Praktiski piemÄri SSH, kas pacels jÅ«su kÄ attÄlinÄtÄ sistÄmas administratora prasmes jaunÄ lÄ«menÄ«. Komandas un padomi palÄ«dzÄs ne tikai lietot SSH, bet arÄ« kompetentÄk orientÄties tÄ«klÄ.
NÄkamajÄ piemÄrÄ tiek izmantoti bieži sastopami parametri, kas bieži sastopami, veidojot savienojumu ar attÄlo serveri SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver
-v: AtkļūdoÅ”anas izvade ir Ä«paÅ”i noderÄ«ga, analizÄjot autentifikÄcijas problÄmas. Var izmantot vairÄkas reizes, lai parÄdÄ«tu papildu informÄciju.
- p 22: savienojuma ports uz attÄlo SSH serveri. 22 nav jÄnorÄda, jo tÄ ir noklusÄjuma vÄrtÄ«ba, bet ja protokols ir uz kÄda cita porta, tad to norÄdÄm izmantojot parametru -p. KlausÄ«Å”anÄs ports ir norÄdÄ«ts failÄ sshd_config formÄtÄ Port 2222.
-C: SaspieÅ”ana savienojumam. Ja jums ir lÄns savienojums vai skatÄt daudz teksta, tas var paÄtrinÄt savienojumu.
neo@: rinda pirms simbola @ norÄda lietotÄjvÄrdu autentifikÄcijai attÄlajÄ serverÄ«. Ja to nenorÄdÄ«sit, pÄc noklusÄjuma tiks izmantots tÄ konta lietotÄjvÄrds, kurÄ paÅ”laik esat pieteicies (~$whoami). LietotÄju var norÄdÄ«t arÄ«, izmantojot parametru -l.
remoteserver: resursdatora nosaukums, ar kuru izveidot savienojumu ssh, tas var bÅ«t pilnÄ«bÄ kvalificÄts domÄna nosaukums, IP adrese vai jebkurÅ” resursdators vietÄjÄ saimniekdatoru failÄ. Lai izveidotu savienojumu ar resursdatoru, kas atbalsta gan IPv4, gan IPv6, varat pievienot parametru komandrindai -4 vai -6 pareizai izŔķirtspÄjai.
Visi iepriekÅ” minÄtie parametri nav obligÄti, izÅemot remoteserver.
Izmantojot konfigurÄcijas failu
Lai gan daudzi ir pazÄ«stami ar failu sshd_config, komandai ir arÄ« klienta konfigurÄcijas fails ssh. NoklusÄjuma vÄrtÄ«ba ~/.ssh/config, bet to var definÄt kÄ opcijas parametru -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_key
IepriekÅ” minÄtajÄ ssh konfigurÄcijas faila piemÄrÄ ir divi resursdatora ieraksti. Pirmais nozÄ«mÄ visus resursdatorus, kuri visi izmanto konfigurÄcijas parametru Port 2222. Otrais norÄda, ka resursdatoram attÄlais serveris jÄizmanto cits lietotÄjvÄrds, ports, FQDN un IdentityFile.
KonfigurÄcijas fails var ietaupÄ«t daudz rakstÄ«Å”anas laika, ļaujot automÄtiski lietot papildu konfigurÄciju, kad tiek izveidots savienojums ar noteiktiem resursdatoriem.
Failu kopÄÅ”ana, izmantojot SSH, izmantojot SCP
SSH klientam ir divi citi ļoti Ärti rÄ«ki failu kopÄÅ”anai Å”ifrÄts ssh savienojums. TÄlÄk skatiet scp un sftp komandu standarta lietoÅ”anas piemÄru. Å emiet vÄrÄ, ka daudzas no ssh opcijÄm attiecas arÄ« uz Ŕīm komandÄm.
Å ajÄ piemÄrÄ fails mypic.png kopÄts uz attÄlais serveris uz mapi /media/data un pÄrdÄvÄta par mypic_2.png.
