Praktiski piemēri SSH, kas pacels jūsu kā attālinātā sistēmas administratora prasmes jaunā līmenī. Komandas un padomi palīdzēs ne tikai lietot SSH, bet arī kompetentāk orientēties tīklā.

Zinot dažus trikus ssh noderīga jebkuram sistēmas administratoram, tīkla inženierim vai drošības speciālistam.

Praktiski SSH piemēri

SSH zeķu starpniekserveris
SSH tunelis (portu pāradresācija)
SSH tunelis uz trešo saimniekdatoru
Reversais SSH tunelis
SSH reversais starpniekserveris
VPN instalēšana, izmantojot SSH
SSH atslēgas (ssh-copy-id) kopēšana
Attālās komandas izpilde (nav interaktīva)
Attālā pakešu uztveršana un apskate programmā Wireshark
Vietējās mapes kopēšana uz attālo serveri, izmantojot SSH
Attālās GUI lietojumprogrammas ar SSH X11 pārsūtīšanu
Attālā failu kopēšana, izmantojot rsync un SSH
SSH, izmantojot Tor tīklu
SSH uz EC2 instanci
Teksta failu rediģēšana, izmantojot VIM, izmantojot ssh/scp
Pievienojiet attālo SSH kā vietējo mapi ar SSHFS
SSH multipleksēšana ar ControlPath
Straumējiet video, izmantojot SSH, izmantojot VLC un SFTP
Divu faktoru autentifikācija
Lēcieni saimnieki ar SSH un -J
SSH brutālā spēka mēģinājumu bloķēšana, izmantojot iptables
SSH Escape, lai mainītu porta pāradresāciju

Vispirms pamati

SSH komandrindas parsēšana

Nākamajā piemērā tiek izmantoti bieži sastopami parametri, kas bieži sastopami, veidojot savienojumu ar attālo serveri SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

-v: Atkļūdošanas izvade ir īpaši noderīga, analizējot autentifikācijas problēmas. Var izmantot vairākas reizes, lai parādītu papildu informāciju.
- p 22: savienojuma ports uz attālo SSH serveri. 22 nav jānorāda, jo tā ir noklusējuma vērtība, bet ja protokols ir uz kāda cita porta, tad to norādām izmantojot parametru -p. Klausīšanās ports ir norādīts failā sshd_config formātā Port 2222.
-C: Saspiešana savienojumam. Ja jums ir lēns savienojums vai skatāt daudz teksta, tas var paātrināt savienojumu.
neo@: rinda pirms simbola @ norāda lietotājvārdu autentifikācijai attālajā serverī. Ja to nenorādīsit, pēc noklusējuma tiks izmantots tā konta lietotājvārds, kurā pašlaik esat pieteicies (~$whoami). Lietotāju var norādīt arī, izmantojot parametru -l.
remoteserver: resursdatora nosaukums, ar kuru izveidot savienojumu ssh, tas var būt pilnībā kvalificēts domēna nosaukums, IP adrese vai jebkurš resursdators vietējā saimniekdatoru failā. Lai izveidotu savienojumu ar resursdatoru, kas atbalsta gan IPv4, gan IPv6, varat pievienot parametru komandrindai -4 vai -6 pareizai izšķirtspējai.

Visi iepriekš minētie parametri nav obligāti, izņemot remoteserver.

Izmantojot konfigurācijas failu

Lai gan daudzi ir pazīstami ar failu sshd_config, komandai ir arī klienta konfigurācijas fails ssh. Noklusējuma vērtība ~/.ssh/config, bet to var definēt kā opcijas parametru -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Iepriekš minētajā ssh konfigurācijas faila piemērā ir divi resursdatora ieraksti. Pirmais nozīmē visus resursdatorus, kuri visi izmanto konfigurācijas parametru Port 2222. Otrais norāda, ka resursdatoram attālais serveris jāizmanto cits lietotājvārds, ports, FQDN un IdentityFile.

Konfigurācijas fails var ietaupīt daudz rakstīšanas laika, ļaujot automātiski lietot papildu konfigurāciju, kad tiek izveidots savienojums ar noteiktiem resursdatoriem.

