ProHoster > blog > Amministrazzjoni > Suġġerimenti prattiċi, eżempji u mini SSH

Suġġerimenti prattiċi, eżempji u mini SSH

Suġġerimenti prattiċi, eżempji u mini SSH
Eżempji prattiċi SSH, li se tieħu l-ħiliet tiegħek bħala amministratur tas-sistema remota għal livell ġdid. Kmandi u pariri se jgħinu mhux biss għall-użu SSH, iżda wkoll jinnaviga n-netwerk b'mod aktar kompetenti.

Jafu ftit tricks ssh utli għal kwalunkwe amministratur tas-sistema, inġinier tan-netwerk jew speċjalista tas-sigurtà.

Eżempji SSH Prattiċi

  1. SSH kalzetti prokura
  2. mina SSH (port forwarding)
  3. SSH mina għat-tielet host
  4. Reverse mina SSH
  5. SSH reverse proxy
  6. Installazzjoni ta' VPN fuq SSH
  7. Tikkopja ċavetta SSH (ssh-copy-id)
  8. Eżekuzzjoni ta' kmand mill-bogħod (mhux interattiv)
  9. Qbid u wiri mill-bogħod tal-pakketti f'Wireshark
  10. Ikkopjar folder lokali għal server remot permezz ta 'SSH
  11. Applikazzjonijiet GUI mill-bogħod b'SSH X11 Forwarding
  12. Ikkopjar mill-bogħod ta' fajls bl-użu ta' rsync u SSH
  13. SSH fuq in-netwerk Tor
  14. SSH għal istanza EC2
  15. Editjar ta' fajls ta' test bl-użu ta' VIM permezz ta' ssh/scp
  16. Immonta SSH remot bħala folder lokali ma SSHFS
  17. Multiplexing SSH ma ControlPath
  18. Tistrimja vidjo fuq SSH billi tuża VLC u SFTP
  19. Awtentikazzjoni b'żewġ fatturi
  20. Ospiti jaqbżu b'SSH u -J
  21. Imblukkar ta' tentattivi ta' forza bruta SSH bl-użu ta' iptables
  22. SSH Escape biex tbiddel it-trażmissjoni tal-port

L-ewwel l-affarijiet bażiċi

Parsing tal-linja tal-kmand SSH

L-eżempju li ġej juża parametri komuni li spiss jiltaqgħu magħhom meta tikkonnettja ma 'server remot SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

  • -v: L-output tad-debugging huwa speċjalment utli meta jiġu analizzati problemi ta 'awtentikazzjoni. Jista 'jintuża diversi drabi biex juri informazzjoni addizzjonali.
  • - p 22: port tal-konnessjoni għal server SSH remot. 22 m'għandux għalfejn jiġi speċifikat, minħabba li dan huwa l-valur default, imma jekk il-protokoll ikun fuq xi port ieħor, allura aħna nispeċifikawha billi tuża l-parametru -p. Il-port tas-smigħ huwa speċifikat fil-fajl sshd_config fil-format Port 2222.
  • -C: Kompressjoni għall-konnessjoni. Jekk għandek konnessjoni bil-mod jew tara ħafna test, dan jista 'jħaffef il-konnessjoni.
  • neo@: Il-linja qabel is-simbolu @ tindika l-isem tal-utent għall-awtentikazzjoni fuq is-server remot. Jekk ma tispeċifikahiex, se tkun awtomatika għall-isem tal-utent tal-kont li inti bħalissa illoggjat fih (~$whoami). L-utent jista 'wkoll jiġi speċifikat bl-użu tal-parametru -l.
  • remoteserver: l-isem tal-host biex tikkonnettja miegħu ssh, dan jista 'jkun isem ta' dominju kwalifikat bis-sħiħ, indirizz IP, jew kwalunkwe host fil-fajl hosts lokali. Biex tikkonnettja ma 'host li jappoġġja kemm IPv4 kif ukoll IPv6, tista' żżid il-parametru mal-linja tal-kmand -4 jew -6 għal riżoluzzjoni xierqa.

