လက်တွေ့ဥပမာများ SSH ကိုအဝေးထိန်းစနစ်စီမံခန့်ခွဲသူအဖြစ် သင်၏အရည်အချင်းများကို အဆင့်အသစ်တစ်ခုသို့ ယူဆောင်သွားမည်ဖြစ်သည်။ ညွှန်ကြားချက်များနှင့် အကြံပြုချက်များကို အသုံးပြုရန်သာမက ကူညီပေးပါမည်။ SSHဒါပေမယ့်လည်း ကွန်ရက်ကို ပိုပြီး ကျွမ်းကျင်စွာ သွားလာနိုင်ပါတယ်။

လှည့်ကွက်အနည်းငယ်ကို သိခြင်း။ ssh မည်သည့်စနစ်စီမံခန့်ခွဲသူ၊ ကွန်ရက်အင်ဂျင်နီယာ သို့မဟုတ် လုံခြုံရေးကျွမ်းကျင်သူအတွက်မဆို အသုံးဝင်သည်။

လက်တွေ့ကျသော SSH နမူနာများ

1. SSH ခြေအိတ် ပရောက်စီ
2. SSH ဥမင်လိုဏ်ခေါင်း (ပို့တ် ထပ်ဆင့်ပို့ခြင်း)
3. SSH ဥမင်လိုဏ်ခေါင်းသည် တတိယနေရာအတွက်ဖြစ်သည်။
4. ပြောင်းပြန် SSH ဥမင်
5. SSH ပြောင်းပြန် ပရောက်စီ
6. SSH တွင် VPN ထည့်သွင်းခြင်း။
7. SSH ကီးကို ကူးယူခြင်း (ssh-copy-id)
8. အဝေးထိန်းအမိန့်ပေးလုပ်ဆောင်မှု (အပြန်အလှန်အကျိုးသက်ရောက်မှုမရှိသော)
9. Wireshark တွင် အဝေးမှ ထုပ်ပိုးဖမ်းယူခြင်းနှင့် ကြည့်ရှုခြင်း
10. SSH မှတဆင့် စက်တွင်းဖိုင်တွဲတစ်ခုကို အဝေးထိန်းဆာဗာသို့ ကူးယူခြင်း။
11. SSH X11 ထပ်ဆင့်ပို့ခြင်းဖြင့် အဝေးထိန်း GUI အပလီကေးရှင်းများ
12. rsync နှင့် SSH ကို အသုံးပြု၍ အဝေးမှဖိုင်ကိုကူးယူခြင်း။
13. Tor ကွန်ရက်မှ SSH
14. SSH မှ EC2 ဥပမာ
15. ssh/scp မှတစ်ဆင့် VIM ကို အသုံးပြု၍ စာသားဖိုင်များကို တည်းဖြတ်ခြင်း။
16. SSHFS ဖြင့် စက်တွင်းဖိုင်တွဲအဖြစ် အဝေးထိန်း SSH ကို တပ်ဆင်ပါ။
17. ControlPath ဖြင့် Multiplexing SSH
18. VLC နှင့် SFTP ကို ​​အသုံးပြု၍ SSH မှတဆင့် ဗီဒီယိုကို တိုက်ရိုက်ကြည့်ရှုပါ။
19. Two-factor authentication
20. SSH နှင့် -J ဖြင့် ခုန်နေသော host များ
21. iptables ကို အသုံးပြု၍ SSH brute force ကြိုးပမ်းမှုများကို ပိတ်ဆို့ခြင်း။
22. ပို့တ် ထပ်ဆင့်ပို့ခြင်းကို ပြောင်းလဲရန် SSH Escape

ပထမဆုံး အခြေခံအချက်များ

SSH command line ကို ခွဲခြမ်းစိတ်ဖြာခြင်း။

အောက်ဖော်ပြပါ ဥပမာသည် အဝေးထိန်းဆာဗာသို့ ချိတ်ဆက်ရာတွင် မကြာခဏ ကြုံတွေ့ရသည့် ဘုံဘောင်များကို အသုံးပြုသည်။ SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: စစ်မှန်ကြောင်းအတည်ပြုခြင်းဆိုင်ရာ ပြဿနာများကို ခွဲခြမ်းစိတ်ဖြာသောအခါတွင် အမှားရှာအထွက်အားသည် အထူးအသုံးဝင်ပါသည်။ နောက်ထပ်အချက်အလက်များကိုပြသရန် အကြိမ်ပေါင်းများစွာ အသုံးပြုနိုင်သည်။
• - p 22: ချိတ်ဆက်မှုဆိပ်ကမ်း အဝေးထိန်း SSH ဆာဗာသို့ 22 ကို သတ်မှတ်ရန် မလိုအပ်ပါ၊ ၎င်းသည် မူရင်းတန်ဖိုးဖြစ်သောကြောင့်၊ သို့သော် ပရိုတိုကောသည် အခြား port အချို့တွင် ရှိနေပါက၊ ၎င်းကို ကန့်သတ်ဘောင်ကို အသုံးပြု၍ သတ်မှတ်ပါ။ -p. နားထောင်ခြင်းပေါက်ကို ဖိုင်တွင် သတ်မှတ်ထားသည်။ sshd_config ပုံစံအတွက် Port 2222.
• -Cချိတ်ဆက်မှုအတွက် ဖိသိပ်မှု။ သင့်တွင် နှေးကွေးသော ချိတ်ဆက်မှုတစ်ခု သို့မဟုတ် စာသားအများအပြားကို ကြည့်ရှုပါက၊ ၎င်းသည် ချိတ်ဆက်မှုကို အရှိန်မြှင့်နိုင်သည်။
• neo@: @ သင်္ကေတ ရှေ့မှာ မျဉ်းကြောင်းသည် အဝေးထိန်းဆာဗာတွင် စစ်မှန်ကြောင်းအထောက်အထားအတွက် အသုံးပြုသူအမည်ကို ညွှန်ပြသည်။ ၎င်းကို သင်မသတ်မှတ်ပါက၊ ၎င်းသည် သင်လက်ရှိဝင်ရောက်နေသောအကောင့်၏အသုံးပြုသူအမည် (~$whoami) သို့ ပုံသေဖြစ်လိမ့်မည်။ အသုံးပြုသူကို parameter ကိုအသုံးပြု၍လည်းသတ်မှတ်နိုင်သည်။ -l.
• remoteserver: ချိတ်ဆက်ရန် လက်ခံသူအမည် ssh၊ ၎င်းသည် အရည်အချင်းပြည့်မီသော ဒိုမိန်းအမည်၊ IP လိပ်စာတစ်ခု သို့မဟုတ် ဒေသတွင်း လက်ခံဆောင်ရွက်ပေးသည့် ဖိုင်ရှိ မည်သည့်အိမ်ရှင်မဆို ဖြစ်နိုင်သည်။ IPv4 နှင့် IPv6 နှစ်မျိုးလုံးကို ပံ့ပိုးပေးသည့် host တစ်ခုသို့ ချိတ်ဆက်ရန်၊ သင်သည် ပါရာမီတာကို command line သို့ ထည့်နိုင်သည်။ -4 သို့မဟုတ် -6 သင့်လျော်သောဖြေရှင်းမှုများအတွက်။