Failu kopēšana, izmantojot SSH, izmantojot SCP

SSH klientam ir divi citi ļoti ērti rīki failu kopēšanai šifrēts ssh savienojums. Tālāk skatiet scp un sftp komandu standarta lietošanas piemēru. Ņemiet vērā, ka daudzas no ssh opcijām attiecas arī uz šīm komandām.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

Šajā piemērā fails mypic.png kopēts uz attālais serveris uz mapi /media/data un pārdēvēta par mypic_2.png.

Neaizmirstiet par porta parametra atšķirību. Šeit daudzi cilvēki tiek pieķerti, startējot scp no komandrindas. Šeit ir porta parametrs -PUn ne -p, gluži kā ssh klientā! Jūs aizmirsīsit, bet neuztraucieties, visi aizmirst.

Tiem, kas ir pazīstami ar konsoli ftp, daudzas komandas ir līdzīgas sftp... Tu vari darīt push, likt и lskā sirds vēlas.

sftp neo@remoteserver

Praktiski piemēri

Daudzos no šiem piemēriem rezultātus var sasniegt, izmantojot dažādas metodes. Tāpat kā visās mūsu mācību grāmatas un piemēri, priekšroka tiek dota praktiskiem piemēriem, kas vienkārši dara savu darbu.

1. SSH zeķu starpniekserveris

SSH starpniekservera funkcija ir numur 1 pamatota iemesla dēļ. Tas ir jaudīgāks, nekā daudzi to saprot, un nodrošina piekļuvi jebkurai sistēmai, kurai var piekļūt attālais serveris, izmantojot praktiski jebkuru lietojumprogrammu. Ssh klients var tuneli trafiku caur SOCKS starpniekserveri ar vienu vienkāršu komandu. Ir svarīgi saprast, ka trafiks uz attālajām sistēmām nāks no attālā servera, tas tiks norādīts tīmekļa servera žurnālos.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Šeit mēs palaižam zeķu starpniekserveri TCP portā 8888, otrā komanda pārbauda, vai ports ir aktīvs klausīšanās režīmā. 127.0.0.1 norāda, ka pakalpojums darbojas tikai uz localhost. Mēs varam izmantot nedaudz atšķirīgu komandu, lai klausītos visās saskarnēs, ieskaitot Ethernet vai wifi, tas ļaus citām mūsu tīkla lietojumprogrammām (pārlūkprogrammām utt.) izveidot savienojumu ar starpniekservera pakalpojumu, izmantojot ssh socks starpniekserveri.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Tagad mēs varam konfigurēt pārlūkprogrammu, lai izveidotu savienojumu ar zeķu starpniekserveri. Programmā Firefox atlasiet Iestatījumi | Pamata | Tīkla iestatījumi. Norādiet IP adresi un portu, lai izveidotu savienojumu.

Lūdzu, ņemiet vērā opciju veidlapas apakšā, lai arī jūsu pārlūkprogrammas DNS pieprasījumi tiktu nosūtīti caur SOCKS starpniekserveri. Ja izmantojat starpniekserveri, lai šifrētu tīmekļa trafiku vietējā tīklā, iespējams, vēlēsities atlasīt šo opciju, lai DNS pieprasījumi tiktu tunelēti, izmantojot SSH savienojumu.

Zeķu starpniekservera aktivizēšana pārlūkā Chrome

Palaižot pārlūku Chrome ar noteiktiem komandrindas parametriem, tiks iespējots zeķu starpniekserveris, kā arī DNS pieprasījumu tunelēšana no pārlūkprogrammas. Uzticieties, bet pārbaudiet. Izmantot tcpdump lai pārbaudītu, vai DNS vaicājumi vairs nav redzami.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Citu lietojumprogrammu izmantošana ar starpniekserveri

Ņemiet vērā, ka daudzas citas lietojumprogrammas var izmantot arī zeķu starpniekserveri. Tīmekļa pārlūkprogramma vienkārši ir vispopulārākā no tām. Dažām lietojumprogrammām ir konfigurācijas opcijas, lai iespējotu starpniekserveri. Citiem ir nepieciešama neliela palīdzība ar palīgprogrammu. Piemēram, starpnieka ķēdes ļauj palaist caur zeķu starpniekserveri Microsoft RDP utt.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Socks starpniekservera konfigurācijas parametri ir iestatīti proxychains konfigurācijas failā.

