व्यावहारिक उदाहरणहरू SSH, जसले रिमोट सिस्टम प्रशासकको रूपमा तपाईंको सीपहरूलाई नयाँ स्तरमा लैजान्छ। आदेश र सुझावहरू मात्र प्रयोग गर्न मद्दत गर्नेछ SSH, तर नेटवर्कलाई अझ कुशलतापूर्वक नेभिगेट गर्नुहोस्।

केही युक्तिहरू थाहा छ ssh कुनै पनि प्रणाली प्रशासक, नेटवर्क इन्जिनियर वा सुरक्षा विशेषज्ञको लागि उपयोगी।

व्यावहारिक SSH उदाहरणहरू

SSH मोजा प्रोक्सी
SSH सुरुङ (पोर्ट फर्वार्डिङ)
तेस्रो होस्टमा SSH सुरुङ
SSH सुरुङ उल्टो
SSH रिभर्स प्रोक्सी
SSH मा VPN स्थापना गर्दै
एक SSH कुञ्जी प्रतिलिपि गर्दै (ssh-copy-id)
रिमोट आदेश कार्यान्वयन (गैर अन्तरक्रियात्मक)
रिमोट प्याकेट क्याप्चर र Wireshark मा अवलोकन
SSH मार्फत टाढाको सर्भरमा स्थानीय फोल्डर प्रतिलिपि गर्दै
SSH X11 फर्वार्डिङको साथ रिमोट GUI अनुप्रयोगहरू
rsync र SSH प्रयोग गरेर रिमोट फाइल प्रतिलिपि गर्दै
टोर नेटवर्कमा SSH
SSH देखि EC2 उदाहरण
ssh/scp मार्फत VIM प्रयोग गरेर पाठ फाइलहरू सम्पादन गर्दै
SSHFS सँग स्थानीय फोल्डरको रूपमा टाढाको SSH माउन्ट गर्नुहोस्
ControlPath संग मल्टिप्लेक्सिंग SSH
VLC र SFTP प्रयोग गरेर SSH मा भिडियो स्ट्रिम गर्नुहोस्
दुई-कारक प्रमाणीकरण
SSH र -J सँग जम्पिङ होस्टहरू
iptables प्रयोग गरेर SSH ब्रूट फोर्स प्रयासहरू अवरुद्ध गर्दै
पोर्ट फर्वार्डिङ परिवर्तन गर्न SSH Escape

पहिले आधारभूत कुरा

SSH आदेश रेखा पार्स गर्दै

निम्न उदाहरणले रिमोट सर्भरमा जडान गर्दा प्रायः सामना गर्ने सामान्य प्यारामिटरहरू प्रयोग गर्दछ SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

-v: प्रमाणीकरण समस्याहरूको विश्लेषण गर्दा डिबगिङ आउटपुट विशेष गरी उपयोगी हुन्छ। थप जानकारी प्रदर्शन गर्न धेरै पटक प्रयोग गर्न सकिन्छ।
- p 22: जडान पोर्ट टाढाको SSH सर्भरमा। 22 निर्दिष्ट गर्न आवश्यक छैन, किनकि यो पूर्वनिर्धारित मान हो, तर यदि प्रोटोकल कुनै अन्य पोर्टमा छ भने, हामी यसलाई प्यारामिटर प्रयोग गरेर निर्दिष्ट गर्दछौं। -p। सुन्न पोर्ट फाइल मा निर्दिष्ट गरिएको छ sshd_config ढाँचामा Port 2222.
-C: जडानको लागि सङ्कुचन। यदि तपाइँसँग एक ढिलो जडान छ वा धेरै पाठ हेर्नुभयो भने, यसले जडानको गति बढाउन सक्छ।
neo@: @ प्रतीक अघिको रेखाले रिमोट सर्भरमा प्रमाणीकरणको लागि प्रयोगकर्ता नामलाई संकेत गर्छ। यदि तपाइँ यसलाई निर्दिष्ट गर्नुहुन्न भने, यो तपाइँ हाल लग इन भएको खाताको प्रयोगकर्ता नाममा पूर्वनिर्धारित हुनेछ (~$whoami)। प्रयोगकर्ता पनि प्यारामिटर प्रयोग गरेर निर्दिष्ट गर्न सकिन्छ -l.
remoteserver: जडान गर्न होस्टको नाम ssh, यो पूर्ण रूपमा योग्य डोमेन नाम, IP ठेगाना, वा स्थानीय होस्ट फाइलमा कुनै पनि होस्ट हुन सक्छ। दुबै IPv4 र IPv6 लाई समर्थन गर्ने होस्टमा जडान गर्न, तपाइँ आदेश रेखामा प्यारामिटर थप्न सक्नुहुन्छ। -4 वा -6 उचित समाधानको लागि।

माथिका सबै प्यारामिटरहरू बाहेक वैकल्पिक छन् remoteserver.