Neaizmirstiet par porta parametra atŔķirÄ«bu. Å eit daudzi cilvÄki tiek pieÄ·erti, startÄjot scp no komandrindas. Å eit ir porta parametrs -PUn ne -p, gluži kÄ ssh klientÄ! JÅ«s aizmirsÄ«sit, bet neuztraucieties, visi aizmirst.
Tiem, kas ir pazÄ«stami ar konsoli ftp, daudzas komandas ir lÄ«dzÄ«gas sftp... Tu vari darÄ«t push, likt Šø lskÄ sirds vÄlas.
sftp neo@remoteserver
Praktiski piemÄri
Daudzos no Å”iem piemÄriem rezultÄtus var sasniegt, izmantojot dažÄdas metodes. TÄpat kÄ visÄs mÅ«su mÄcÄ«bu grÄmatas un piemÄri, priekÅ”roka tiek dota praktiskiem piemÄriem, kas vienkÄrÅ”i dara savu darbu.
1. SSH zeÄ·u starpniekserveris
SSH starpniekservera funkcija ir numur 1 pamatota iemesla dÄļ. Tas ir jaudÄ«gÄks, nekÄ daudzi to saprot, un nodroÅ”ina piekļuvi jebkurai sistÄmai, kurai var piekļūt attÄlais serveris, izmantojot praktiski jebkuru lietojumprogrammu. Ssh klients var tuneli trafiku caur SOCKS starpniekserveri ar vienu vienkÄrÅ”u komandu. Ir svarÄ«gi saprast, ka trafiks uz attÄlajÄm sistÄmÄm nÄks no attÄlÄ servera, tas tiks norÄdÄ«ts tÄ«mekļa servera žurnÄlos.
Å eit mÄs palaižam zeÄ·u starpniekserveri TCP portÄ 8888, otrÄ komanda pÄrbauda, āāvai ports ir aktÄ«vs klausÄ«Å”anÄs režīmÄ. 127.0.0.1 norÄda, ka pakalpojums darbojas tikai uz localhost. MÄs varam izmantot nedaudz atŔķirÄ«gu komandu, lai klausÄ«tos visÄs saskarnÄs, ieskaitot Ethernet vai wifi, tas ļaus citÄm mÅ«su tÄ«kla lietojumprogrammÄm (pÄrlÅ«kprogrammÄm utt.) izveidot savienojumu ar starpniekservera pakalpojumu, izmantojot ssh socks starpniekserveri.
Tagad mÄs varam konfigurÄt pÄrlÅ«kprogrammu, lai izveidotu savienojumu ar zeÄ·u starpniekserveri. ProgrammÄ Firefox atlasiet IestatÄ«jumi | Pamata | TÄ«kla iestatÄ«jumi. NorÄdiet IP adresi un portu, lai izveidotu savienojumu.
LÅ«dzu, Åemiet vÄrÄ opciju veidlapas apakÅ”Ä, lai arÄ« jÅ«su pÄrlÅ«kprogrammas DNS pieprasÄ«jumi tiktu nosÅ«tÄ«ti caur SOCKS starpniekserveri. Ja izmantojat starpniekserveri, lai Å”ifrÄtu tÄ«mekļa trafiku vietÄjÄ tÄ«klÄ, iespÄjams, vÄlÄsities atlasÄ«t Å”o opciju, lai DNS pieprasÄ«jumi tiktu tunelÄti, izmantojot SSH savienojumu.
Palaižot pÄrlÅ«ku Chrome ar noteiktiem komandrindas parametriem, tiks iespÄjots zeÄ·u starpniekserveris, kÄ arÄ« DNS pieprasÄ«jumu tunelÄÅ”ana no pÄrlÅ«kprogrammas. Uzticieties, bet pÄrbaudiet. Izmantot tcpdump lai pÄrbaudÄ«tu, vai DNS vaicÄjumi vairs nav redzami.