Il-parametri kollha ta 'hawn fuq huma fakultattivi ħlief remoteserver.

Bl-użu tal-fajl tal-konfigurazzjoni

Għalkemm ħafna huma familjari mal-fajl sshd_config, hemm ukoll fajl tal-konfigurazzjoni tal-klijent għall-kmand ssh. Valur default ~/.ssh/config, iżda jista 'jiġi definit bħala parametru għal għażla -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Hemm żewġ entrati ospitanti fil-fajl ta 'konfigurazzjoni ssh eżempju hawn fuq. L-ewwel waħda tfisser l-ospiti kollha, kollha li jużaw il-parametru tal-konfigurazzjoni tal-Port 2222. It-tieni wieħed jgħid li għall-ospitant remoteserver għandhom jintużaw username, port, FQDN u IdentityFile differenti.

Fajl ta 'konfigurazzjoni jista' jiffranka ħafna ħin tat-tajpjar billi jippermetti li konfigurazzjoni avvanzata tiġi applikata awtomatikament meta tikkonnettja ma 'hosts speċifiċi.

Tikkopja fajls fuq SSH billi tuża SCP

Il-klijent SSH jiġi ma 'żewġ għodod oħra utli ħafna għall-ikkupjar ta' fajls konnessjoni ssh encrypted. Ara hawn taħt għal eżempju ta 'użu standard tal-kmandi scp u sftp. Innota li ħafna mill-għażliet ssh japplikaw għal dawn il-kmandi wkoll.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

F'dan l-eżempju l-fajl mypic.png ikkupjat lil remoteserver għal folder /media/data u isem ġdid għal mypic_2.png.

Tinsiex dwar id-differenza fil-parametru tal-port. Dan huwa fejn ħafna nies jinqabdu meta jniedu scp mil-linja tal-kmand. Hawn il-parametru tal-port -Pimma le -p, bħal f'klijent ssh! Tinsa, imma tinkwetax, kulħadd jinsa.

Għal dawk li huma familjari mal-console ftp, ħafna mill-kmandi huma simili fi sftp. Tista 'tagħmel timbotta, jitqiegħdu и lskif tixtieq il-qalb.

sftp neo@remoteserver

Eżempji prattiċi

F'ħafna minn dawn l-eżempji, ir-riżultati jistgħu jinkisbu permezz ta' metodi differenti. Bħal fil kollha tagħna kotba u eżempji, tingħata preferenza lil eżempji prattiċi li sempliċement jagħmlu xogħolhom.

1. SSH kalzetti prokura

Il-karatteristika SSH Proxy hija n-numru 1 għal raġuni tajba. Huwa aktar b'saħħtu minn ħafna jirrealizzaw u jagħtik aċċess għal kwalunkwe sistema li s-server remot għandu aċċess għaliha, billi tuża prattikament kwalunkwe applikazzjoni. Klijent ssh jista 'mina traffiku permezz ta' prokura SOCKS bi kmand wieħed sempliċi. Huwa importanti li wieħed jifhem li t-traffiku lejn sistemi remoti se jiġi minn server remot, dan se jkun indikat fir-reġistru tas-server tal-web.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Hawnhekk inħaddmu prokura tal-kalzetti fuq il-port TCP 8888, it-tieni kmand jiċċekkja li l-port ikun attiv fil-mod ta 'smigħ. 127.0.0.1 jindika li s-servizz jaħdem biss fuq localhost. Nistgħu nużaw kmand kemmxejn differenti biex nisimgħu fuq l-interfaces kollha, inkluż ethernet jew wifi, dan se jippermetti applikazzjonijiet oħra (browsers, eċċ.) fuq in-netwerk tagħna biex jgħaqqdu mas-servizz ta 'prokura permezz tal-prokura tal-kalzetti ssh.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Issa nistgħu nikkonfiguraw il-browser biex jgħaqqdu mal-prokura tal-kalzetti. Fil-Firefox, agħżel Settings | Bażiku | Issettjar tan-netwerk. Speċifika l-indirizz IP u l-port biex tikkonnettja.