कन्फिगरेसन फाइल प्रयोग गर्दै

यद्यपि धेरैलाई फाइलसँग परिचित छ sshd_config, त्यहाँ आदेशको लागि क्लाइन्ट कन्फिगरेसन फाइल पनि छ ssh। पूर्वनिर्धारित मान ~/.ssh/config, तर यसलाई विकल्पको लागि प्यारामिटरको रूपमा परिभाषित गर्न सकिन्छ -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

माथिको उदाहरण ssh कन्फिगरेसन फाइलमा दुई होस्ट प्रविष्टिहरू छन्। पहिलोको अर्थ सबै होस्टहरू हुन्, सबै पोर्ट 2222 कन्फिगरेसन प्यारामिटर प्रयोग गर्दै। दोस्रोले होस्टको लागि भन्छ। रिमोट सर्भर फरक प्रयोगकर्ता नाम, पोर्ट, FQDN र IdentityFile प्रयोग गर्नुपर्छ।

कन्फिगरेसन फाइलले विशिष्ट होस्टहरूमा जडान गर्दा उन्नत कन्फिगरेसन स्वचालित रूपमा लागू गर्न अनुमति दिएर धेरै टाइपिङ समय बचत गर्न सक्छ।

SCP प्रयोग गरेर SSH मा फाइलहरू प्रतिलिपि गर्दै

SSH क्लाइन्ट फाईलहरू प्रतिलिपि गर्नका लागि दुई अन्य धेरै उपयोगी उपकरणहरूसँग आउँछ एन्क्रिप्टेड ssh जडान। scp र sftp आदेशहरूको मानक प्रयोगको उदाहरणको लागि तल हेर्नुहोस्। नोट गर्नुहोस् कि धेरै ssh विकल्पहरू यी आदेशहरूमा पनि लागू हुन्छन्।

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

यस उदाहरणमा फाइल mypic.png मा प्रतिलिपि गरियो रिमोट सर्भर फोल्डरमा /media/data र पुन: नामाकरण गरियो mypic_2.png.

पोर्ट प्यारामिटर मा भिन्नता बारे नबिर्सनुहोस्। लन्च गर्दा धेरै मानिसहरू समात्ने ठाउँ यही हो scp आदेश रेखाबाट। यहाँ पोर्ट प्यारामिटर छ -Pर होइन -p, जस्तै एक ssh ग्राहक मा! तिमीले बिर्सने छौ, तर चिन्ता नगर, सबैले बिर्सन्छन।

कन्सोलसँग परिचित भएकाहरूको लागि ftp, धेरै आदेशहरू समान छन् sftp। गर्न सक्नुहुन्छ धक्का, राख्न и lsहृदयले चाहे जस्तै।

sftp neo@remoteserver

व्यावहारिक उदाहरणहरू

यी धेरै उदाहरणहरूमा, परिणामहरू विभिन्न विधिहरू प्रयोग गरेर प्राप्त गर्न सकिन्छ। हाम्रो सबै मा जस्तै पाठ्यपुस्तकहरू र उदाहरणहरू, व्यावहारिक उदाहरणहरूलाई प्राथमिकता दिइन्छ जसले आफ्नो काम मात्र गर्छ।

1. SSH मोजा प्रोक्सी

SSH प्रोक्सी सुविधा राम्रो कारणको लागि नम्बर 1 हो। यो धेरैले महसुस गरेको भन्दा धेरै शक्तिशाली छ र तपाईंलाई कुनै पनि प्रणालीमा पहुँच दिन्छ जुन रिमोट सर्भरले वस्तुतः कुनै पनि अनुप्रयोग प्रयोग गरेर पहुँच गर्न सक्छ। एक ssh क्लाइन्टले एक साधारण आदेशको साथ SOCKS प्रोक्सी मार्फत ट्राफिक टनेल गर्न सक्छ। यो बुझ्न महत्त्वपूर्ण छ कि रिमोट प्रणालीहरूमा ट्राफिक रिमोट सर्भरबाट आउनेछ, यो वेब सर्भर लगहरूमा संकेत गरिनेछ।