အထက်ဖော်ပြပါ ကန့်သတ်ချက်များ အားလုံးသည် ရွေးချယ်နိုင်သည်မှလွဲ၍ remoteserver.

configuration file ကိုအသုံးပြုခြင်း။

တော်တော်များများက ဖိုင်နဲ့ ရင်းနှီးနေကြပေမယ့် sshd_config၊ command အတွက် client configuration file တစ်ခုလည်း ရှိပါသည်။ ssh. မူလတန်ဖိုး ~/.ssh/configသို့သော် ၎င်းကို ရွေးချယ်မှုတစ်ခုအတွက် ကန့်သတ်ချက်တစ်ခုအဖြစ် သတ်မှတ်နိုင်သည်။ -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

အထက်ဖော်ပြပါ ဥပမာ ssh configuration file တွင် host entry နှစ်ခုရှိသည်။ ပထမတစ်ခုသည် port 2222 configuration parameter ကိုအသုံးပြုထားသော host အားလုံးကို ဆိုလိုသည်။ ဒုတိယတစ်ခုက host အတွက်ဆိုသည် အဝေးထိန်းကိရိယာ မတူညီသော အသုံးပြုသူအမည်၊ ဆိပ်ကမ်း၊ FQDN နှင့် IdentityFile ကို အသုံးပြုသင့်သည်။

သတ်မှတ်ထားသော host များနှင့် ချိတ်ဆက်သည့်အခါ အဆင့်မြင့်ဖွဲ့စည်းမှုပုံစံကို အလိုအလျောက်အသုံးပြုခွင့်ပေးခြင်းဖြင့် ဖွဲ့စည်းမှုဖိုင်တစ်ခုသည် စာရိုက်ချိန်များစွာကို သက်သာစေနိုင်သည်။

SCP ကို ​​အသုံးပြု၍ SSH မှ ဖိုင်များကို ကူးယူခြင်း။

SSH client သည် ဖိုင်များကိုကူးယူရန် အခြားအလွန်အဆင်ပြေသောကိရိယာနှစ်ခုပါရှိသည်။ ကုဒ်ဝှက်ထားသော ssh ချိတ်ဆက်မှု. scp နှင့် sftp command များ၏ စံအသုံးပြုမှု နမူနာကို အောက်တွင် ကြည့်ပါ။ ssh ရွေးချယ်မှုအများအပြားသည် ဤအမိန့်စာများနှင့်လည်း သက်ဆိုင်ကြောင်း သတိပြုပါ။

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

ဤဥပမာတွင်ဖိုင် mypic.png မှကူးယူသည်။ အဝေးထိန်းကိရိယာ folder သို့ /media/data အမည်ပြောင်းခဲ့သည်။ mypic_2.png.

port parameter ရဲ့ ခြားနားချက်ကို မမေ့ပါနဲ့။ ဤနေရာသည် ၎င်းတို့ကို လွှင့်တင်သောအခါတွင် လူများစွာကို ဖမ်းမိပါသည်။ scp command line မှ ဒါကတော့ port parameter ပါ။ -Pထိုမျှမက -pssh client ကဲ့သို့ပင်။ မေ့သွားလိမ့်မယ်၊ ဒါပေမယ့် စိတ်မပူပါနဲ့၊ လူတိုင်းမေ့နေကြတယ်။

ဖြေသိမ့်တတ်တဲ့သူတွေအတွက်ပါ။ ftpcommand တော်တော်များများက ဆင်တူပါတယ်။ sftp. မင်းလုပ်နိုင်တယ် တွန်းထိုး, ထား и lsစိတ်နှလုံးအလိုရှိသည်အတိုင်း၊

sftp neo@remoteserver

လက်တွေ့ဥပမာများ

ဤဥပမာများစွာတွင်၊ မတူညီသောနည်းလမ်းများကို အသုံးပြု၍ ရလဒ်များကို ရရှိနိုင်သည်။ ငါတို့အားလုံး၌ရှိသကဲ့သို့ ပြဋ္ဌာန်းစာအုပ်များ ဥပမာများ ၊ ၎င်းတို့၏အလုပ်ကို ရိုးရှင်းစွာလုပ်ဆောင်သော လက်တွေ့နမူနာများကိုဦးစားပေးပါသည်။

1. SSH ခြေအိတ် proxy

အကြောင်းပြချက်ကောင်းအတွက် SSH Proxy အင်္ဂါရပ်သည် နံပါတ် 1 ဖြစ်သည်။ ၎င်းသည် လူအများသိရှိနားလည်ထားသည်ထက် ပိုမိုအားကောင်းပြီး သင့်အား မည်သည့်အပလီကေးရှင်းကိုမဆို အသုံးပြု၍ အဝေးဆာဗာမှ ဝင်ရောက်အသုံးပြုနိုင်သည့် မည်သည့်စနစ်ကိုမဆို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။ ssh client သည် ရိုးရှင်းသော command တစ်ခုဖြင့် SOCKS proxy မှတဆင့် လမ်းကြောင်းကို tunnel လုပ်နိုင်သည်။ အဝေးထိန်းစနစ်များသို့ အသွားအလာများသည် အဝေးထိန်းဆာဗာမှ လာမည်ကို နားလည်ရန် အရေးကြီးသည်၊ ၎င်းကို ဝဘ်ဆာဗာမှတ်တမ်းများတွင် ညွှန်ပြမည်ဖြစ်သည်။

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

ဤနေရာတွင် ကျွန်ုပ်တို့သည် TCP port 8888 တွင် ခြေအိတ်ပရောက်စီကို လုပ်ဆောင်သည်၊၊ ဒုတိယအမိန့်မှာ ဆိပ်ကမ်းသည် နားထောင်မုဒ်တွင် အသက်ဝင်နေကြောင်း စစ်ဆေးသည်။ 127.0.0.1 သည် ဝန်ဆောင်မှုကို localhost တွင်သာ လုပ်ဆောင်ကြောင်း ညွှန်ပြသည်။ အီသာနက် သို့မဟုတ် wifi အပါအဝင် အင်တာဖေ့စ်အားလုံးတွင် နားဆင်ရန် အနည်းငယ်ကွဲပြားသည့် အမိန့်ကို ကျွန်ုပ်တို့ အသုံးပြုနိုင်ပြီး၊ ၎င်းသည် ကျွန်ုပ်တို့၏ကွန်ရက်ရှိ အခြားအပလီကေးရှင်းများ (ဘရောက်ဆာများ) ကို ssh socks proxy မှတစ်ဆင့် ပရောက်စီဝန်ဆောင်မှုသို့ ချိတ်ဆက်ခွင့်ပြုမည်ဖြစ်သည်။