Suġġerimenti prattiċi, eżempji u mini SSH

Jekk jogħġbok innota l-għażla fil-qiegħ tal-formola li t-talbiet tad-DNS tal-browser tiegħek jgħaddu wkoll minn proxy SOCKS. Jekk qed tuża proxy server biex tikkodifika t-traffiku tal-web fuq in-netwerk lokali tiegħek, inti probabilment trid tagħżel din l-għażla sabiex it-talbiet tad-DNS jiġu ttrattati permezz tal-konnessjoni SSH.

Attivazzjoni tal-prokura tal-kalzetti fi Chrome

It-tnedija ta' Chrome b'ċerti parametri tal-linja tal-kmand se tippermetti l-prokura tal-kalzetti, kif ukoll it-tneħħija ta' talbiet DNS mill-browser. Afda imma iċċekkja. Użu tcpdump biex tivverifika li l-mistoqsijiet DNS m'għadhomx viżibbli.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Uża applikazzjonijiet oħra bi prokura

Żomm f'moħħok li ħafna applikazzjonijiet oħra jistgħu wkoll jużaw prokuri tal-kalzetti. Il-web browser huwa sempliċement l-aktar popolari minnhom kollha. Xi applikazzjonijiet għandhom għażliet ta 'konfigurazzjoni biex jippermettu server proxy. Oħrajn jeħtieġu ftit għajnuna bi programm helper. Pereżempju, proxychains jippermettilek tmexxi minn prokura tal-kalzetti Microsoft RDP, eċċ.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Il-parametri tal-konfigurazzjoni tal-prokura tal-kalzetti huma stabbiliti fil-fajl tal-konfigurazzjoni tal-proxychains.

Ħjiel: jekk tuża desktop remot minn Linux fuq Windows? Ipprova l-klijent FreeRDP. Din hija implimentazzjoni aktar moderna minn rdesktop, b'esperjenza ħafna aktar faċli.

Għażla li tuża SSH permezz ta 'prokura tal-kalzetti

Inti bilqiegħda f'kafetterija jew lukanda - u huma mġiegħla tuża WiFi pjuttost mhux affidabbli. Inniedu prokura ssh lokalment minn laptop u ninstallaw mina ssh fin-netwerk tad-dar fuq Rasberry Pi lokali. Bl-użu ta' browser jew applikazzjonijiet oħra kkonfigurati għal prokura tal-kalzetti, nistgħu naċċessaw kwalunkwe servizz tan-netwerk fuq in-netwerk tad-dar tagħna jew naċċessaw l-Internet permezz tal-konnessjoni tad-dar tagħna. Kollox bejn il-laptop tiegħek u s-server tad-dar tiegħek (permezz tal-Wi-Fi u l-internet sad-dar tiegħek) huwa kkodifikat f'mina SSH.

2. mina SSH (port forwarding)

Fl-aktar forma sempliċi tagħha, mina SSH sempliċement tiftaħ port fis-sistema lokali tiegħek li jgħaqqad ma' port ieħor fit-tarf l-ieħor tal-mina.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Ejja nħarsu lejn il-parametru -L. Jista’ jitqies bħala n-naħa lokali tas-smigħ. Allura fl-eżempju ta 'hawn fuq, il-port 9999 qed jisma' min-naħa tal-localhost u jintbagħat permezz tal-port 80 lil remoteserver. Jekk jogħġbok innota li 127.0.0.1 jirreferi għal localhost fuq is-server remot!

Ejja mmorru l-pass. L-eżempju li ġej jikkomunika portijiet tas-smigħ ma 'hosts oħra fuq in-netwerk lokali.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

F'dawn l-eżempji qed nikkonnettjaw ma' port fuq is-server tal-web, iżda dan jista' jkun proxy server jew kwalunkwe servizz TCP ieħor.