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

यहाँ हामी TCP पोर्ट 8888 मा मोजा प्रोक्सी चलाउँछौं, दोस्रो आदेशले सुन्ने मोडमा पोर्ट सक्रिय छ भनी जाँच गर्छ। 127.0.0.1 ले सेवा लोकलहोस्टमा मात्र चल्छ भन्ने संकेत गर्छ। हामी ईथरनेट वा वाइफाइ सहित सबै इन्टरफेसहरूमा सुन्न अलि फरक आदेश प्रयोग गर्न सक्छौं, यसले हाम्रो नेटवर्कमा अन्य अनुप्रयोगहरू (ब्राउजरहरू, आदि) लाई ssh मोजा प्रोक्सी मार्फत प्रोक्सी सेवामा जडान गर्न अनुमति दिनेछ।

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

अब हामी मोजा प्रोक्सी जडान गर्न ब्राउजर कन्फिगर गर्न सक्छौं। फायरफक्समा, चयन गर्नुहोस् सेटिङहरू | आधारभूत | नेटवर्क सेटिङहरू। जडान गर्नको लागि IP ठेगाना र पोर्ट निर्दिष्ट गर्नुहोस्।

कृपया तपाईंको ब्राउजरको DNS अनुरोधहरू SOCKS प्रोक्सी मार्फत जानको लागि फारमको तलको विकल्पलाई नोट गर्नुहोस्। यदि तपाइँ तपाइँको स्थानीय नेटवर्कमा वेब ट्राफिक ईन्क्रिप्ट गर्न प्रोक्सी सर्भर प्रयोग गर्दै हुनुहुन्छ भने, तपाइँ सम्भवतः यो विकल्प चयन गर्न चाहानुहुन्छ ताकि DNS अनुरोधहरू SSH जडान मार्फत टनेल हुन्छन्।

Chrome मा मोजा प्रोक्सी सक्रिय गर्दै

निश्चित कमाण्ड लाइन प्यारामिटरहरूको साथ क्रोम सुरु गर्दा मोजा प्रोक्सी सक्षम हुनेछ, साथै ब्राउजरबाट DNS अनुरोधहरू टनेल गर्ने। विश्वास गर्नुहोस् तर जाँच गर्नुहोस्। प्रयोग गर्नुहोस् tcpdump DNS क्वेरीहरू अब देखिने छैनन् भनी जाँच गर्न।

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

प्रोक्सीको साथ अन्य अनुप्रयोगहरू प्रयोग गर्दै

ध्यान राख्नुहोस् कि धेरै अन्य अनुप्रयोगहरूले मोजा प्रोक्सीहरू पनि प्रयोग गर्न सक्छन्। वेब ब्राउजर ती सबै मध्ये सबैभन्दा लोकप्रिय हो। प्रोक्सी सर्भर सक्षम गर्नका लागि केही अनुप्रयोगहरूसँग कन्फिगरेसन विकल्पहरू छन्। अरूलाई सहयोगी कार्यक्रममा थोरै मद्दत चाहिन्छ। उदाहरणका लागि, proxychains तपाईंलाई मोजा प्रोक्सी माइक्रोसफ्ट आरडीपी, आदि मार्फत चलाउन अनुमति दिन्छ।

localhost:~$ proxychains rdesktop $RemoteWindowsServer

मोजा प्रोक्सी कन्फिगरेसन प्यारामिटरहरू प्रोक्सीचेन्स कन्फिगरेसन फाइलमा सेट गरिएका छन्।

संकेत: यदि तपाइँ Windows मा लिनक्सबाट रिमोट डेस्कटप प्रयोग गर्नुहुन्छ? ग्राहक प्रयास गर्नुहोस् फ्रीआरडीपी। यो भन्दा धेरै आधुनिक कार्यान्वयन हो rdesktop, धेरै सहज अनुभव संग।

मोजा प्रोक्सी मार्फत SSH प्रयोग गर्न विकल्प

तपाईं क्याफे वा होटेलमा बसिरहनुभएको छ - र बरु अविश्वसनीय वाइफाइ प्रयोग गर्न बाध्य छन्। हामीले ल्यापटपबाट स्थानीय रूपमा ssh प्रोक्सी सुरु गर्छौं र स्थानीय रास्बेरी पाईमा गृह नेटवर्कमा ssh सुरुङ स्थापना गर्छौं। ब्राउजर वा मोजा प्रोक्सीको लागि कन्फिगर गरिएको अन्य अनुप्रयोगहरू प्रयोग गरेर, हामी हाम्रो गृह नेटवर्कमा कुनै पनि नेटवर्क सेवाहरू पहुँच गर्न वा हाम्रो घर जडान मार्फत इन्टरनेट पहुँच गर्न सक्छौं। तपाईको ल्यापटप र तपाईको गृह सर्भर (Wi-Fi र तपाईको घरमा इन्टरनेट मार्फत) बीचको सबै कुरा SSH टनेलमा इन्क्रिप्ट गरिएको छ।