Citu lietojumprogrammu izmantoŔana ar starpniekserveri
Å emiet vÄrÄ, ka daudzas citas lietojumprogrammas var izmantot arÄ« zeÄ·u starpniekserveri. TÄ«mekļa pÄrlÅ«kprogramma vienkÄrÅ”i ir vispopulÄrÄkÄ no tÄm. DažÄm lietojumprogrammÄm ir konfigurÄcijas opcijas, lai iespÄjotu starpniekserveri. Citiem ir nepiecieÅ”ama neliela palÄ«dzÄ«ba ar palÄ«gprogrammu. PiemÄram, starpnieka Ä·Ädes ļauj palaist caur zeÄ·u starpniekserveri Microsoft RDP utt.
Socks starpniekservera konfigurÄcijas parametri ir iestatÄ«ti proxychains konfigurÄcijas failÄ.
Padoms: ja operÄtÄjsistÄmÄ Windows izmantojat attÄlo darbvirsmu no Linux? IzmÄÄ£iniet klientu FreeRDP. Å Ä« ir modernÄka ievieÅ”ana nekÄ rdesktop, ar daudz vienmÄrÄ«gÄku pieredzi.
IespÄja izmantot SSH, izmantojot zeÄ·u starpniekserveri
JÅ«s sÄžat kafejnÄ«cÄ vai viesnÄ«cÄ un esat spiesti izmantot diezgan neuzticamu WiFi. MÄs lokÄli palaižam ssh starpniekserveri no klÄpjdatora un instalÄjam ssh tuneli mÄjas tÄ«klÄ vietÄjÄ Rasberry Pi. Izmantojot pÄrlÅ«kprogrammu vai citas lietojumprogrammas, kas konfigurÄtas zeÄ·u starpniekserverim, mÄs varam piekļūt visiem tÄ«kla pakalpojumiem mÅ«su mÄjas tÄ«klÄ vai piekļūt internetam, izmantojot mÅ«su mÄjas savienojumu. Viss starp jÅ«su klÄpjdatoru un mÄjas serveri (izmantojot Wi-Fi un internetu lÄ«dz jÅ«su mÄjÄm) tiek Å”ifrÄts SSH tunelÄ«.
2. SSH tunelis (portu pÄradresÄcija)
VienkÄrÅ”ÄkajÄ formÄ SSH tunelis vienkÄrÅ”i atver portu jÅ«su vietÄjÄ sistÄmÄ, kas savienojas ar citu portu tuneļa otrÄ galÄ.
ApskatÄ«sim parametru -L. To var uzskatÄ«t par klausÄ«Å”anÄs lokÄlo pusi. TÄtad iepriekÅ” minÄtajÄ piemÄrÄ ports 9999 klausÄs vietÄjÄ resursdatora pusÄ un tiek pÄrsÅ«tÄ«ts caur portu 80 uz attÄlo serveri. LÅ«dzu, Åemiet vÄrÄ, ka 127.0.0.1 attiecas uz localhost attÄlajÄ serverÄ«!
Ejam pa pakÄpienu augÅ”Ä. NÄkamajÄ piemÄrÄ ir sniegta saziÅa ar klausÄ«Å”anÄs portiem ar citiem resursdatoriem vietÄjÄ tÄ«klÄ.
Å ajÄ piemÄrÄ mÄs novirzÄm tuneli no attÄlÄ servera uz tÄ«mekļa serveri, kas darbojas 10.10.10.10. Satiksme no attÄlÄ servera uz 10.10.10.10 vairs nav SSH tunelÄ«. TÄ«mekļa serveris 10.10.10.10 uzskatÄ«s attÄlo serveri par tÄ«mekļa pieprasÄ«jumu avotu.
4. Reversais SSH tunelis
Å eit mÄs konfigurÄsim attÄlÄ servera klausÄ«Å”anÄs portu, kas atkal izveidos savienojumu ar mÅ«su localhost (vai citas sistÄmas) vietÄjo portu.
Ja rodas problÄmas ar attÄlo SSH opciju darbÄ«bu, pÄrbaudiet ar netstat, ar kÄdÄm citÄm saskarnÄm ir pievienots klausÄ«Å”anÄs ports. Lai gan piemÄros norÄdÄ«jÄm 0.0.0.0, bet ja vÄrtÄ«ba GatewayPorts Š² sshd_config iestatÄ«ts uz NÄ, tad klausÄ«tÄjs bÅ«s saistÄ«ts tikai ar localhost (127.0.0.1).
