Практични примери SSH, што ќе ги подигне вашите вештини како далечински системски администратор на ново ниво. Наредбите и советите ќе помогнат не само да се користат SSH, но и покомпетентно навигирајте низ мрежата.

Знаејќи неколку трикови ssh корисно за секој системски администратор, мрежен инженер или специјалист за безбедност.

Практични SSH Примери

1. SSH чорапи прокси
2. SSH тунел (препраќање порта)
3. SSH тунел до третиот домаќин
4. Обратен SSH тунел
5. SSH обратен прокси
6. Инсталирање VPN преку SSH
7. Копирање на SSH клуч (ssh-copy-id)
8. Далечинско извршување команда (неинтерактивно)
9. Далечинско снимање и гледање пакети во Wireshark
10. Копирање локална папка на оддалечен сервер преку SSH
11. Далечински GUI апликации со SSH X11 Forwarding
12. Далечинско копирање на датотеки со помош на rsync и SSH
13. SSH преку Tor мрежа
14. SSH на пример EC2
15. Уредување текстуални датотеки користејќи VIM преку ssh/scp
16. Монтирајте го далечинскиот SSH како локална папка со SSHFS
17. Мултиплексирање на SSH со ControlPath
18. Пренесувајте видео преку SSH користејќи VLC и SFTP
19. Дво-факторска автентикација
20. Скокање домаќини со SSH и -J
21. Блокирање на обиди за брутална сила на SSH користејќи iptables
22. SSH Escape за промена на проследувањето на портата

Прво основите

Парсирање на командната линија SSH

Следниот пример користи вообичаени параметри кои често се среќаваат при поврзување со оддалечен сервер SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: Излезот за отстранување грешки е особено корисен кога се анализираат проблемите со автентикација. Може да се користи повеќе пати за прикажување дополнителни информации.
• - p 22: порта за поврзување на оддалечен SSH сервер. 22 не мора да биде наведен, бидејќи ова е стандардната вредност, но ако протоколот е на некоја друга порта, тогаш го одредуваме со помош на параметарот -p. Портата за слушање е наведена во датотеката sshd_config во формат Port 2222.
• -C: Компресија за поврзување. Ако имате бавна врска или гледате многу текст, ова може да ја забрза врската.
• neo@: Линијата пред симболот @ го означува корисничкото име за автентикација на оддалечениот сервер. Ако не го наведете, стандардно ќе биде корисничкото име на сметката на која сте моментално најавени (~$whoami). Корисникот исто така може да се одреди со помош на параметарот -l.
• remoteserver: име на домаќинот за поврзување ssh, ова може да биде целосно квалификувано име на домен, IP адреса или кој било хост во датотеката локални домаќини. За да се поврзете со домаќин кој поддржува и IPv4 и IPv6, можете да го додадете параметарот во командната линија -4 или -6 за правилна резолуција.

Сите горенаведени параметри се опционални освен remoteserver.

Користење на конфигурациската датотека

Иако многумина се запознаени со датотеката sshd_config, постои и конфигурациска датотека на клиентот за командата ssh. Стандардна вредност ~/.ssh/config, но може да се дефинира како параметар за опција -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Постојат два записи на домаќинот во примерот ssh конфигурациска датотека погоре. Првиот значи сите хостови, сите го користат конфигурацискиот параметар Port 2222. Вториот вели дека за домаќинот далечински сервер треба да се користат различно корисничко име, порта, FQDN и IdentityFile.

Конфигурациската датотека може да заштеди многу време за пишување со тоа што дозволува напредната конфигурација да се применува автоматски при поврзување со одредени хостови.

Копирање датотеки преку SSH користејќи SCP

Клиентот SSH доаѓа со две други многу практични алатки за копирање датотеки шифрирана ssh врска. Погледнете подолу за пример за стандардна употреба на командите scp и sftp. Забележете дека многу од опциите за ssh се применуваат и на овие команди.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

Во овој пример датотеката mypic.png копирани на далечински сервер да папка /медиуми/податоци и преименувана во mypic_2.png.

Не заборавајте за разликата во параметарот на пристаништето. Ова е местото каде што многу луѓе се фатени кога ќе започнат scp од командната линија. Еве го параметарот на пристаништето -Pи не -p, исто како во ssh клиент! Ќе заборавиш, но не грижи се, сите забораваат.