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

ယခု ကျွန်ုပ်တို့သည် ခြေအိတ်ပရောက်စီသို့ ချိတ်ဆက်ရန် ဘရောက်ဆာကို ပြင်ဆင်သတ်မှတ်နိုင်ပါပြီ။ Firefox တွင် ရွေးချယ်ပါ။ ဆက်တင်များ | အခြေခံ | ကွန်ရက်ဆက်တင်များ. ချိတ်ဆက်ရန် IP လိပ်စာနှင့် ဆိပ်ကမ်းကို သတ်မှတ်ပါ။

သင့်ဘရောက်ဆာ၏ DNS တောင်းဆိုမှုများကို SOCKS ပရောက်စီမှတဆင့် သွားစေရန် ဖောင်၏အောက်ခြေရှိ ရွေးစရာကို သတိပြုပါ။ သင့်ပြည်တွင်း ကွန်ရက်တွင် ဝဘ်လမ်းကြောင်းကို ကုဒ်ဝှက်ရန် ပရောက်စီဆာဗာကို အသုံးပြုနေပါက၊ SSH ချိတ်ဆက်မှုမှတစ်ဆင့် DNS တောင်းဆိုမှုများကို လှိုဏ်ခေါင်းဖောက်နိုင်ရန် ဤရွေးချယ်မှုကို သင်ရွေးချယ်လိုပေမည်။

Chrome တွင် ခြေအိတ်ပရောက်စီကို အသက်သွင်းနေသည်။

အချို့သော command line parameters များဖြင့် Chrome ကိုဖွင့်ခြင်းသည် ခြေအိတ်ပရောက်စီကိုဖွင့်ပေးသည့်အပြင် browser မှ DNS တောင်းဆိုမှုများကို tunneling လုပ်စေသည်။ ယုံကြည်သော်လည်းစစ်ဆေးပါ။ သုံးပါ။ ချစ်သူ DNS မေးမြန်းမှုများကို မမြင်နိုင်တော့ကြောင်း စစ်ဆေးရန်။

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

အခြားအပလီကေးရှင်းများကို ပရောက်စီဖြင့် အသုံးပြုခြင်း။

အခြားသော အပလီကေးရှင်းများစွာသည်လည်း ခြေအိတ် ပရောက်စီများကို အသုံးပြုနိုင်ကြောင်း မှတ်သားထားပါ။ ဝဘ်ဘရောက်ဆာသည် ၎င်းတို့အားလုံးတွင် လူကြိုက်အများဆုံးဖြစ်သည်။ အချို့သော အပလီကေးရှင်းများတွင် ပရောက်စီဆာဗာကို ဖွင့်ရန် ဖွဲ့စည်းမှုရွေးချယ်စရာများရှိသည်။ အခြားသူများ အကူအညီပေးသည့် အစီအစဉ်ဖြင့် အကူအညီ အနည်းငယ် လိုအပ်ပါသည်။ ဥပမာအားဖြင့်, ပရောက်စီကြိုးများ ခြေအိတ် ပရောက်စီ Microsoft RDP စသည်တို့ကို အသုံးပြုရန် သင့်အား ခွင့်ပြုသည်။

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Socks proxy configuration parameters များကို proxychains configuration file တွင် သတ်မှတ်ထားပါသည်။

အရိပ်အမြွက်- Windows တွင် Linux မှ remote desktop ကိုသုံးပါက၊ client ကိုစမ်းကြည့်ပါ။ FreeRDP. ဒါထက် ခေတ်မီတဲ့ အကောင်အထည်ဖော်မှုပါ။ rdesktopပိုမိုချောမွေ့သောအတွေ့အကြုံနှင့်အတူ။

socks proxy မှတစ်ဆင့် SSH ကို အသုံးပြုရန် ရွေးချယ်မှု

သင်သည် ကော်ဖီဆိုင် သို့မဟုတ် ဟိုတယ်တစ်ခုတွင် ထိုင်နေပြီး အလွန်ယုံကြည်စိတ်ချရသော WiFi ကို အသုံးပြုရန် အတင်းအကျပ် ခိုင်းစေခံရသည်။ ကျွန်ုပ်တို့သည် လက်ပ်တော့မှ စက်တွင်းရှိ ssh proxy ကိုဖွင့်ပြီး ဒေသတွင်း Rasberry Pi ပေါ်ရှိ ssh ဥမင်လိုဏ်ခေါင်းတစ်ခုအား ပင်မကွန်ရက်ထဲသို့ ထည့်သွင်းပါ။ ခြေအိတ်ပရောက်စီအတွက် စီစဉ်ပေးထားသည့် ဘရောက်ဆာ သို့မဟုတ် အခြားအပလီကေးရှင်းများကို အသုံးပြုခြင်းဖြင့် ကျွန်ုပ်တို့၏ အိမ်ကွန်ရက်ရှိ မည်သည့်ကွန်ရက်ဝန်ဆောင်မှုများကိုမဆို ဝင်ရောက်ကြည့်ရှုနိုင်သည် သို့မဟုတ် ကျွန်ုပ်တို့၏အိမ်တွင်းချိတ်ဆက်မှုမှတစ်ဆင့် အင်တာနက်ကို ဝင်ရောက်ကြည့်ရှုနိုင်ပါသည်။ သင့်လက်ပ်တော့နှင့် သင့်အိမ်ဆာဗာကြားရှိ အရာအားလုံး (Wi-Fi နှင့် သင့်အိမ်သို့ အင်တာနက်မှတဆင့်) အားလုံးကို SSH ဥမင်လိုဏ်ခေါင်းတွင် ကုဒ်ဝှက်ထားသည်။

2. SSH ဥမင်လိုဏ်ခေါင်း (ဆိပ်ကမ်း ထပ်ဆင့်ပို့ခြင်း)

၎င်း၏ အရိုးရှင်းဆုံးပုံစံဖြင့်၊ SSH ဥမင်လိုဏ်ခေါင်းသည် ဥမင်လိုဏ်ခေါင်း၏ အခြားတစ်ဖက်စွန်းရှိ အခြားဆိပ်ကမ်းတစ်ခုသို့ ချိတ်ဆက်ပေးသည့် သင့်စက်တွင်းစနစ်တွင် ဆိပ်ကမ်းတစ်ခုကို ဖွင့်ပေးသည်။