2. SSH सुरुङ (पोर्ट फर्वार्डिङ)

यसको सरल रूपमा, SSH सुरुङले तपाईको स्थानीय प्रणालीमा पोर्ट खोल्छ जुन सुरुङको अर्को छेउमा अर्को पोर्टमा जडान हुन्छ।

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

प्यारामिटर हेरौं -L। यसलाई सुन्ने स्थानीय पक्षको रूपमा सोच्न सकिन्छ। त्यसैले माथिको उदाहरणमा, पोर्ट 9999 लोकलहोस्ट साइडमा सुनिएको छ र पोर्ट 80 मार्फत रिमोटसर्भरमा फर्वार्ड गरिएको छ। कृपया ध्यान दिनुहोस् कि 127.0.0.1 ले रिमोट सर्भरमा लोकलहोस्टलाई जनाउँछ!

पाइला माथि जाऔं। निम्न उदाहरणले स्थानीय नेटवर्कमा अन्य होस्टहरूसँग सुन्ने पोर्टहरू सञ्चार गर्दछ।

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

यी उदाहरणहरूमा हामी वेब सर्भरमा पोर्टमा जडान गर्दैछौं, तर यो प्रोक्सी सर्भर वा कुनै अन्य TCP सेवा हुन सक्छ।

3. तेस्रो-पक्ष होस्टमा SSH सुरुङ

हामी रिमोट सर्भरबाट तेस्रो प्रणालीमा चलिरहेको अर्को सेवामा सुरुङ जडान गर्न समान प्यारामिटरहरू प्रयोग गर्न सक्छौं।

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

यस उदाहरणमा, हामी रिमोट सर्भरबाट 10.10.10.10 मा चलिरहेको वेब सर्भरमा सुरुङ रिडिरेक्ट गर्दैछौं। रिमोट सर्भरबाट 10.10.10.10 सम्म ट्राफिक अब SSH सुरुङमा छैन। 10.10.10.10 मा वेब सर्भरले रिमोट सर्भरलाई वेब अनुरोधहरूको स्रोत मान्नेछ।

4. रिभर्स SSH सुरुङ

यहाँ हामी रिमोट सर्भरमा सुन्ने पोर्ट कन्फिगर गर्नेछौं जुन हाम्रो लोकलहोस्ट (वा अन्य प्रणाली) मा स्थानीय पोर्टमा जोडिनेछ।

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

यो SSH सत्रले हाम्रो स्थानीय ग्राहकमा पोर्ट 1999 मा रिमोटसर्भरमा पोर्ट 902 बाट जडान स्थापित गर्दछ।

5. SSH रिभर्स प्रोक्सी

यस अवस्थामा, हामी हाम्रो ssh जडानमा मोजा प्रोक्सी सेटअप गर्दैछौं, तर प्रोक्सीले सर्भरको रिमोट छेउमा सुनिरहेको छ। यस रिमोट प्रोक्सीमा जडानहरू अब हाम्रो लोकलहोस्टबाट ट्राफिकको रूपमा सुरुङबाट देखा पर्छन्।

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

टाढाको SSH टनेलहरूसँग समस्या निवारण

यदि तपाइँसँग रिमोट SSH विकल्पहरू काम गर्ने समस्याहरू छन् भने, जाँच गर्नुहोस् netstat, सुन्ने पोर्ट कुन अन्य इन्टरफेसहरूमा जोडिएको छ। यद्यपि हामीले उदाहरणहरूमा 0.0.0.0 संकेत गरेका छौं, तर यदि मान गेटवे पोर्टहरू в sshd_config मा सेट no, त्यसपछि श्रोता लोकलहोस्ट (१२७.०.०.१) मा मात्रै बाध्य हुनेछ।