Padoms: ja operētājsistēmā Windows izmantojat attālo darbvirsmu no Linux? Izmēģiniet klientu FreeRDP. Šī ir modernāka ieviešana nekā rdesktop, ar daudz vienmērīgāku pieredzi.

Iespēja izmantot SSH, izmantojot zeķu starpniekserveri

Jūs sēžat kafejnīcā vai viesnīcā un esat spiesti izmantot diezgan neuzticamu WiFi. Mēs lokāli palaižam ssh starpniekserveri no klēpjdatora un instalējam ssh tuneli mājas tīklā vietējā Rasberry Pi. Izmantojot pārlūkprogrammu vai citas lietojumprogrammas, kas konfigurētas zeķu starpniekserverim, mēs varam piekļūt visiem tīkla pakalpojumiem mūsu mājas tīklā vai piekļūt internetam, izmantojot mūsu mājas savienojumu. Viss starp jūsu klēpjdatoru un mājas serveri (izmantojot Wi-Fi un internetu līdz jūsu mājām) tiek šifrēts SSH tunelī.

2. SSH tunelis (portu pāradresācija)

Vienkāršākajā formā SSH tunelis vienkārši atver portu jūsu vietējā sistēmā, kas savienojas ar citu portu tuneļa otrā galā.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Apskatīsim parametru -L. To var uzskatīt par klausīšanās lokālo pusi. Tātad iepriekš minētajā piemērā ports 9999 klausās vietējā resursdatora pusē un tiek pārsūtīts caur portu 80 uz attālo serveri. Lūdzu, ņemiet vērā, ka 127.0.0.1 attiecas uz localhost attālajā serverī!

Ejam pa pakāpienu augšā. Nākamajā piemērā ir sniegta saziņa ar klausīšanās portiem ar citiem resursdatoriem vietējā tīklā.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

Šajos piemēros mēs izveidojam savienojumu ar tīmekļa servera portu, taču tas var būt starpniekserveris vai jebkurš cits TCP pakalpojums.

3. SSH tunelis trešās puses resursdatoram

Mēs varam izmantot tos pašus parametrus, lai savienotu tuneli no attālā servera ar citu pakalpojumu, kas darbojas trešajā sistēmā.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

Šajā piemērā mēs novirzām tuneli no attālā servera uz tīmekļa serveri, kas darbojas 10.10.10.10. Satiksme no attālā servera uz 10.10.10.10 vairs nav SSH tunelī. Tīmekļa serveris 10.10.10.10 uzskatīs attālo serveri par tīmekļa pieprasījumu avotu.

4. Reversais SSH tunelis

Šeit mēs konfigurēsim attālā servera klausīšanās portu, kas atkal izveidos savienojumu ar mūsu localhost (vai citas sistēmas) vietējo portu.

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Šī SSH sesija izveido savienojumu no attālā servera 1999. porta ar mūsu vietējā klienta portu 902.

5. SSH reversais starpniekserveris

Šajā gadījumā mēs savā ssh savienojumā iestatām zeķu starpniekserveri, bet starpniekserveris klausās servera attālajā galā. Savienojumi ar šo attālo starpniekserveri tagad parādās no tuneļa kā trafika no mūsu vietējā saimniekdatora.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Problēmu novēršana ar attāliem SSH tuneļiem

Ja rodas problēmas ar attālo SSH opciju darbību, pārbaudiet ar netstat, ar kādām citām saskarnēm ir pievienots klausīšanās ports. Lai gan piemēros norādījām 0.0.0.0, bet ja vērtība GatewayPorts в sshd_config iestatīts uz Nē, tad klausītājs būs saistīts tikai ar localhost (127.0.0.1).

Drošības brīdinājums

Lūdzu, ņemiet vērā, ka, atverot tuneļus un zeķu starpniekserverus, iekšējie tīkla resursi var būt pieejami neuzticamiem tīkliem (piemēram, internetam!). Tas var būt nopietns drošības risks, tāpēc pārliecinieties, ka saprotat, kas ir klausītājs un kam viņam ir piekļuve.

6. VPN instalēšana, izmantojot SSH

Izplatīts termins uzbrukuma metožu speciālistu (pentesteru u.c.) vidū ir “atbalsta punkts tīklā”. Kad savienojums ir izveidots vienā sistēmā, šī sistēma kļūst par vārteju turpmākai piekļuvei tīklam. Atbalsta punkts, kas ļauj pārvietoties platumā.