3. SSH mina għal host ta 'parti terza

Nistgħu nużaw l-istess parametri biex nikkonnettjaw mina minn server remot għal servizz ieħor li jaħdem fuq terza sistema.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

F'dan l-eżempju, qed nidderieġu mina minn remoteserver għal web server li jaħdem fuq 10.10.10.10. Traffiku minn remoteserver għal 10.10.10.10 m'għadux fil-mina SSH. Is-server tal-web fl-10.10.10.10 se jikkunsidra remoteserver bħala s-sors tat-talbiet tal-web.

4. Reverse mina SSH

Hawnhekk se nikkonfiguraw port tas-smigħ fuq is-server remot li se jgħaqqad lura mal-port lokali fuq il-localhost tagħna (jew sistema oħra).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Din is-sessjoni SSH tistabbilixxi konnessjoni mill-port 1999 fuq remoteserver għall-port 902 fuq il-klijent lokali tagħna.

5. SSH Reverse Proxy

F'dan il-każ, qed inwaqqfu prokura tal-kalzetti fuq il-konnessjoni ssh tagħna, iżda l-prokura qed tisma 'fuq it-tarf remot tas-server. Konnessjonijiet għal dan il-proxy remot issa jidhru mill-mina bħala traffiku mill-lokalhost tagħna.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Issolvi problemi bil-mini SSH remoti

Jekk għandek problemi bl-għażliet SSH remoti jaħdmu, iċċekkja ma ' netstat, liema interfaces oħra huwa konness il-port tas-smigħ. Għalkemm aħna indikat 0.0.0.0 fl-eżempji, imma jekk il-valur GatewayPorts в sshd_config issettjat għal le, allura s-semmiegħ ikun marbut biss ma' localhost (127.0.0.1).

Twissija tas-Sigurtà

Jekk jogħġbok innota li billi tiftaħ mini u kalzetti proxys, ir-riżorsi tan-netwerk intern jistgħu jkunu aċċessibbli għal netwerks mhux fdati (bħall-Internet!). Dan jista 'jkun riskju serju għas-sigurtà, għalhekk kun żgur li tifhem x'inhu s-semmiegħa u għal xiex għandu aċċess.

6. Installazzjoni VPN permezz SSH

Terminu komuni fost speċjalisti fil-metodi ta 'attakk (pentesters, eċċ.) huwa "fulkru fin-netwerk." Ladarba tiġi stabbilita konnessjoni fuq sistema waħda, dik is-sistema ssir il-portal għal aktar aċċess għan-netwerk. A fulkru li jippermettilek timxi fil-wisa '.

Għal tali pożizzjoni nistgħu nużaw prokura SSH u proxychains, madankollu hemm xi limitazzjonijiet. Pereżempju, mhux se jkun possibbli li naħdmu direttament mas-sokits, għalhekk ma nkunux nistgħu niskennjaw il-portijiet fin-netwerk permezz Nmap SYN.

Billi tuża din l-għażla VPN aktar avvanzata, il-konnessjoni titnaqqas għal livell 3. Nistgħu mbagħad sempliċement inrottaw it-traffiku mill-mina bl-użu ta 'routing standard tan-netwerk.

Il-metodu juża ssh, iptables, tun interfaces u r-rotot.

L-ewwel trid tissettja dawn il-parametri sshd_config. Peress li qed nagħmlu bidliet fl-interfaces kemm tas-sistemi remoti kif ukoll tal-klijenti, aħna jeħtieġu drittijiet tal-għeruq fuq iż-żewġ naħat.

PermitRootLogin yes
PermitTunnel yes

Imbagħad se nistabbilixxu konnessjoni ssh billi tuża l-parametru li jitlob l-inizjalizzazzjoni ta 'apparati tun.

localhost:~# ssh -v -w any root@remoteserver

Issa għandu jkollna apparat tun meta nuru interfaces (# ip a). Il-pass li jmiss se jżid l-indirizzi IP mal-interfaces tal-mini.

In-naħa tal-klijent SSH:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

Naħa tas-Server SSH:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Issa għandna rotta diretta lejn ospitanti ieħor (route -n и ping 10.10.10.10).