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Parameter ကိုကြည့်ရအောင် -L. နားထောင်ခြင်း၏ တစ်ဖက်ခြမ်းအဖြစ် ယူဆနိုင်သည်။ အထက်ဖော်ပြပါ ဥပမာတွင်၊ port 9999 သည် localhost ဘက်တွင် နားထောင်နေပြီး port 80 မှတဆင့် remoteserver သို့ ထပ်ဆင့်ပို့သည်။ 127.0.0.1 သည် အဝေးထိန်းဆာဗာရှိ localhost ကိုရည်ညွှန်းကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။

ခြေလှမ်းစလိုက်ရအောင်။ အောက်ဖော်ပြပါ ဥပမာသည် ဒေသဆိုင်ရာ ကွန်ရက်ရှိ အခြား host များနှင့် နားထောင်သည့် port များကို ဆက်သွယ်ပေးသည်။

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

ဤဥပမာများတွင် ကျွန်ုပ်တို့သည် ဝဘ်ဆာဗာရှိ ဆိပ်ကမ်းတစ်ခုသို့ ချိတ်ဆက်နေသော်လည်း ၎င်းသည် ပရောက်စီဆာဗာ သို့မဟုတ် အခြား TCP ဝန်ဆောင်မှုတစ်ခု ဖြစ်နိုင်သည်။

3. SSH ဥမင်လိုဏ်ခေါင်းသည် ပြင်ပအဖွဲ့အစည်းလက်ခံသူထံသို့

ဝေးလံသောဆာဗာမှ ဥမင်လိုဏ်ခေါင်းတစ်ခုအား တတိယစနစ်တွင် လုပ်ဆောင်နေသော အခြားဝန်ဆောင်မှုနှင့် ချိတ်ဆက်ရန် တူညီသောဘောင်များကို ကျွန်ုပ်တို့အသုံးပြုနိုင်ပါသည်။

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

ဤဥပမာတွင်၊ ကျွန်ုပ်တို့သည် 10.10.10.10 တွင်လည်ပတ်နေသော ဝဘ်ဆာဗာသို့ အဝေးမှလိုဏ်ခေါင်းတစ်ခုသို့ ပြန်ညွှန်းနေပါသည်။ remoteserver မှ 10.10.10.10 သို့ အသွားအလာ SSH tunnel တွင်မရှိတော့ပါ။. 10.10.10.10 ရှိ ဝဘ်ဆာဗာသည် အဝေးထိန်းဆာဗာကို ဝဘ်တောင်းဆိုမှုများ၏ အရင်းအမြစ်အဖြစ် သတ်မှတ်မည်ဖြစ်သည်။

4. Reverse SSH ဥမင်

ဤတွင် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ localhost (သို့မဟုတ် အခြားစနစ်) ရှိ local port သို့ ပြန်လည်ချိတ်ဆက်မည့် အဝေးထိန်းဆာဗာတွင် နားထောင်မှု port ကို configure လုပ်ပါမည်။

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

ဤ SSH စက်ရှင်သည် အဝေးထိန်းဆာဗာတွင် ဆိပ်ကမ်း 1999 မှ ချိတ်ဆက်မှုတစ်ခုကို ကျွန်ုပ်တို့၏ဒေသခံ client ပေါ်ရှိ port 902 သို့ တည်ဆောက်ပေးပါသည်။

5. SSH Reverse Proxy

ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ ssh ချိတ်ဆက်မှုတွင် ခြေအိတ်ပရောက်စီကို စနစ်ထည့်သွင်းနေသော်လည်း ပရောက်စီသည် ဆာဗာ၏ အဝေးထိန်းခလုတ်တွင် နားထောင်နေပါသည်။ ဤအဝေးထိန်းပရောက်စီသို့ ချိတ်ဆက်မှုများသည် ကျွန်ုပ်တို့၏ localhost မှ လမ်းကြောင်းအတိုင်း ယခု လိုဏ်ခေါင်းမှ ပေါ်လာပါသည်။

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

အဝေးထိန်း SSH ဥမင်များဖြင့် ပြဿနာဖြေရှင်းခြင်း။

သင့်တွင် အဝေးထိန်း SSH ရွေးချယ်မှုများ လုပ်ဆောင်ရာတွင် ပြဿနာများရှိပါက၊ စစ်ဆေးပါ။ netstatနားဆင်ခြင်းအပေါက်ကို ချိတ်ဆက်ထားသည့် အခြားအင်တာဖေ့စ်များ။ ဥပမာများတွင် 0.0.0.0 ကို ညွှန်ပြထားသော်လည်း တန်ဖိုးရှိလျှင်မူကား၊ ဂိတ်ဝေးဆိပ်ကမ်းများ в sshd_config သတ်မှတ်ထားသည်။ အဘယ်သူမျှမထို့နောက် နားထောင်သူကို localhost (127.0.0.1) တွင်သာ ချည်နှောင်ထားမည်ဖြစ်သည်။

လုံခြုံရေးသတိပေးချက်

ဥမင်လှိုဏ်ခေါင်းများနှင့် ခြေအိတ်များ ပရောက်စီများကို ဖွင့်ခြင်းဖြင့်၊ အတွင်းပိုင်းကွန်ရက်အရင်းအမြစ်များကို စိတ်မချရသော ကွန်ရက်များ (အင်တာနက်ကဲ့သို့သော!) သို့ ဝင်ရောက်နိုင်သည်ကို ကျေးဇူးပြု၍ သတိပြုပါ။ ၎င်းသည် ပြင်းထန်သောလုံခြုံရေးအန္တရာယ်တစ်ခုဖြစ်နိုင်သည်၊ ထို့ကြောင့် နားထောင်သူသည် အဘယ်အရာနှင့် ၎င်းတို့ထံဝင်ရောက်ခွင့်ရှိသည်ကို သင်နားလည်ကြောင်း သေချာပါစေ။

6. SSH မှတစ်ဆင့် VPN ကို ထည့်သွင်းခြင်း။

တိုက်ခိုက်ရေးနည်းလမ်းများ (pentesters, etc.) တွင် အထူးကျွမ်းကျင်သူများကြားတွင် အသုံးများသည့် အသုံးအနှုန်းမှာ "ကွန်ရက်အတွင်းရှိ ပြည့်စုံမှုတစ်ခု" ဖြစ်သည်။ စနစ်တစ်ခုတွင် ချိတ်ဆက်မှုတစ်ခုကို တည်ဆောက်ပြီးသည်နှင့် ထိုစနစ်သည် ကွန်ရက်သို့ နောက်ထပ်ဝင်ရောက်ခွင့်အတွက် တံခါးပေါက်ဖြစ်လာသည်။ အကျယ်အဝန်းကို ရွေ့လျားနိုင်စေမည့် fulcrum တစ်ခု။