Šādam atbalstam varam izmantot SSH starpniekserveri un starpnieka ķēdestomēr ir daži ierobežojumi. Piemēram, nebūs iespējams strādāt tieši ar ligzdām, tāpēc mēs nevarēsim skenēt tīkla portus, izmantojot Nmap SYN.

Izmantojot šo uzlaboto VPN opciju, savienojums tiek samazināts līdz 3. līmenis. Pēc tam mēs varam vienkārši maršrutēt satiksmi caur tuneli, izmantojot standarta tīkla maršrutēšanu.

Metode izmanto ssh, iptables, tun interfaces un maršrutēšana.

Vispirms jums jāiestata šie parametri sshd_config. Tā kā mēs veicam izmaiņas gan attālās, gan klientu sistēmas saskarnēs, mēs ir nepieciešamas saknes tiesības abās pusēs.

PermitRootLogin yes
PermitTunnel yes

Pēc tam mēs izveidosim ssh savienojumu, izmantojot parametru, kas pieprasa tun ierīču inicializāciju.

localhost:~# ssh -v -w any root@remoteserver

Rādot interfeisus, mums tagad vajadzētu būt noregulējuma ierīcei (# ip a). Nākamais solis tuneļa saskarnēm pievienos IP adreses.

SSH klienta puse:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH servera puse:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Tagad mums ir tiešs ceļš uz citu saimniekdatoru (route -n и ping 10.10.10.10).

Varat maršrutēt jebkuru apakštīklu caur saimniekdatoru otrā pusē.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

Attālinātajā pusē jums ir jāiespējo ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Boom! VPN, izmantojot SSH tuneli 3. tīkla slānī. Tagad tā ir uzvara.

Ja rodas kādas problēmas, izmantojiet tcpdump и pinglai noteiktu cēloni. Tā kā mēs spēlējam 3. slānī, mūsu icmp paketes iet caur šo tuneli.

7. Nokopējiet SSH atslēgu (ssh-copy-id)

Ir vairāki veidi, kā to izdarīt, taču šī komanda ietaupa laiku, nekopējot failus manuāli. Tas vienkārši kopē ~/.ssh/id_rsa.pub (vai noklusējuma atslēgu) no jūsu sistēmas uz ~/.ssh/authorized_keys attālajā serverī.

localhost:~$ ssh-copy-id user@remoteserver

8. Attālā komandu izpilde (nav interaktīva)

komanda ssh Var saistīt ar citām komandām, lai izveidotu kopīgu, lietotājam draudzīgu saskarni. Vienkārši pievienojiet komandu, kuru vēlaties palaist attālajā resursdatorā, kā pēdējo parametru pēdiņās.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

Šajā piemērā grep tiek izpildīts vietējā sistēmā pēc tam, kad žurnāls ir lejupielādēts, izmantojot ssh kanālu. Ja fails ir liels, to ir ērtāk palaist grep attālajā pusē, vienkārši ievietojot abas komandas dubultpēdiņās.

Cits piemērs veic tādu pašu funkciju kā ssh-copy-id no 7. piemēra.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Attālā pakešu uztveršana un apskate programmā Wireshark

Es paņēmu vienu no mūsējiem tcpdump piemēri. Izmantojiet to, lai attālināti uztvertu paketes un parādītu rezultātus tieši vietējā Wireshark GUI.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Lokālās mapes kopēšana uz attālo serveri, izmantojot SSH

Jauks triks, kas saspiež mapi, izmantojot bzip2 (šī ir opcija -j komandā tar), un pēc tam izgūst straumi bzip2 otrā pusē, attālajā serverī izveidojot mapes dublikātu.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Attālās GUI lietojumprogrammas ar SSH X11 pārsūtīšanu

Ja X ir instalēts klientā un attālajā serverī, varat attālināti izpildīt GUI komandu ar logu vietējā darbvirsmā. Šī funkcija pastāv jau ilgu laiku, taču joprojām ir ļoti noderīga. Palaidiet attālo tīmekļa pārlūkprogrammu vai pat VMWawre Workstation konsoli, kā es to daru šajā piemērā.

localhost:~$ ssh -X remoteserver vmware

Nepieciešamā virkne X11Forwarding yes failā sshd_config.