За оние кои се запознаени со конзолата ftp, многу од командите се слични во sftp. Можете да го направите притисни, стави и lsкако што сака срцето.

sftp neo@remoteserver

Практични примери

Во многу од овие примери, резултатите може да се постигнат со користење на различни методи. Како и во сите наши учебници и примери, предност се дава на практични примери кои едноставно си ја вршат својата работа.

1. SSH чорапи прокси

Функцијата SSH Proxy е број 1 со добра причина. Тој е помоќен отколку што многумина сфаќаат и ви дава пристап до кој било систем до кој има пристап оддалечениот сервер, користејќи практично секоја апликација. Клиентот ssh може да го тунелира сообраќајот преку прокси SOCKS со една едноставна команда. Важно е да се разбере дека сообраќајот кон оддалечените системи ќе доаѓа од оддалечен сервер, тоа ќе биде означено во дневниците на веб-серверот.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Овде извршуваме прокси за чорапи на портата TCP 8888, втората команда проверува дали портата е активна во режимот на слушање. 127.0.0.1 покажува дека услугата работи само на localhost. Можеме да користиме малку поинаква команда за слушање на сите интерфејси, вклучително и етернет или wifi, тоа ќе им овозможи на другите апликации (прелистувачи, итн.) на нашата мрежа да се поврзат со прокси-сервисот преку прокси ssh socks.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Сега можеме да го конфигурираме прелистувачот да се поврзе со проксито за чорапи. Во Firefox, изберете Поставки | Основни | Мрежни поставки. Наведете ја IP адресата и портата за поврзување.

Ве молиме имајте ја предвид опцијата на дното на формуларот, исто така, барањата за DNS на вашиот прелистувач да поминат преку прокси SOCKS. Ако користите прокси-сервер за шифрирање на веб-сообраќајот на вашата локална мрежа, веројатно ќе сакате да ја изберете оваа опција така што барањата за DNS се тунелираат преку SSH-врската.

Се активира прокси за чорапи во Хром

Стартувањето на Chrome со одредени параметри на командната линија ќе го овозможи проксито за чорапи, како и тунелирање на барањата за DNS од прелистувачот. Верувајте, но проверете. Користете tcpdump за да проверите дали прашањата за DNS веќе не се видливи.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Користење на други апликации со прокси

Имајте на ум дека многу други апликации може да користат и прокси за чорапи. Веб-прелистувачот е едноставно најпопуларниот од сите нив. Некои апликации имаат опции за конфигурација за да се овозможи прокси-сервер. На другите им е потребна мала помош со помошна програма. На пример, прокси синџири ви овозможува да трчате преку прокси за чорапи Microsoft RDP, итн.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Параметрите за конфигурација на прокси за чорапи се поставени во конфигурациската датотека на прокси синџири.

Совет: ако користите далечинска работна површина од Linux на Windows? Пробајте го клиентот FreeRDP. Ова е помодерна имплементација отколку rdesktop, со многу помазно искуство.

Опција за користење на SSH преку прокси за чорапи

Седите во кафуле или хотел - и сте принудени да користите прилично несигурна WiFi. Локално лансираме ssh прокси од лаптоп и инсталираме ssh тунел во домашната мрежа на локален Rasberry Pi. Користејќи прелистувач или други апликации конфигурирани за прокси за чорапи, можеме да пристапиме до сите мрежни услуги на нашата домашна мрежа или да пристапиме на Интернет преку нашата домашна врска. Сè помеѓу вашиот лаптоп и вашиот домашен сервер (преку Wi-Fi и интернет до вашиот дом) е шифрирано во SSH тунел.

2. SSH тунел (препраќање порта)

Во својата наједноставна форма, SSH тунелот едноставно отвора порта на вашиот локален систем што се поврзува со друга порта на другиот крај од тунелот.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Ајде да го погледнеме параметарот -L. Може да се смета како локална страна на слушањето. Така, во примерот погоре, портата 9999 слуша од страната на локалниот домаќин и се препраќа преку портата 80 до далечинскиот сервер. Ве молиме имајте предвид дека 127.0.0.1 се однесува на локалниот хост на оддалечениот сервер!