ထိုသို့သောခြေကုပ်အတွက် ကျွန်ုပ်တို့သည် SSH ပရောက်စီကို အသုံးပြုနိုင်သည်။ ပရောက်စီကြိုးများသို့သော် ကန့်သတ်ချက်များရှိသည်။ ဥပမာအားဖြင့်၊ ၎င်းသည် sockets များနှင့်တိုက်ရိုက်အလုပ်လုပ်ရန်မဖြစ်နိုင်ပါ၊ ထို့ကြောင့်ကျွန်ုပ်တို့သည်ကွန်ယက်အတွင်းရှိ ports များမှတဆင့်စကင်န်ဖတ်နိုင်မည်မဟုတ်ပါ။ nmap SYN.

ဤပိုမိုအဆင့်မြင့်သော VPN ရွေးချယ်မှုကို အသုံးပြုခြင်းဖြင့် ချိတ်ဆက်မှုကို လျှော့ချထားသည်။ အဆင့် ၅. ထို့နောက် ကျွန်ုပ်တို့သည် standard network routing ကို အသုံးပြု၍ လိုဏ်ခေါင်းမှတဆင့် လမ်းကြောင်းကို ရိုးရှင်းစွာ လမ်းကြောင်းပေးနိုင်ပါသည်။

နည်းလမ်းကိုအသုံးပြုသည်။ ssh, iptables, tun interfaces နှင့်လမ်းကြောင်း။

ပထမဦးစွာသင်ဤ parameters တွေကိုသတ်မှတ်ဖို့လိုအပ်ပါတယ်။ sshd_config. ကျွန်ုပ်တို့သည် အဝေးထိန်းစနစ်နှင့် ကလိုင်းယင့်စနစ်နှစ်ခုလုံး၏ အင်တာဖေ့စ်များကို ပြောင်းလဲမှုများ ပြုလုပ်နေသောကြောင့်၊ နှစ်ဖက်စလုံးတွင် root လုပ်ပိုင်ခွင့်များလိုအပ်သည်။.

PermitRootLogin yes
PermitTunnel yes

ထို့နောက် tun စက်ပစ္စည်းများ၏ ကနဦးအစပြုမှုကို တောင်းဆိုသည့် ပါရာမီတာကို အသုံးပြု၍ ssh ချိတ်ဆက်မှုတစ်ခု တည်ဆောက်ပါမည်။

localhost:~# ssh -v -w any root@remoteserver

အင်တာဖေ့စ်များကိုပြသသောအခါ ကျွန်ုပ်တို့တွင် tun စက်တစ်ခုရှိသင့်သည် (# ip a) နောက်အဆင့်တွင် ဥမင်အင်တာဖေ့စ်များသို့ IP လိပ်စာများကို ပေါင်းထည့်ပါမည်။

SSH client ဘက်မှ-

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH ဆာဗာဘေး-

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

ယခု ကျွန်ုပ်တို့တွင် အခြားအိမ်ရှင်ထံသို့ တိုက်ရိုက်လမ်းကြောင်းတစ်ခုရှိသည် (route -n и ping 10.10.10.10).

အခြားတစ်ဖက်ရှိ host တစ်ခုမှတဆင့် မည်သည့် subnet ကိုမဆို လမ်းကြောင်းပြောင်းနိုင်ပါသည်။

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

အဝေးထိန်းဘက်တွင် သင်ဖွင့်ရပါမည်။ ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Boom! ကွန်ရက်အလွှာ 3 ရှိ SSH ဥမင်လိုဏ်ခေါင်းတွင် VPN. အခုက အောင်ပွဲပါ။

ပြဿနာတစ်ခုခုဖြစ်လာပါက အသုံးပြုပါ။ ချစ်သူ и pingအကြောင်းရင်းကိုဆုံးဖြတ်ရန်။ ကျွန်ုပ်တို့သည် အလွှာ 3 တွင် ကစားနေသောကြောင့် ကျွန်ုပ်တို့၏ icmp ပက်ကေ့ဂျ်များသည် ဤဥမင်လိုဏ်ခေါင်းကို ဖြတ်သန်းသွားမည်ဖြစ်သည်။

7. SSH key (ssh-copy-id) ကို ကူးယူပါ။

၎င်းကိုပြုလုပ်ရန်နည်းလမ်းများစွာရှိသော်လည်း၊ ဤအမိန့်သည် ဖိုင်များကို ကိုယ်တိုင်ကူးယူခြင်းမပြုဘဲ အချိန်ကုန်သက်သာစေသည်။ ၎င်းသည် ~/.ssh/id_rsa.pub (သို့မဟုတ် မူရင်းကီး) ကို သင့်စနစ်မှ မိတ္တူကူးပါသည်။ ~/.ssh/authorized_keys အဝေးထိန်းဆာဗာပေါ်တွင်

localhost:~$ ssh-copy-id user@remoteserver

8. အဝေးထိန်းအမိန့်ပေးလုပ်ဆောင်မှု (အပြန်အလှန်အကျိုးသက်ရောက်မှုမရှိသော)

အသင်းအဖွဲ့ ssh အသုံးများသော၊ အသုံးပြုရလွယ်ကူသော အင်တာဖေ့စ်အတွက် အခြား command များနှင့် ချိတ်ဆက်နိုင်သည်။ ကိုးကားချက်များတွင်နောက်ဆုံးပါရာမီတာအဖြစ် အဝေးထိန်းဌာနတွင် သင်လုပ်ဆောင်လိုသော command ကိုထည့်ပါ။

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

ဤဥပမာ grep မှတ်တမ်းကို ssh ချန်နယ်မှတစ်ဆင့် ဒေါင်းလုဒ်လုပ်ပြီးနောက် ဒေသတွင်းစနစ်တွင် လုပ်ဆောင်သည်။ ဖိုင်က ကြီးရင် run ရတာ ပိုအဆင်ပြေတယ်။ grep command နှစ်ခုလုံးကို အကိုးအကားများဖြင့် ရိုးရှင်းစွာ ထည့်သွင်းခြင်းဖြင့် remote side တွင်။

အခြားဥပမာသည် တူညီသောလုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည်။ ssh-copy-id ဥပမာ ၇။

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Wireshark တွင် အဝေးမှ ထုပ်ပိုးဖမ်းယူခြင်းနှင့် ကြည့်ရှုခြင်း။