12. Attālā failu kopēšana, izmantojot rsync un SSH

rsync daudz ērtāk scp, ja jums ir nepieciešamas periodiskas direktorija, liela skaita failu vai ļoti lielu failu dublējumkopijas. Ir funkcija atkopšanai pēc pārsūtīšanas kļūmes un tikai mainīto failu kopēšanai, kas ietaupa trafiku un laiku.

Šajā piemērā tiek izmantota saspiešana gzip (-z) un arhivēšanas režīms (-a), kas nodrošina rekursīvo kopēšanu.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH, izmantojot Tor tīklu

Anonīmais Tor tīkls var tunelēt SSH trafiku, izmantojot komandu torsocks. Šī komanda nodos ssh starpniekserveri caur Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Torszeķes starpniekserverim izmantos portu 9050 uz localhost. Kā vienmēr, izmantojot Tor, jums ir nopietni jāpārbauda, kāda satiksme tiek tunelēta, un citas darbības drošības (opsec) problēmas. Kur nonāk jūsu DNS vaicājumi?

14. SSH uz EC2 instance

Lai izveidotu savienojumu ar EC2 gadījumu, ir nepieciešama privātā atslēga. Lejupielādējiet to (.pem paplašinājums) no Amazon EC2 vadības paneļa un mainiet atļaujas (chmod 400 my-ec2-ssh-key.pem). Glabājiet atslēgu drošā vietā vai ievietojiet to savā mapē ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Parametrs -i vienkārši liek ssh klientam izmantot šo atslēgu. Fails ~/.ssh/config Ideāli piemērots atslēgas lietojuma automātiskai konfigurēšanai, veidojot savienojumu ar ec2 resursdatoru.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Teksta failu rediģēšana, izmantojot VIM caur ssh/scp

Visiem mīļotājiem vim Šis padoms ietaupīs laiku. Izmantojot vim faili tiek rediģēti, izmantojot scp ar vienu komandu. Šī metode vienkārši izveido failu lokāli /tmpun pēc tam kopē to atpakaļ, kad mēs to saglabājām no vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Piezīme: formāts nedaudz atšķiras no parastā scp. Pēc saimnieka mums ir dubultā //. Šī ir absolūta ceļa atsauce. Viena slīpsvītra norāda ceļu attiecībā pret jūsu mājas mapi users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Ja redzat šo kļūdu, vēlreiz pārbaudiet komandas formātu. Tas parasti nozīmē sintakses kļūdu.

16. Attālās SSH uzstādīšana kā lokāla mape ar SSHFS

Ar sshfs - failu sistēmas klients ssh - mēs varam savienot vietējo direktoriju ar attālu vietu ar visu failu mijiedarbību šifrētā sesijā ssh.

localhost:~$ apt install sshfs

Instalējiet pakotni Ubuntu un Debian sshfs, un pēc tam vienkārši pievienojiet attālo atrašanās vietu mūsu sistēmai.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH multipleksēšana ar ControlPath

Pēc noklusējuma, ja ir izveidots savienojums ar attālo serveri, izmantojot ssh izmanto otro savienojumu ssh vai scp izveido jaunu sesiju ar papildu autentifikāciju. Opcija ControlPath ļauj izmantot esošo sesiju visiem turpmākajiem savienojumiem. Tas ievērojami paātrinās procesu: efekts ir pamanāms pat lokālajā tīklā un vēl jo vairāk, pieslēdzoties attāliem resursiem.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath norāda ligzdu, lai pārbaudītu jaunus savienojumus, lai redzētu, vai ir aktīva sesija ssh. Pēdējā opcija nozīmē, ka pat pēc iziešanas no konsoles esošā sesija paliks atvērta 10 minūtes, tāpēc šajā laikā varat atkārtoti izveidot savienojumu ar esošo kontaktligzdu. Lai iegūtu papildinformāciju, skatiet palīdzību. ssh_config man.