Ајде да се качиме на скалилото. Следниот пример ги комуницира портите за слушање со други домаќини на локалната мрежа.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

Во овие примери се поврзуваме со порта на веб-серверот, но ова може да биде прокси-сервер или која било друга TCP услуга.

3. SSH тунел до домаќин од трета страна

Можеме да ги користиме истите параметри за да поврземе тунел од оддалечен сервер со друга услуга што работи на трет систем.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

Во овој пример, ние пренасочуваме тунел од далечински сервер на веб-сервер кој работи на 10.10.10.10. Сообраќај од далечински сервер до 10.10.10.10 повеќе не е во тунелот SSH. Веб-серверот на 10.10.10.10 ќе смета дека далечинскиот сервер е извор на веб-барања.

4. Обратен SSH тунел

Овде ќе конфигурираме порта за слушање на оддалечениот сервер што ќе се поврзе назад со локалната порта на нашиот локален хост (или друг систем).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Оваа SSH сесија воспоставува врска од портата 1999 на далечинскиот сервер до портата 902 на нашиот локален клиент.

5. SSH обратен прокси

Во овој случај, поставуваме прокси за чорапи на нашата ssh врска, но проксито слуша на оддалечениот крај на серверот. Врските со овој далечински прокси сега се појавуваат од тунелот како сообраќај од нашиот локален хост.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Решавање проблеми со далечински SSH тунели

Ако имате проблеми со далечинските SSH опции кои работат, проверете со netstat, на кои други интерфејси е поврзан портот за слушање. Иако наведовме 0.0.0.0 во примерите, но ако вредноста GatewayPorts в sshd_config поставени на бр, тогаш слушателот ќе биде врзан само за localhost (127.0.0.1).

Безбедносно предупредување

Ве молиме имајте предвид дека со отворање на прокси тунели и чорапи, внатрешните мрежни ресурси може да бидат достапни за недоверливи мрежи (како што е Интернет!). Ова може да биде сериозен безбедносен ризик, затоа погрижете се да разберете што е слушателот и до што има пристап.

6. Инсталирање VPN преку SSH

Вообичаен термин меѓу специјалистите за методи на напад (петестери, итн.) е „потпорна точка во мрежата“. Откако ќе се воспостави врска на еден систем, тој систем станува порта за понатамошен пристап до мрежата. Потпорна точка што ви овозможува да се движите во ширина.

За таква основа можеме да користиме SSH прокси и прокси синџири, сепак има некои ограничувања. На пример, нема да може да се работи директно со приклучоци, така што нема да можеме да ги скенираме портите во мрежата преку Nmap SYN.

Користејќи ја оваа понапредна VPN опција, врската е сведена на ниво 3. Потоа можеме едноставно да го насочиме сообраќајот низ тунелот користејќи стандардно мрежно рутирање.

Методот користи ssh, iptables, tun interfaces и рутирање.

Прво треба да ги поставите овие параметри sshd_config. Бидејќи правиме промени во интерфејсите и на далечинскиот и на клиентскиот систем, ние потребни се права на root од двете страни.

PermitRootLogin yes
PermitTunnel yes

Потоа ќе воспоставиме ssh конекција користејќи го параметарот што бара иницијализација на tun уредите.

localhost:~# ssh -v -w any root@remoteserver

Сега треба да имаме уред за подесување кога прикажуваме интерфејси (# ip a). Следниот чекор ќе додаде IP адреси на интерфејсите на тунелот.

SSH клиентска страна:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH серверска страна:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Сега имаме директен пат до друг домаќин (route -n и ping 10.10.10.10).

Можете да насочите која било подмрежа преку домаќин од другата страна.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

На оддалечената страна мора да овозможите ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Бум! VPN преку SSH тунел на мрежниот слој 3. Сега тоа е победа.

Ако се појават какви било проблеми, користете tcpdump и pingда се утврди причината. Бидејќи играме на слој 3, нашите icmp пакети ќе минуваат низ овој тунел.