Tista 'rotta kwalunkwe subnet minn host fuq in-naħa l-oħra.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

Fuq in-naħa remota trid tippermetti ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Boom! VPN fuq mina SSH fis-saff tan-netwerk 3. Issa dik hija rebħa.

Jekk iseħħu xi problemi, uża tcpdump и pingbiex tiddetermina l-kawża. Peress li qed nilagħbu fis-saff 3, il-pakketti icmp tagħna se jgħaddu minn din il-mina.

7. Ikkopja ċ-ċavetta SSH (ssh-copy-id)

Hemm diversi modi kif tagħmel dan, iżda dan il-kmand jiffranka l-ħin billi ma tikkopja l-fajls manwalment. Sempliċement tikkopja ~/.ssh/id_rsa.pub (jew iċ-ċavetta default) mis-sistema tiegħek għal ~/.ssh/authorized_keys fuq server remot.

localhost:~$ ssh-copy-id user@remoteserver

8. Eżekuzzjoni ta 'kmand mill-bogħod (mhux interattiv)

tim ssh Jista 'jkun marbut ma' kmandi oħra għal interface komuni u faċli għall-utent. Żid biss il-kmand li trid tmexxi fuq il-host remot bħala l-aħħar parametru fi kwotazzjonijiet.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

F'dan l-eżempju grep eżegwiti fuq is-sistema lokali wara li l-log ikun ġie mniżżel permezz tal-kanal ssh. Jekk il-fajl huwa kbir, huwa aktar konvenjenti li taħdem grep fuq in-naħa remota billi sempliċement tagħlaq iż-żewġ kmandi fi kwotazzjonijiet doppji.

Eżempju ieħor iwettaq l-istess funzjoni bħal ssh-copy-id mill-eżempju 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Qbid u wiri mill-bogħod tal-pakketti f'Wireshark

Ħadt wieħed minn tagħna eżempji tcpdump. Użaha biex taqbad pakketti mill-bogħod u turi r-riżultati direttament fil-GUI tal-Wireshark lokali.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Ikkopjar folder lokali għal server remot permezz ta 'SSH

Trick sabiħ li jikkompressa folder bl-użu bzip2 (din hija l-għażla -j fil-kmand tar), u mbagħad jirkupra n-nixxiegħa bzip2 fuq in-naħa l-oħra, toħloq folder duplikat fuq is-server remot.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Applikazzjonijiet GUI mill-bogħod b'SSH X11 Forwarding

Jekk X huwa installat fuq il-klijent u s-server remot, allura tista 'tesegwixxi kmand GUI mill-bogħod b'tieqa fuq id-desktop lokali tiegħek. Din il-karatteristika ilha għal żmien twil, iżda għadha utli ħafna. Tnedija web browser remot jew saħansitra l-console VMWawre Workstation bħal nagħmel f'dan l-eżempju.

localhost:~$ ssh -X remoteserver vmware

Spag meħtieġ X11Forwarding yes fil-fajl sshd_config.

12. Ikkopjar fajl mill-bogħod bl-użu ta 'rsync u SSH

rsync ħafna aktar konvenjenti scp, jekk għandek bżonn backups perjodiċi ta 'direttorju, numru kbir ta' fajls, jew fajls kbar ħafna. Hemm funzjoni biex tirkupra minn falliment ta 'trasferiment u tikkopja biss fajls mibdula, li tiffranka t-traffiku u l-ħin.

Dan l-eżempju juża kompressjoni gzip (-z) u l-mod ta 'arkivjar (-a), li jippermetti l-ikkupjar rikorsiv.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. SSH fuq in-netwerk Tor

In-netwerk Tor anonimu jista 'mina t-traffiku SSH billi juża l-kmand torsocks. Il-kmand li ġej se jgħaddi l-prokura ssh minn Tor.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Socks tat-torso se juża l-port 9050 fuq localhost għall-prokura. Bħal dejjem, meta tuża Tor trid tiċċekkja bis-serjetà x'inhu t-traffiku li qed isir tunneled u kwistjonijiet oħra ta' sigurtà operazzjonali (opsec). Fejn imorru l-mistoqsijiet tad-DNS tiegħek?