सुरक्षा चेतावनी

कृपया ध्यान दिनुहोस् कि सुरुङहरू र मोजा प्रोक्सीहरू खोल्दा, आन्तरिक नेटवर्क स्रोतहरू अविश्वसनीय नेटवर्कहरू (जस्तै इन्टरनेट!) मा पहुँचयोग्य हुन सक्छ। यो एक गम्भीर सुरक्षा जोखिम हुन सक्छ, त्यसैले श्रोता के हो र तिनीहरूसँग के पहुँच छ भनेर तपाईंले बुझ्नुभएको कुरा सुनिश्चित गर्नुहोस्।

6. SSH मार्फत VPN स्थापना गर्दै

आक्रमण विधिहरू (पेन्टेस्टरहरू, आदि) मा विशेषज्ञहरू बीच एक सामान्य शब्द "सञ्जालमा एक फुलक्रम" हो। एकपटक एक प्रणालीमा जडान स्थापित भएपछि, त्यो प्रणाली नेटवर्कमा थप पहुँचको लागि गेटवे हुन्छ। एक फुलक्रम जसले तपाईंलाई चौडाइमा सार्न अनुमति दिन्छ।

यस्तो खुट्टाको लागि हामी एक SSH प्रोक्सी र प्रयोग गर्न सक्छौं proxychainsयद्यपि त्यहाँ केही सीमितताहरू छन्। उदाहरणका लागि, सकेटहरूसँग सीधा काम गर्न सम्भव छैन, त्यसैले हामी नेटवर्क भित्र पोर्टहरू स्क्यान गर्न सक्षम हुने छैनौं। Nmap SYN.

यो थप उन्नत VPN विकल्प प्रयोग गरेर, जडान कम भयो स्तर 3। हामी त्यसपछि मात्र मानक नेटवर्क रूटिङ प्रयोग गरेर सुरुङ मार्फत ट्राफिक मार्ग गर्न सक्छौं।

विधि प्रयोग गरिन्छ ssh, iptables, tun interfaces र रूटिङ।

पहिले तपाईंले यी प्यारामिटरहरू सेट गर्न आवश्यक छ sshd_config। हामी दुबै रिमोट र क्लाइन्ट प्रणालीहरूको इन्टरफेसमा परिवर्तन गर्दैछौं, हामी दुबै पक्षमा जरा अधिकार चाहिन्छ.

PermitRootLogin yes
PermitTunnel yes

त्यसपछि हामी प्यारामिटर प्रयोग गरेर ssh जडान स्थापना गर्नेछौं जसले ट्युन यन्त्रहरूको प्रारम्भिकता अनुरोध गर्दछ।

localhost:~# ssh -v -w any root@remoteserver

इन्टरफेसहरू देखाउँदा हामीसँग अब ट्युन यन्त्र हुनुपर्छ (# ip a)। अर्को चरणले टनेल इन्टरफेसहरूमा IP ठेगानाहरू थप्नेछ।

SSH ग्राहक पक्ष:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

SSH सर्भर साइड:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

अब हामीसँग अर्को होस्टको सीधा मार्ग छ (route -n и ping 10.10.10.10).

तपाइँ अर्को छेउमा होस्ट मार्फत कुनै पनि सबनेट रुट गर्न सक्नुहुन्छ।

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

रिमोट साइडमा तपाईंले सक्षम गर्नुपर्छ ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

बूम! नेटवर्क तह ३ मा SSH सुरुङमा VPN। अब त्यो विजय हो।

यदि कुनै समस्या देखा पर्यो भने, प्रयोग गर्नुहोस् tcpdump и pingकारण निर्धारण गर्न। हामी लेयर 3 मा खेलिरहेका हुनाले, हाम्रा icmp प्याकेटहरू यस सुरुङबाट जानेछन्।

7. SSH कुञ्जी प्रतिलिपि गर्नुहोस् (ssh-copy-id)

त्यहाँ यो गर्न धेरै तरिकाहरू छन्, तर यो आदेशले फाइलहरू म्यानुअल रूपमा प्रतिलिपि नगरी समय बचत गर्दछ। यसले तपाईको प्रणालीबाट ~/.ssh/id_rsa.pub (वा पूर्वनिर्धारित कुञ्जी) लाई सजिलै प्रतिलिपि गर्दछ ~/.ssh/authorized_keys रिमोट सर्भरमा।

localhost:~$ ssh-copy-id user@remoteserver

8. रिमोट आदेश कार्यान्वयन (गैर अन्तरक्रियात्मक)

टोली ssh साझा, प्रयोगकर्ता-अनुकूल इन्टरफेसको लागि अन्य आदेशहरूसँग लिङ्क गर्न सकिन्छ। केवल उद्धरणमा अन्तिम प्यारामिटरको रूपमा रिमोट होस्टमा चलाउन चाहनुभएको आदेश थप्नुहोस्।