7. Копирајте го копчето SSH (ssh-copy-id)

Постојат неколку начини да го направите ова, но оваа команда заштедува време со тоа што не ги копирате датотеките рачно. Едноставно го копира ~/.ssh/id_rsa.pub (или стандардниот клуч) од вашиот систем на ~/.ssh/authorized_keys на оддалечен сервер.

localhost:~$ ssh-copy-id user@remoteserver

8. Далечинско извршување на командата (неинтерактивно)

тим ssh Може да се поврзе со други команди за заеднички интерфејс кој е лесен за користење. Само додадете ја командата што сакате да ја извршите на оддалечениот домаќин како последен параметар во наводници.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

Во овој пример grep извршено на локалниот систем откако дневникот е преземен преку ssh канал. Ако датотеката е голема, попогодно е да се изврши grep на оддалечената страна со едноставно затворање на двете команди во двојни наводници.

Друг пример ја извршува истата функција како ssh-copy-id од пример 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Далечинско снимање и гледање пакети во Wireshark

Зедов еден од нашите tcpdump примери. Користете го за далечинско снимање на пакети и прикажување на резултатите директно во локалниот GUI на Wireshark.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Копирање локална папка на оддалечен сервер преку SSH

Убав трик што компресира папка користејќи bzip2 (ова е опцијата -j во командата tar), а потоа го враќа потокот bzip2 од другата страна, создавајќи дупликат папка на оддалечениот сервер.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Далечински GUI апликации со SSH X11 Forwarding

Ако X е инсталиран на клиентот и на далечинскиот сервер, тогаш можете далечински да извршите команда за GUI со прозорец на вашата локална работна површина. Оваа функција постои долго време, но сепак е многу корисна. Стартувајте далечински веб-прелистувач или дури и конзолата VMWawre Workstation како што правам во овој пример.

localhost:~$ ssh -X remoteserver vmware

Потребна низа X11Forwarding yes во датотека sshd_config.

12. Далечинско копирање на датотеки со помош на rsync и SSH

rsync многу поудобно scp, ако ви требаат периодични резервни копии на директориум, голем број датотеки или многу големи датотеки. Има функција за опоравување од неуспех на пренос и копирање само променети датотеки, што заштедува сообраќај и време.

Овој пример користи компресија gzip (-z) и режим на архивирање (-a), кој овозможува рекурзивно копирање.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH преку мрежата Tor

Анонимната Tor мрежа може да го тунелира сообраќајот SSH користејќи ја командата torsocks. Следнава команда ќе го пренесе проксито ssh преку Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Торзоли ќе ја користи портата 9050 на localhost за прокси. Како и секогаш, кога користите Tor, треба сериозно да проверите каков сообраќај се тунелира и други оперативни безбедносни (opsec) проблеми. Каде одат вашите прашања за DNS?

14. SSH до EC2 пример

За да се поврзете со примерок EC2, потребен ви е приватен клуч. Преземете го (продолжение .pem) од контролната табла на Amazon EC2 и променете ги дозволите (chmod 400 my-ec2-ssh-key.pem). Чувајте го клучот на безбедно место или ставете го во вашата папка ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Параметар -i едноставно му кажува на ssh клиентот да го користи овој клуч. Датотека ~/.ssh/config Идеален за автоматско конфигурирање на употребата на клучот кога се поврзувате со ec2 хост.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Уредување текстуални датотеки користејќи VIM преку ssh/scp

За сите љубовници vim Овој совет ќе заштеди малку време. Со користење на vim датотеките се уредуваат преку scp со една команда. Овој метод едноставно ја креира датотеката локално во /tmpи потоа го копира назад штом го зачувавме од vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Забелешка: форматот е малку поинаков од вообичаениот scp. После домаќинот имаме двојник //. Ова е апсолутна референца за патеката. Една коса црта ќе означи патека во однос на вашата домашна папка users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Ако ја видите оваа грешка, проверете го двапати форматот на командата. Ова обично значи синтаксна грешка.

16. Монтирање далечински SSH како локална папка со SSHFS

Со помош на sshfs - клиент на датотечен систем ssh - можеме да поврземе локален директориум со оддалечена локација со сите интеракции на датотеки во шифрирана сесија ssh.

localhost:~$ apt install sshfs

Инсталирајте го пакетот на Ubuntu и Debian sshfs, а потоа едноставно монтирајте ја оддалечената локација на нашиот систем.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH мултиплексирање со ControlPath

Стандардно, ако постои постоечка врска со далечински сервер користејќи ssh втора врска користејќи ssh или scp воспоставува нова сесија со дополнителна автентикација. Опција ControlPath овозможува постоечката сесија да се користи за сите наредни врски. Ова значително ќе го забрза процесот: ефектот е забележлив дури и на локална мрежа, а уште повеќе кога се поврзувате со оддалечени ресурси.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath го одредува штекерот за проверка за нови врски за да види дали има активна сесија ssh. Последната опција значи дека дури и откако ќе излезете од конзолата, постоечката сесија ќе остане отворена 10 минути, па за тоа време можете повторно да се поврзете на постоечкиот приклучок. За повеќе информации, видете ја помошта. ssh_config man.

