinated ໂດຍຄວາມສາມາດໃນການເຂົ້າເຖິງລະບົບແລະປະຕິບັດຄໍາສັ່ງທຸກບ່ອນໃນໂລກ. ໂດຍການພັດທະນາທັກສະຂອງທ່ານກັບເຄື່ອງມືເຊັ່ນ: ssh ທ່ານຈະກາຍເປັນປະສິດທິພາບຫຼາຍໃນເກມທີ່ທ່ານຫລິ້ນ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com