ငါတို့ထဲက တစ်ယောက်ကို ငါယူခဲ့တယ်။ tcpdump ဥပမာများ. ပက်ကေ့ခ်ျများကို အဝေးမှဖမ်းယူကာ ဒေသတွင်း Wireshark GUI တွင် ရလဒ်များကို တိုက်ရိုက်ပြသရန် ၎င်းကို အသုံးပြုပါ။

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. SSH မှတစ်ဆင့် ဝေးလံခေါင်သီသော ဆာဗာသို့ ဒေသတွင်းဖိုင်တွဲတစ်ခုကို ကူးယူခြင်း။

Folder တစ်ခုကို အသုံးပြု၍ compresses ပြုလုပ်နိုင်သော လှည့်ကွက်ကောင်းတစ်ခု bzip2 (ဒါက command ထဲမှာ -j ရွေးချယ်မှုပါ။ tar) ထို့နောက် စမ်းချောင်းကို ပြန်လည်ရယူပါ။ bzip2 အခြားတစ်ဖက်တွင်၊ အဝေးထိန်းဆာဗာတွင် မိတ္တူဖိုလ်တစ်ခုကို ဖန်တီးပါ။

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. SSH X11 ထပ်ဆင့်ပို့ခြင်းဖြင့် အဝေးထိန်း GUI အပလီကေးရှင်းများ

X ကို client နှင့် remote server တွင် install လုပ်ထားပါက၊ သင်၏ local desktop ပေါ်တွင် window တစ်ခုဖြင့် GUI command ကို အဝေးမှ လုပ်ဆောင်နိုင်သည်။ ဤအင်္ဂါရပ်သည် ကြာမြင့်နေပြီဖြစ်သော်လည်း အလွန်အသုံးဝင်ဆဲဖြစ်သည်။ ဤနမူနာတွင် ကျွန်ုပ်ကဲ့သို့ အဝေးမှ ဝဘ်ဘရောက်ဆာ သို့မဟုတ် VMWawre Workstation ကွန်ဆိုးကိုပင် စတင်ပါ။

localhost:~$ ssh -X remoteserver vmware

လိုအပ်သောစာကြောင်း X11Forwarding yes ဖိုင်ထဲမှာ sshd_config.

12. rsync နှင့် SSH ကို အသုံးပြု၍ အဝေးမှ ဖိုင်ကူးခြင်း။

rsync အများကြီးပိုအဆင်ပြေတယ်။ scpလမ်းညွှန်တစ်ခု၏ အချိန်အပိုင်းအခြားအလိုက် အရန်သိမ်းဆည်းမှုများ၊ ဖိုင်အများအပြား သို့မဟုတ် အလွန်ကြီးမားသောဖိုင်များ လိုအပ်ပါက၊ လွှဲပြောင်းမှု ပျက်ကွက်မှုမှ ပြန်လည်ရယူရန်နှင့် ပြောင်းလဲထားသော ဖိုင်များကိုသာ ကူးယူခြင်းအတွက် လုပ်ဆောင်ချက်တစ်ခု ရှိပြီး ယာဉ်ကြောနှင့် အချိန်ကို သက်သာစေသည်။

ဤဥပမာသည် compression ကိုအသုံးပြုသည်။ gzip (-z) နှင့် မော်ကွန်းတင်ခြင်းမုဒ် (-a) သည် ထပ်ခါတလဲလဲ ကူးယူခြင်းကို လုပ်ဆောင်နိုင်သည်။

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. Tor ကွန်ရက်ပေါ်တွင် SSH

အမည်မသိ Tor ကွန်ရက်သည် ညွှန်ကြားချက်ကို အသုံးပြု၍ SSH အသွားအလာကို ဥမင်ပိတ်ဆို့နိုင်သည်။ torsocks. အောက်ပါ command သည် Tor မှတဆင့် ssh proxy ကို ဖြတ်သန်းပါမည်။

localhost:~$ torsocks ssh myuntracableuser@remoteserver

ခြေအိတ် proxy အတွက် localhost တွင် port 9050 ကို အသုံးပြုပါမည်။ အမြဲလိုလို၊ Tor ကိုအသုံးပြုသည့်အခါတွင် မည်သည့်အသွားအလာကို ဥမင်ဖောက်လုပ်နေသည်နှင့် အခြားလုပ်ငန်းဆောင်ရွက်မှုလုံခြုံရေး (opsec) ပြဿနာများကို အလေးအနက်စစ်ဆေးရန် လိုအပ်ပါသည်။ သင်၏ DNS မေးမြန်းမှုများသည် မည်သည့်နေရာသို့ သွားသနည်း။

14. SSH to EC2 instance

EC2 စံနမူနာတစ်ခုသို့ ချိတ်ဆက်ရန်အတွက် သင်သည် သီးသန့်သော့တစ်ခု လိုအပ်သည်။ ၎င်းကို Amazon EC2 ထိန်းချုပ်မှု panel မှ (.pem extension) ကို ဒေါင်းလုဒ်လုပ်ပြီး ခွင့်ပြုချက်များကို ပြောင်းလဲပါ (chmod 400 my-ec2-ssh-key.pem) သော့ကို လုံခြုံသောနေရာတွင် ထားပါ သို့မဟုတ် သင့်ကိုယ်ပိုင်ဖိုင်တွဲတွင် ထားရှိပါ။ ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

parameter သည် -i ဤကီးကိုအသုံးပြုရန် ssh client ကို ရိုးရိုးရှင်းရှင်းပြောပါ။ ဖို ~/.ssh/config ec2 host နှင့် ချိတ်ဆက်သည့်အခါ သော့အသုံးပြုမှုကို အလိုအလျောက် စီစဉ်သတ်မှတ်ခြင်းအတွက် အကောင်းဆုံးဖြစ်သည်။

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. ssh/scp မှတစ်ဆင့် VIM ကို အသုံးပြု၍ စာသားဖိုင်များကို တည်းဖြတ်ခြင်း။

ချစ်သူများအားလုံးအတွက် vim ဤအကြံပြုချက်သည် အချိန်အနည်းငယ် သက်သာပါမည်။ အသုံးပြုခြင်းဖြင့် vim ဖိုင်များကို command တစ်ခုတည်းဖြင့် scp မှတစ်ဆင့် တည်းဖြတ်ပါသည်။ ဤနည်းလမ်းသည် ဖိုင်ကို စက်တွင်း၌သာ ဖန်တီးသည်။ /tmpသိမ်းဆည်းပြီးသည်နှင့် ၎င်းကို ပြန်လည်ကူးယူပါ။ vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