DroŔības brÄ«dinÄjums
LÅ«dzu, Åemiet vÄrÄ, ka, atverot tuneļus un zeÄ·u starpniekserverus, iekÅ”Äjie tÄ«kla resursi var bÅ«t pieejami neuzticamiem tÄ«kliem (piemÄram, internetam!). Tas var bÅ«t nopietns droŔības risks, tÄpÄc pÄrliecinieties, ka saprotat, kas ir klausÄ«tÄjs un kam viÅam ir piekļuve.
6. VPN instalÄÅ”ana, izmantojot SSH
IzplatÄ«ts termins uzbrukuma metožu speciÄlistu (pentesteru u.c.) vidÅ« ir āatbalsta punkts tÄ«klÄā. Kad savienojums ir izveidots vienÄ sistÄmÄ, Ŕī sistÄma kļūst par vÄrteju turpmÄkai piekļuvei tÄ«klam. Atbalsta punkts, kas ļauj pÄrvietoties platumÄ.
Å Ädam atbalstam varam izmantot SSH starpniekserveri un starpnieka Ä·ÄdestomÄr ir daži ierobežojumi. PiemÄram, nebÅ«s iespÄjams strÄdÄt tieÅ”i ar ligzdÄm, tÄpÄc mÄs nevarÄsim skenÄt tÄ«kla portus, izmantojot NmapSYN.
Izmantojot Å”o uzlaboto VPN opciju, savienojums tiek samazinÄts lÄ«dz 3. lÄ«menis. PÄc tam mÄs varam vienkÄrÅ”i marÅ”rutÄt satiksmi caur tuneli, izmantojot standarta tÄ«kla marÅ”rutÄÅ”anu.
Metode izmanto ssh, iptables, tun interfaces un marÅ”rutÄÅ”ana.
Vispirms jums jÄiestata Å”ie parametri sshd_config. TÄ kÄ mÄs veicam izmaiÅas gan attÄlÄs, gan klientu sistÄmas saskarnÄs, mÄs ir nepiecieÅ”amas saknes tiesÄ«bas abÄs pusÄs.
PermitRootLogin yes
PermitTunnel yes
PÄc tam mÄs izveidosim ssh savienojumu, izmantojot parametru, kas pieprasa tun ierÄ«Äu inicializÄciju.
localhost:~# ssh -v -w any root@remoteserver
RÄdot interfeisus, mums tagad vajadzÄtu bÅ«t noregulÄjuma ierÄ«cei (# ip a). NÄkamais solis tuneļa saskarnÄm pievienos IP adreses.
SSH klienta puse:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up
SSH servera puse:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Tagad mums ir tieÅ”s ceļŔ uz citu saimniekdatoru (route -n Šø ping 10.10.10.10).
Varat marÅ”rutÄt jebkuru apakÅ”tÄ«klu caur saimniekdatoru otrÄ pusÄ.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
AttÄlinÄtajÄ pusÄ jums ir jÄiespÄjo ip_forward Šø iptables.
Boom! VPN, izmantojot SSH tuneli 3. tÄ«kla slÄnÄ«. Tagad tÄ ir uzvara.
Ja rodas kÄdas problÄmas, izmantojiet tcpdump Šø pinglai noteiktu cÄloni. TÄ kÄ mÄs spÄlÄjam 3. slÄnÄ«, mÅ«su icmp paketes iet caur Å”o tuneli.