18. Straumējiet video, izmantojot SSH, izmantojot VLC un SFTP

Pat ilgstoši lietotāji ssh и vlc (Video Lan Client) ne vienmēr apzinās šo ērto iespēju, ja jums patiešām ir nepieciešams skatīties video tīklā. Iestatījumos Fails | Atveriet tīkla straumi programmas vlc atrašanās vietu var ievadīt kā sftp://. Ja ir nepieciešama parole, tiks parādīta uzvedne.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Divu faktoru autentifikācija

Uz SSH pakalpojumu attiecas tā pati divu faktoru autentifikācija kā jūsu bankas kontam vai Google kontam.

Protams, ssh sākotnēji ir divu faktoru autentifikācijas funkcija, kas nozīmē paroli un SSH atslēgu. Aparatūras pilnvaras vai lietotnes Google autentifikators priekšrocība ir tā, ka tā parasti ir cita fiziska ierīce.

Skatiet mūsu 8 minūšu ceļvedi izmantojot Google autentifikatoru un SSH.

20. Jumping hosts ar ssh un -J

Ja tīkla segmentācija nozīmē, ka, lai nokļūtu galamērķa tīklā, ir jāpāriet cauri vairākiem ssh saimniekiem, saīsne -J ietaupīs jūsu laiku.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Šeit galvenais ir saprast, ka tas nav tas pats, kas komanda ssh host1tad user@host1:~$ ssh host2 utt. Opcija -J gudri izmanto pārsūtīšanu, lai piespiestu localhost izveidot sesiju ar nākamo saimniekdatoru ķēdē. Tātad iepriekš minētajā piemērā mūsu localhost ir autentificēts resursdatoram4. Tas nozīmē, ka tiek izmantotas mūsu localhost atslēgas, un sesija no localhost uz host4 ir pilnībā šifrēta.

Par šādu iespēju iekšā ssh_config norādiet konfigurācijas opciju ProxyJump. Ja jums regulāri ir jāiet cauri vairākiem saimniekiem, tad automatizācija caur konfigurāciju ietaupīs daudz laika.

21. Bloķējiet SSH brutālā spēka mēģinājumus, izmantojot iptables

Ikviens, kurš ir pārvaldījis SSH pakalpojumu un apskatījis žurnālus, zina par brutālā spēka mēģinājumu skaitu, kas notiek katru stundu katru dienu. Ātrs veids, kā samazināt troksni žurnālos, ir pārvietot SSH uz nestandarta portu. Veiciet izmaiņas failā sshd_config izmantojot konfigurācijas parametru Port ##.

Ar iptables Varat arī viegli bloķēt mēģinājumus izveidot savienojumu ar portu, sasniedzot noteiktu slieksni. Vienkāršs veids, kā to izdarīt, ir izmantot OSSEC, jo tas ne tikai bloķē SSH, bet arī veic virkni citu uz resursdatora nosaukumu balstītu ielaušanās noteikšanas (HIDS) pasākumu.

22. SSH Escape, lai mainītu portu pāradresāciju

Un mūsu pēdējais piemērs ssh paredzēts, lai mainītu portu pāradresāciju esošās sesijas laikā ssh. Iedomājieties šo scenāriju. Jūs esat dziļi tīklā; varbūt pārlēca vairāk nekā pusduci saimniekdatoru, un darbstacijā ir nepieciešams vietējais ports, kas tiek pārsūtīts uz vecās Windows 2003 sistēmas Microsoft SMB (kāds atceras ms08-67?).

Noklikšķinot enter, mēģiniet ievadīt konsolē ~C. Šī ir sesijas vadības secība, kas ļauj veikt izmaiņas esošajā savienojumā.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Šeit varat redzēt, ka esam pārsūtījuši mūsu vietējo portu 1445 uz Windows 2003 resursdatoru, ko atradām iekšējā tīklā. Tagad vienkārši skrien msfconsole, un varat doties tālāk (pieņemot, ka plānojat izmantot šo resursdatoru).

Pabeigšana

Šie piemēri, padomi un komandas ssh jāsniedz sākuma punkts; Plašāka informācija par katru komandu un iespējām ir pieejama man lapās (man ssh, man ssh_config, man sshd_config).

Mani vienmēr ir fascinējusi iespēja piekļūt sistēmām un izpildīt komandas jebkurā vietā pasaulē. Attīstot savas prasmes ar tādiem rīkiem kā ssh jūs kļūsit efektīvāks jebkurā spēlē, kuru spēlējat.

Avots: www.habr.com

Praktiski padomi, piemēri un SSH tuneļi