14. SSH għal istanza EC2

Biex tikkonnettja ma 'istanza EC2, għandek bżonn ċavetta privata. Niżżelha (.pem estensjoni) mill-pannell tal-kontroll Amazon EC2 u ibdel il-permessi (chmod 400 my-ec2-ssh-key.pem). Żomm iċ-ċavetta f'post sigur jew poġġiha fil-folder tiegħek ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Parametru -i sempliċement jgħid lill-klijent ssh biex juża din iċ-ċavetta. Fajl ~/.ssh/config Ideali għall-konfigurazzjoni awtomatika tal-użu taċ-ċavetta meta tikkonnettja ma 'host ec2.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Editjar ta 'fajls ta' test bl-użu ta 'VIM permezz ta' ssh/scp

Għal dawk kollha li jħobbu vim Din il-ponta tiffranka ftit ħin. Bl-użu vim fajls huma editjati permezz scp bi kmand wieħed. Dan il-metodu sempliċement joħloq il-fajl lokalment fi /tmpu mbagħad tikkopjaha lura ladarba ssejvjah minnha vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Nota: il-format huwa kemmxejn differenti mis-soltu scp. Wara l-host għandna d-doppju //. Din hija referenza assoluta tal-passaġġ. Slash wieħed se jindika mogħdija relattiva għall-folder tad-dar tiegħek users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Jekk tara dan l-iżball, iċċekkja darbtejn il-format tal-kmand. Dan normalment ifisser żball ta' sintassi.

16. Immuntar ta 'SSH remot bħala folder lokali ma' SSHFS

Permezz ta ' sshfs - klijent tas-sistema tal-fajls ssh - Nistgħu nqabbdu direttorju lokali ma' post remot bl-interazzjonijiet kollha tal-fajls f'sessjoni kriptata ssh.

localhost:~$ apt install sshfs

Installa l-pakkett fuq Ubuntu u Debian sshfs, u mbagħad sempliċement immonta l-post remot fis-sistema tagħna.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. SSH Multiplexing ma ControlPath

B'mod awtomatiku, jekk ikun hemm konnessjoni eżistenti għal server remot bl-użu ssh it-tieni konnessjoni bl-użu ssh jew scp jistabbilixxi sessjoni ġdida b'awtentikazzjoni addizzjonali. Għażla ControlPath jippermetti li s-sessjoni eżistenti tintuża għall-konnessjonijiet sussegwenti kollha. Dan se jħaffef il-proċess b'mod sinifikanti: l-effett huwa notevoli anke fuq netwerk lokali, u aktar u aktar meta tikkonnettja ma 'riżorsi remoti.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath jispeċifika s-sokit biex jiċċekkja għal konnessjonijiet ġodda biex tara jekk hemmx sessjoni attiva ssh. L-aħħar għażla tfisser li anke wara li toħroġ mill-console, is-sessjoni eżistenti tibqa 'miftuħa għal 10 minuti, għalhekk matul dan iż-żmien tista' terġa 'tikkonnettja fuq is-socket eżistenti. Għal aktar informazzjoni, ara l-għajnuna. ssh_config man.

18. Stream video fuq SSH bl-użu ta ' VLC u SFTP

Anke utenti għal żmien twil ssh и vlc (Klijent Lan Video) mhux dejjem huma konxji ta 'din l-għażla konvenjenti meta verament għandek bżonn tara vidjo fuq in-netwerk. Fl-issettjar Fajl | Miftuħ Netwerk Stream programmi vlc inti tista 'tidħol fil-post bħala sftp://. Jekk hija meħtieġa password, jidher pront.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Awtentikazzjoni b'żewġ fatturi

L-istess awtentikazzjoni b'żewġ fatturi bħall-kont bankarju tiegħek jew il-kont Google tapplika għas-servizz SSH.

Of course, ssh inizjalment għandha funzjoni ta 'awtentikazzjoni b'żewġ fatturi, li tfisser password u ċavetta SSH. Il-vantaġġ ta 'token tal-ħardwer jew app Google Authenticator huwa li ġeneralment ikun apparat fiżiku differenti.