မှတ်ချက်- ဖော်မတ်သည် ပုံမှန်ပုံစံနှင့် အနည်းငယ်ကွဲပြားသည်။ scp. အိမ်ရှင်ပြီးရင် ကျွန်တော်တို့မှာ နှစ်ဆရှိတယ်။ //. ဤသည်မှာ ပကတိလမ်းကြောင်းကို ရည်ညွှန်းခြင်းဖြစ်သည်။ မျဥ်းစောင်းတစ်ခုသည် သင့်အိမ်ဖိုင်တွဲနှင့် ဆက်စပ်နေသည့် လမ်းကြောင်းကို ညွှန်ပြမည်ဖြစ်သည်။ users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

ဤအမှားကိုတွေ့ပါက၊ အမိန့်ဖော်မတ်ကို နှစ်ဆစစ်ဆေးပါ။ ၎င်းသည် အများအားဖြင့် syntax အမှားကို ဆိုလိုသည်။

16. SSHFS ဖြင့် ဒေသတွင်းဖိုင်တွဲအဖြစ် အဝေးမှ SSH ကို တပ်ဆင်ခြင်း။

အားဖြင့် sshfs - ဖိုင်စနစ် client ssh - ကျွန်ုပ်တို့သည် ကုဒ်ဝှက်ထားသော စက်ရှင်တစ်ခုတွင် ဖိုင်အပြန်အလှန်ဆက်သွယ်မှုများအားလုံးကို ဝေးလံခေါင်သီသော တည်နေရာနှင့် ဒေသဆိုင်ရာလမ်းညွှန်ကို ချိတ်ဆက်နိုင်သည်။ ssh.

localhost:~$ apt install sshfs

Ubuntu နှင့် Debian တွင် ပက်ကေ့ဂျ်ကို ထည့်သွင်းပါ။ sshfsပြီးနောက် အဝေးထိန်းတည်နေရာကို ကျွန်ုပ်တို့၏စနစ်တွင် တပ်ဆင်ပါ။

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. ControlPath ဖြင့် SSH Multiplexing

ပုံမှန်အားဖြင့်၊ လက်ရှိအသုံးပြုနေသည့် အဝေးထိန်းဆာဗာသို့ ချိတ်ဆက်မှုတစ်ခုရှိလျှင် ssh ဒုတိယချိတ်ဆက်မှုကို အသုံးပြု ssh သို့မဟုတ် scp ထပ်လောင်းစစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဖြင့် စက်ရှင်အသစ်ကို တည်ထောင်သည်။ ရွေးချယ်မှု ControlPath လက်ရှိဆက်ရှင်ကို နောက်ဆက်တွဲချိတ်ဆက်မှုအားလုံးအတွက် အသုံးပြုခွင့်ပေးသည်။ ၎င်းသည် လုပ်ငန်းစဉ်ကို သိသာထင်ရှားစွာ အရှိန်မြှင့်ပေးလိမ့်မည်- ဒေသန္တရကွန်ရက်တစ်ခုတွင်ပင် အကျိုးသက်ရောက်မှုကို သိသာထင်ရှားစေပြီး အဝေးမှ အရင်းအမြစ်များကို ချိတ်ဆက်သည့်အခါတွင်ပင် ပိုမိုများပြားသည်။

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath သည် ချိတ်ဆက်မှုအသစ်အတွက် စစ်ဆေးရန် socket ကို သတ်မှတ်ပေးပါသည်။ ssh. နောက်ဆုံးရွေးချယ်မှုဆိုသည်မှာ သင် ကွန်ဆိုးလ်မှ ထွက်ပြီးနောက်တွင်ပင် ရှိပြီးသား စက်ရှင်ကို 10 မိနစ်ကြာ ဆက်လက်ဖွင့်ထားမည်ဖြစ်ပြီး၊ ထို့ကြောင့် ဤအချိန်အတောအတွင်း လက်ရှိ ပေါက်ပေါက်တွင် ပြန်လည်ချိတ်ဆက်နိုင်ပါသည်။ ပိုမိုသိရှိလိုပါက၊ အကူအညီကို ကြည့်ပါ။ ssh_config man.

18. VLC နှင့် SFTP ကို ​​အသုံးပြု၍ SSH မှတဆင့် ဗီဒီယိုကို တိုက်ရိုက်ကြည့်ရှုပါ။

ကြာကြာအသုံးပြုသူများပင် ssh и vlc (Video Lan Client) သည် ကွန်ရက်ပေါ်တွင် ဗီဒီယိုတစ်ကားကို အမှန်တကယ်ကြည့်ရှုရန် လိုအပ်သောအခါတွင် ဤအဆင်ပြေသည့်ရွေးချယ်မှုကို အမြဲသတိမပြုမိပါ။ ဆက်တင်များတွင် ဖိုင် | Network Stream ကိုဖွင့်ပါ။ အစီအစဉ်များ vlc တည်နေရာအဖြစ် သင်ဝင်ရောက်နိုင်သည်။ sftp://. စကားဝှက်တစ်ခုလိုအပ်ပါက၊ အမှာစာတစ်ခုပေါ်လာလိမ့်မည်။

sftp://remoteserver//media/uploads/myvideo.mkv

19. Two-factor authentication

သင့်ဘဏ်အကောင့် သို့မဟုတ် Google အကောင့်ကဲ့သို့ တူညီသောအချက်နှစ်ချက် အထောက်အထားစိစစ်ခြင်းသည် SSH ဝန်ဆောင်မှုနှင့် သက်ဆိုင်ပါသည်။

သင်တန်း၏, ssh အစပိုင်းတွင် two-factor authentication function ရှိပြီး၊ ဆိုလိုသည်မှာ စကားဝှက်တစ်ခုနှင့် SSH သော့တစ်ခုဖြစ်သည်။ ဟာ့ဒ်ဝဲ တိုကင် သို့မဟုတ် Google Authenticator အက်ပ်၏ အားသာချက်မှာ ၎င်းသည် များသောအားဖြင့် မတူညီသော ရုပ်ပိုင်းဆိုင်ရာ စက်ပစ္စည်းတစ်ခုဖြစ်သည်။

ကျွန်ုပ်တို့၏ ၈ မိနစ်စာလမ်းညွှန်ချက်ကို ကြည့်ပါ။ Google Authenticator နှင့် SSH ကို အသုံးပြုထားသည်။.