7. NokopÄjiet SSH atslÄgu (ssh-copy-id)
Ir vairÄki veidi, kÄ to izdarÄ«t, taÄu Ŕī komanda ietaupa laiku, nekopÄjot failus manuÄli. Tas vienkÄrÅ”i kopÄ ~/.ssh/id_rsa.pub (vai noklusÄjuma atslÄgu) no jÅ«su sistÄmas uz ~/.ssh/authorized_keys attÄlajÄ serverÄ«.
localhost:~$ ssh-copy-id user@remoteserver
8. AttÄlÄ komandu izpilde (nav interaktÄ«va)
komanda ssh Var saistÄ«t ar citÄm komandÄm, lai izveidotu kopÄ«gu, lietotÄjam draudzÄ«gu saskarni. VienkÄrÅ”i pievienojiet komandu, kuru vÄlaties palaist attÄlajÄ resursdatorÄ, kÄ pÄdÄjo parametru pÄdiÅÄs.
Å ajÄ piemÄrÄ grep tiek izpildÄ«ts vietÄjÄ sistÄmÄ pÄc tam, kad žurnÄls ir lejupielÄdÄts, izmantojot ssh kanÄlu. Ja fails ir liels, to ir ÄrtÄk palaist grep attÄlajÄ pusÄ, vienkÄrÅ”i ievietojot abas komandas dubultpÄdiÅÄs.
Cits piemÄrs veic tÄdu paÅ”u funkciju kÄ ssh-copy-id no 7. piemÄra.
9. AttÄlÄ pakeÅ”u uztverÅ”ana un apskate programmÄ Wireshark
Es paÅÄmu vienu no mÅ«sÄjiem tcpdump piemÄri. Izmantojiet to, lai attÄlinÄti uztvertu paketes un parÄdÄ«tu rezultÄtus tieÅ”i vietÄjÄ Wireshark GUI.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. LokÄlÄs mapes kopÄÅ”ana uz attÄlo serveri, izmantojot SSH
Jauks triks, kas saspiež mapi, izmantojot bzip2 (Ŕī ir opcija -j komandÄ tar), un pÄc tam izgÅ«st straumi bzip2 otrÄ pusÄ, attÄlajÄ serverÄ« izveidojot mapes dublikÄtu.
11. AttÄlÄs GUI lietojumprogrammas ar SSH X11 pÄrsÅ«tÄ«Å”anu
Ja X ir instalÄts klientÄ un attÄlajÄ serverÄ«, varat attÄlinÄti izpildÄ«t GUI komandu ar logu vietÄjÄ darbvirsmÄ. Å Ä« funkcija pastÄv jau ilgu laiku, taÄu joprojÄm ir ļoti noderÄ«ga. Palaidiet attÄlo tÄ«mekļa pÄrlÅ«kprogrammu vai pat VMWawre Workstation konsoli, kÄ es to daru Å”ajÄ piemÄrÄ.
localhost:~$ ssh -X remoteserver vmware
NepiecieÅ”amÄ virkne X11Forwarding yes failÄ sshd_config.
12. AttÄlÄ failu kopÄÅ”ana, izmantojot rsync un SSH
rsync daudz ÄrtÄk scp, ja jums ir nepiecieÅ”amas periodiskas direktorija, liela skaita failu vai ļoti lielu failu dublÄjumkopijas. Ir funkcija atkopÅ”anai pÄc pÄrsÅ«tÄ«Å”anas kļūmes un tikai mainÄ«to failu kopÄÅ”anai, kas ietaupa trafiku un laiku.
Å ajÄ piemÄrÄ tiek izmantota saspieÅ”ana gzip (-z) un arhivÄÅ”anas režīms (-a), kas nodroÅ”ina rekursÄ«vo kopÄÅ”anu.
TorszeÄ·es starpniekserverim izmantos portu 9050 uz localhost. KÄ vienmÄr, izmantojot Tor, jums ir nopietni jÄpÄrbauda, āākÄda satiksme tiek tunelÄta, un citas darbÄ«bas droŔības (opsec) problÄmas. Kur nonÄk jÅ«su DNS vaicÄjumi?
14. SSH uz EC2 instance
Lai izveidotu savienojumu ar EC2 gadÄ«jumu, ir nepiecieÅ”ama privÄtÄ atslÄga. LejupielÄdÄjiet to (.pem paplaÅ”inÄjums) no Amazon EC2 vadÄ«bas paneļa un mainiet atļaujas (chmod 400 my-ec2-ssh-key.pem). GlabÄjiet atslÄgu droÅ”Ä vietÄ vai ievietojiet to savÄ mapÄ ~/.ssh/.