Ara l-gwida tagħna ta' 8 minuti għal billi tuża Google Authenticator u SSH.

20. Ospiti jaqbżu b'ssh u -J

Jekk is-segmentazzjoni tan-netwerk tfisser li trid tgħaddi minn hosts ssh multipli biex tasal għan-netwerk tad-destinazzjoni finali, is-shortcut -J tiffranka l-ħin.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Il-ħaġa prinċipali li għandek tifhem hawnhekk hija li dan mhuwiex l-istess bħall-kmand ssh host1, allura user@host1:~$ ssh host2 eċċ L-għażla -J tuża b'mod għaqli t-trażmissjoni biex iġġiegħel lil localhost jistabbilixxi sessjoni mal-host li jmiss fil-katina. Allura fl-eżempju ta 'hawn fuq, localhost tagħna huwa awtentikat għal host4. Jiġifieri, iċ-ċwievet localhost tagħna jintużaw, u s-sessjoni minn localhost għal host4 hija kompletament encrypted.

Għal tali possibbiltà fi ssh_config speċifika l-għażla tal-konfigurazzjoni ProxyJump. Jekk regolarment ikollok tgħaddi minn diversi hosts, allura l-awtomazzjoni permezz tal-konfigurazzjoni tiffranka ħafna ħin.

21. Imblokka tentattivi ta' forza bruta SSH billi tuża iptables

Kull min imexxi servizz SSH u ħares lejn ir-zkuk jaf dwar in-numru ta 'attentati ta' forza bruta li jseħħu kull siegħa ta 'kuljum. Mod rapidu biex jitnaqqas l-istorbju fil-zkuk huwa li tmexxi SSH għal port mhux standard. Agħmel bidliet fil-fajl sshd_config permezz tal-parametru tal-konfigurazzjoni Port##.

Bil iptables Tista' wkoll faċilment timblokka t-tentattivi ta' konnessjoni ma' port meta tilħaq ċertu limitu. Mod faċli biex tagħmel dan huwa li tuża OSSEC, minħabba li mhux biss jimblokka SSH, iżda jagħmel mazz ta 'miżuri oħra ta' skoperta ta 'intrużjoni bbażata fuq l-isem tal-host (HIDS).

22. SSH Escape biex tibdel il-port forwarding

U l-aħħar eżempju tagħna ssh iddisinjat biex jibdel il-port forwarding fuq il-fly f'sessjoni eżistenti ssh. Immaġina dan ix-xenarju. Inti fil-fond fin-netwerk; forsi qabeż aktar minn nofs tużżana hosts u jeħtieġ port lokali fuq l-istazzjon tax-xogħol li jintbagħat lill-Microsoft SMB ta 'sistema Windows 2003 antika (xi ħadd jiftakar ms08-67?).

Tikklikkja enter, ipprova daħħal fil-console ~C. Din hija sekwenza ta' kontroll tas-sessjoni li tippermetti li jsiru bidliet f'konnessjoni eżistenti.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Hawnhekk tista' tara li bgħatna l-port lokali tagħna 1445 lil host Windows 2003 li sibna fuq in-netwerk intern. Issa biss run msfconsole, u tista' timxi 'l quddiem (jekk wieħed jassumi li qed tippjana li tuża dan il-host).

Tlestija

Dawn l-eżempji, pariri u kmandi ssh għandu jagħti punt tat-tluq; Aktar informazzjoni dwar kull wieħed mill-kmandi u l-kapaċitajiet hija disponibbli fuq il-paġni man (man ssh, man ssh_config, man sshd_config).

Dejjem kont affaxxinat bil-ħila li naċċessa s-sistemi u nwettaq kmandi kullimkien fid-dinja. Billi tiżviluppa l-ħiliet tiegħek b'għodod bħal ssh int se ssir aktar effettiv fi kwalunkwe logħba li tilgħab.

Sors: www.habr.com

Żid kumment