18. Пренесувајте видео преку SSH користејќи VLC и SFTP

Дури и долгогодишни корисници ssh и vlc (Video Lan Client) не се секогаш свесни за оваа пригодна опција кога навистина треба да гледате видео преку мрежата. Во поставките Датотека | Отворете мрежен тек програми vlc можете да ја внесете локацијата како sftp://. Ако е потребна лозинка, ќе се појави известување.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Двофакторна автентикација

Истата двофакторна автентикација како вашата банкарска сметка или сметката на Google се однесува на услугата SSH.

Се разбира, ssh првично има функција за автентикација со два фактори, што значи лозинка и клуч SSH. Предноста на хардверскиот токен или апликацијата Google Authenticator е тоа што обично е различен физички уред.

Погледнете го нашиот 8-минутен водич за користејќи Google Authenticator и SSH.

20. Скокање домаќини со сш и -Ј

Ако сегментацијата на мрежата значи дека треба да поминете низ повеќе ssh хостови за да стигнете до мрежата на крајната дестинација, кратенката -J ќе ви заштеди време.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Главната работа што треба да се разбере овде е дека ова не е исто како командата ssh host1, тогаш user@host1:~$ ssh host2 итн. Опцијата -J умно користи препраќање за да го принуди локалниот домаќин да воспостави сесија со следниот домаќин во синџирот. Така, во горенаведениот пример, нашиот локален хост е автентификуван на host4. Односно, нашите клучеви за локален хост се користат, а сесијата од localhost до host4 е целосно шифрирана.

За таква можност во ssh_config наведете ја опцијата за конфигурација ПроксиСкок. Ако редовно треба да поминувате низ неколку домаќини, тогаш автоматизацијата преку конфигурацијата ќе заштеди многу време.

21. Блокирајте обиди за брутална сила на SSH користејќи iptables

Секој кој управувал со SSH услуга и ги погледнал дневниците знае за бројот на обиди за брутална сила што се случуваат секој час од секој ден. Брз начин да се намали шумот во дневниците е да се премести SSH на нестандардна порта. Направете промени во датотеката sshd_config преку параметар за конфигурација Порт ##.

Со iptables Можете исто така лесно да ги блокирате обидите за поврзување со пристаниште кога ќе достигнете одреден праг. Лесен начин да го направите ова е да го користите Осец, бидејќи не само што го блокира SSH, туку прави и куп други мерки за откривање на упад (HIDS) базирани на име на домаќин.

22. SSH Escape за промена на проследувањето на портата

И нашиот последен пример ssh дизајниран да го промени препраќањето на портата во лет во рамките на постоечка сесија ssh. Замислете го ова сценарио. Вие сте длабоко во мрежата; можеби прескокнале повеќе од половина дузина хостови и треба локална порта на работната станица што се препраќа до Microsoft SMB на стариот систем Windows 2003 (некој се сеќава на ms08-67?).

Со кликнување enter, обидете се да влезете во конзолата ~C. Ова е секвенца за контрола на сесиите што овозможува да се направат промени на постоечка врска.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Овде можете да видите дека ја препративме нашата локална порта 1445 до домаќин на Windows 2003 што го најдовме на внатрешната мрежа. Сега само трчај msfconsole, и можете да продолжите понатаму (под претпоставка дека планирате да го користите овој домаќин).

Завршување

Овие примери, совети и команди ssh треба да даде почетна точка; Повеќе информации за секоја од командите и способностите се достапни на страниците на човекот (man ssh, man ssh_config, man sshd_config).

Отсекогаш сум бил фасциниран од можноста да пристапувам до системите и да извршувам команди насекаде во светот. Со развивање на вашите вештини со алатки како ssh ќе станете поефективни во која било игра што ја играте.

Извор: www.habr.com