Parametrs -i vienkÄrÅ”i liek ssh klientam izmantot Å”o atslÄgu. Fails ~/.ssh/config IdeÄli piemÄrots atslÄgas lietojuma automÄtiskai konfigurÄÅ”anai, veidojot savienojumu ar ec2 resursdatoru.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Teksta failu rediÄ£ÄÅ”ana, izmantojot VIM caur ssh/scp
Visiem mīļotÄjiem vim Å is padoms ietaupÄ«s laiku. Izmantojot vim faili tiek rediÄ£Äti, izmantojot scp ar vienu komandu. Å Ä« metode vienkÄrÅ”i izveido failu lokÄli /tmpun pÄc tam kopÄ to atpakaļ, kad mÄs to saglabÄjÄm no vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
PiezÄ«me: formÄts nedaudz atŔķiras no parastÄ scp. PÄc saimnieka mums ir dubultÄ //. Å Ä« ir absolÅ«ta ceļa atsauce. Viena slÄ«psvÄ«tra norÄda ceļu attiecÄ«bÄ pret jÅ«su mÄjas mapi users.
PÄc noklusÄjuma, ja ir izveidots savienojums ar attÄlo serveri, izmantojot ssh izmanto otro savienojumu ssh vai scp izveido jaunu sesiju ar papildu autentifikÄciju. Opcija ControlPath ļauj izmantot esoÅ”o sesiju visiem turpmÄkajiem savienojumiem. Tas ievÄrojami paÄtrinÄs procesu: efekts ir pamanÄms pat lokÄlajÄ tÄ«klÄ un vÄl jo vairÄk, pieslÄdzoties attÄliem resursiem.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath norÄda ligzdu, lai pÄrbaudÄ«tu jaunus savienojumus, lai redzÄtu, vai ir aktÄ«va sesija ssh. PÄdÄjÄ opcija nozÄ«mÄ, ka pat pÄc izieÅ”anas no konsoles esoÅ”Ä sesija paliks atvÄrta 10 minÅ«tes, tÄpÄc Å”ajÄ laikÄ varat atkÄrtoti izveidot savienojumu ar esoÅ”o kontaktligzdu. Lai iegÅ«tu papildinformÄciju, skatiet palÄ«dzÄ«bu. ssh_config man.
18. StraumÄjiet video, izmantojot SSH, izmantojot VLC un SFTP
Pat ilgstoÅ”i lietotÄji ssh Šø vlc (Video Lan Client) ne vienmÄr apzinÄs Å”o Ärto iespÄju, ja jums patieÅ”Äm ir nepiecieÅ”ams skatÄ«ties video tÄ«klÄ. IestatÄ«jumos Fails | Atveriet tÄ«kla straumi programmas vlc atraÅ”anÄs vietu var ievadÄ«t kÄ sftp://. Ja ir nepiecieÅ”ama parole, tiks parÄdÄ«ta uzvedne.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Divu faktoru autentifikÄcija
Uz SSH pakalpojumu attiecas tÄ pati divu faktoru autentifikÄcija kÄ jÅ«su bankas kontam vai Google kontam.
Protams, ssh sÄkotnÄji ir divu faktoru autentifikÄcijas funkcija, kas nozÄ«mÄ paroli un SSH atslÄgu. AparatÅ«ras pilnvaras vai lietotnes Google autentifikators priekÅ”rocÄ«ba ir tÄ, ka tÄ parasti ir cita fiziska ierÄ«ce.
Ja tÄ«kla segmentÄcija nozÄ«mÄ, ka, lai nokļūtu galamÄrÄ·a tÄ«klÄ, ir jÄpÄriet cauri vairÄkiem ssh saimniekiem, saÄ«sne -J ietaupÄ«s jÅ«su laiku.