20. ssh နှင့် -J ဖြင့် ခုန်နေသော hosts

အကယ်၍ network segmentation သည် နောက်ဆုံးဦးတည်ရာကွန်ရက်သို့ရောက်ရန် ssh host အများအပြားမှတဆင့် ခုန်ဆင်းရမည်ဟု ဆိုလိုပါက -J ဖြတ်လမ်းက သင့်အား အချိန်ကုန်သက်သာစေမည်ဖြစ်သည်။

localhost:~$ ssh -J host1,host2,host3 [email protected]

ဤနေရာတွင် နားလည်ရန် အဓိကအချက်မှာ ၎င်းသည် command နှင့် မတူပါ။ ssh host1ထိုအခါ user@host1:~$ ssh host2 စသည်တို့ကို -J option သည် ကွင်းဆက်ရှိ နောက်ထပ် host နှင့် session တစ်ခုတည်ဆောက်ရန် localhost ကို အတင်းအကျပ် forwarding ကို လိမ္မာပါးနပ်စွာ အသုံးပြုပါသည်။ ထို့ကြောင့် အထက်ဖော်ပြပါ ဥပမာတွင်၊ ကျွန်ုပ်တို့၏ localhost သည် host4 သို့ စစ်မှန်ကြောင်းသက်သေပြထားသည်။ ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့၏ localhost သော့များကို အသုံးပြုပြီး session မှ localhost မှ host4 သို့ လုံးလုံးလျားလျား ကုဒ်ဝှက်ထားသည်။

အဲဒီလိုဖြစ်နိုင်ချေအတွက် ssh_config configuration option ကိုသတ်မှတ်ပါ။ ProxyJump. အကယ်၍ သင်သည် host အများအပြားကိုပုံမှန်ဖြတ်သန်းရပါက၊ config မှတဆင့်အလိုအလျောက်လုပ်ဆောင်ခြင်းသည်အချိန်များစွာသက်သာစေလိမ့်မည်။

21. iptables များကို အသုံးပြု၍ SSH brute force ကြိုးပမ်းမှုများကို ပိတ်ဆို့ပါ။

SSH ဝန်ဆောင်မှုကို စီမံခန့်ခွဲပြီး မှတ်တမ်းများကို ကြည့်ရှုသူတိုင်းသည် နေ့စဉ် နာရီတိုင်းတွင် ဖြစ်ပေါ်သော brute force ကြိုးပမ်းမှု အရေအတွက်ကို သိရှိပါသည်။ မှတ်တမ်းများတွင် ဆူညံသံများကို လျှော့ချရန် အမြန်နည်းလမ်းမှာ SSH ကို ပုံမှန်မဟုတ်သော အပေါက်တစ်ခုသို့ ရွှေ့ရန်ဖြစ်သည်။ ဖိုင်ကို အပြောင်းအလဲလုပ်ပါ။ sshd_config configuration parameter မှတဆင့် ဆိပ်ကမ်း##.

နှင့် iptables သတ်မှတ်ထားသော အဆင့်တစ်ခုသို့ ရောက်သောအခါတွင် ဆိပ်ကမ်းသို့ ချိတ်ဆက်ရန် ကြိုးပမ်းမှုများကို အလွယ်တကူ ပိတ်ဆို့နိုင်သည်။ ဒီလိုလုပ်ဖို့ လွယ်တဲ့နည်းက သုံးဖို့ပါ။ OSSECအဘယ်ကြောင့်ဆိုသော် ၎င်းသည် SSH ကို ပိတ်ဆို့ရုံသာမက အခြားသော hostname-based intrusion detection (HIDS) အစီအမံများစွာကိုလည်း လုပ်ဆောင်ပေးသောကြောင့်ဖြစ်သည်။

22. Port ထပ်ဆင့်ပို့ခြင်းကို ပြောင်းလဲရန် SSH Escape

ငါတို့ရဲ့နောက်ဆုံးဥပမာ ssh လက်ရှိစက်ရှင်တစ်ခုအတွင်း ပျံသန်းနေသော ဆိပ်ကမ်းသို့ ထပ်ဆင့်ပို့ခြင်းကို ပြောင်းလဲရန် ဒီဇိုင်းထုတ်ထားသည်။ ssh. ဒီဇာတ်လမ်းကို မြင်ယောင်ကြည့်ပါ။ သင်ဟာ ကွန်ရက်ထဲမှာ နက်ရှိုင်းပါတယ်။ ဒါဇင်ထက်ဝက်ကျော် hosts များ ခုန်တက်သွားပြီး Windows 2003 စနစ်ဟောင်းတစ်ခု၏ Microsoft SMB သို့ ထပ်ဆင့်ပို့သော workstation ရှိ local port တစ်ခု လိုအပ်သည် (မည်သူမဆို ms08-67 ကို မှတ်မိပါသလား။)

နှိပ်သည်။ enterကွန်ဆိုးလ်ထဲသို့ ဝင်ကြည့်ပါ။ ~C. ၎င်းသည် လက်ရှိချိတ်ဆက်မှုတွင် အပြောင်းအလဲများကို ပြုလုပ်ခွင့်ပြုသည့် စက်ရှင်ထိန်းချုပ်မှု အစီအစဉ်တစ်ခုဖြစ်သည်။

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ပြည်တွင်းကွန်ရက်တွင်တွေ့ရှိသော Windows 1445 host သို့ကျွန်ုပ်တို့၏ local port 2003 ကို ထပ်ဆင့်ပို့ထားသည်ကို ဤနေရာတွင်တွေ့မြင်နိုင်ပါသည်။ အခုပဲပြေးလိုက်ပါ။ msfconsole၊ သင်ဆက်လက်လုပ်ဆောင်နိုင်သည် (သင်ဤအိမ်ရှင်ကိုအသုံးပြုရန်စီစဉ်နေသည်ဟုယူဆပါက)။

ပြည့်စုံခြင်း

ဤဥပမာများ၊ အကြံပြုချက်များနှင့် အမိန့်များ ssh အစမှတ်တစ်ခုပေးသင့်သည်၊ ညွှန်ကြားချက်များနှင့် လုပ်ဆောင်နိုင်စွမ်းတစ်ခုစီ၏ နောက်ထပ်အချက်အလက်များကို man pages တွင် ရနိုင်သည် (man ssh, man ssh_config, man sshd_config).

ကမ္ဘာပေါ်ရှိ မည်သည့်နေရာတွင်မဆို စနစ်များဝင်ရောက်ခြင်းနှင့် အမိန့်ပေးချက်များကို လုပ်ဆောင်နိုင်ခြင်းတို့ကြောင့် ကျွန်ုပ်အမြဲတမ်း စိတ်ဝင်စားနေပါသည်။ ကဲ့သို့သော ကိရိယာများဖြင့် သင်၏ အရည်အချင်းကို မြှင့်တင်ပါ။ ssh သင်ကစားသည့်ဂိမ်းတိုင်းတွင် သင်ပိုမိုထိရောက်လာမည်ဖြစ်သည်။

source: www.habr.com