Å eit galvenais ir saprast, ka tas nav tas pats, kas komanda ssh host1tad user@host1:~$ ssh host2 utt. Opcija -J gudri izmanto pÄrsÅ«tÄ«Å”anu, lai piespiestu localhost izveidot sesiju ar nÄkamo saimniekdatoru Ä·ÄdÄ. TÄtad iepriekÅ” minÄtajÄ piemÄrÄ mÅ«su localhost ir autentificÄts resursdatoram4. Tas nozÄ«mÄ, ka tiek izmantotas mÅ«su localhost atslÄgas, un sesija no localhost uz host4 ir pilnÄ«bÄ Å”ifrÄta.
Par Å”Ädu iespÄju iekÅ”Ä ssh_config norÄdiet konfigurÄcijas opciju ProxyJump. Ja jums regulÄri ir jÄiet cauri vairÄkiem saimniekiem, tad automatizÄcija caur konfigurÄciju ietaupÄ«s daudz laika.
21. BloÄ·Äjiet SSH brutÄlÄ spÄka mÄÄ£inÄjumus, izmantojot iptables
Ikviens, kurÅ” ir pÄrvaldÄ«jis SSH pakalpojumu un apskatÄ«jis žurnÄlus, zina par brutÄlÄ spÄka mÄÄ£inÄjumu skaitu, kas notiek katru stundu katru dienu. Ätrs veids, kÄ samazinÄt troksni žurnÄlos, ir pÄrvietot SSH uz nestandarta portu. Veiciet izmaiÅas failÄ sshd_config izmantojot konfigurÄcijas parametru Port ##.
Ar iptables Varat arÄ« viegli bloÄ·Ät mÄÄ£inÄjumus izveidot savienojumu ar portu, sasniedzot noteiktu slieksni. VienkÄrÅ”s veids, kÄ to izdarÄ«t, ir izmantot OSSEC, jo tas ne tikai bloÄ·Ä SSH, bet arÄ« veic virkni citu uz resursdatora nosaukumu balstÄ«tu ielauÅ”anÄs noteikÅ”anas (HIDS) pasÄkumu.
22. SSH Escape, lai mainÄ«tu portu pÄradresÄciju
Un mÅ«su pÄdÄjais piemÄrs ssh paredzÄts, lai mainÄ«tu portu pÄradresÄciju esoÅ”Äs sesijas laikÄ ssh. IedomÄjieties Å”o scenÄriju. JÅ«s esat dziļi tÄ«klÄ; varbÅ«t pÄrlÄca vairÄk nekÄ pusduci saimniekdatoru, un darbstacijÄ ir nepiecieÅ”ams vietÄjais ports, kas tiek pÄrsÅ«tÄ«ts uz vecÄs Windows 2003 sistÄmas Microsoft SMB (kÄds atceras ms08-67?).
NoklikŔķinot enter, mÄÄ£iniet ievadÄ«t konsolÄ ~C. Å Ä« ir sesijas vadÄ«bas secÄ«ba, kas ļauj veikt izmaiÅas esoÅ”ajÄ savienojumÄ.
Å eit varat redzÄt, ka esam pÄrsÅ«tÄ«juÅ”i mÅ«su vietÄjo portu 1445 uz Windows 2003 resursdatoru, ko atradÄm iekÅ”ÄjÄ tÄ«klÄ. Tagad vienkÄrÅ”i skrien msfconsole, un varat doties tÄlÄk (pieÅemot, ka plÄnojat izmantot Å”o resursdatoru).
PabeigŔana
Å ie piemÄri, padomi un komandas ssh jÄsniedz sÄkuma punkts; PlaÅ”Äka informÄcija par katru komandu un iespÄjÄm ir pieejama man lapÄs (man ssh, man ssh_config, man sshd_config).
Mani vienmÄr ir fascinÄjusi iespÄja piekļūt sistÄmÄm un izpildÄ«t komandas jebkurÄ vietÄ pasaulÄ. AttÄ«stot savas prasmes ar tÄdiem rÄ«kiem kÄ ssh jÅ«s kļūsit efektÄ«vÄks jebkurÄ spÄlÄ, kuru spÄlÄjat.