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

यस उदाहरणमा grep लग ssh च्यानल मार्फत डाउनलोड गरिसकेपछि स्थानीय प्रणालीमा कार्यान्वयन गरियो। यदि फाइल ठूलो छ भने, यो चलाउन थप सुविधाजनक छ grep रिमोट साइडमा मात्र दुबै आदेशहरू डबल उद्धरणहरूमा संलग्न गरेर।

अर्को उदाहरणले जस्तै कार्य गर्दछ ssh-copy-id उदाहरण 7 बाट।

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. रिमोट प्याकेट क्याप्चर र Wireshark मा अवलोकन

मैले हाम्रो एउटा लिएँ tcpdump उदाहरणहरू। यसलाई टाढाबाट प्याकेटहरू खिच्न र स्थानीय Wireshark GUI मा परिणामहरू प्रदर्शन गर्न प्रयोग गर्नुहोस्।

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. SSH मार्फत रिमोट सर्भरमा स्थानीय फोल्डर प्रतिलिपि गर्दै

एक राम्रो चाल जसले फोल्डर प्रयोग गरेर कम्प्रेस गर्दछ bzip2 (यो आदेशमा -j विकल्प हो tar), र त्यसपछि स्ट्रिम पुन: प्राप्त गर्दछ bzip2 अर्को छेउमा, रिमोट सर्भरमा नक्कल फोल्डर सिर्जना गर्दै।

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. SSH X11 फर्वार्डिङको साथ रिमोट GUI अनुप्रयोगहरू

यदि X क्लाइन्ट र रिमोट सर्भरमा स्थापना गरिएको छ भने, तपाइँ टाढाबाट तपाइँको स्थानीय डेस्कटपमा सञ्झ्यालको साथ GUI आदेश कार्यान्वयन गर्न सक्नुहुन्छ। यो सुविधा लामो समय को लागी छ, तर अझै पनि धेरै उपयोगी छ। रिमोट वेब ब्राउजर वा VMWawre कार्यस्थान कन्सोल सुरु गर्नुहोस् जस्तै मैले यो उदाहरणमा गर्छु।

localhost:~$ ssh -X remoteserver vmware

आवश्यक स्ट्रिङ X11Forwarding yes फाइलमा sshd_config.

12. rsync र SSH प्रयोग गरेर रिमोट फाइल प्रतिलिपि गर्दै

rsync धेरै अधिक सुविधाजनक scp, यदि तपाईलाई डाइरेक्टरीको आवधिक ब्याकअप चाहिन्छ, फाइलहरूको ठूलो संख्या, वा धेरै ठूला फाइलहरू। त्यहाँ स्थानान्तरण विफलताबाट पुन: प्राप्ति गर्न र परिवर्तन गरिएका फाइलहरू मात्र प्रतिलिपि गर्ने प्रकार्य छ, जसले ट्राफिक र समय बचत गर्दछ।

यो उदाहरण कम्प्रेसन प्रयोग गर्दछ gzip (-z) र अभिलेख मोड (-a), जसले पुनरावर्ती प्रतिलिपि सक्षम गर्दछ।

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. टोर नेटवर्कमा SSH

बेनामी टोर नेटवर्कले आदेश प्रयोग गरेर SSH ट्राफिक टनेल गर्न सक्छ torsocks। निम्न आदेशले टोर मार्फत ssh प्रोक्सी पास गर्नेछ।

localhost:~$ torsocks ssh myuntracableuser@remoteserver

टर्सोक्स प्रोक्सीको लागि लोकलहोस्टमा पोर्ट 9050 प्रयोग गर्नेछ। सधैं जस्तै, टोर प्रयोग गर्दा तपाईले कुन ट्राफिक टनेल भइरहेको छ र अन्य परिचालन सुरक्षा (opsec) समस्याहरू गम्भीर रूपमा जाँच गर्न आवश्यक छ। तपाईंको DNS प्रश्नहरू कहाँ जान्छन्?

14. SSH देखि EC2 उदाहरण

EC2 उदाहरणमा जडान गर्न, तपाईंलाई निजी कुञ्जी चाहिन्छ। Amazon EC2 नियन्त्रण प्यानलबाट यसलाई (.pem विस्तार) डाउनलोड गर्नुहोस् र अनुमतिहरू परिवर्तन गर्नुहोस् (chmod 400 my-ec2-ssh-key.pem)। कुञ्जीलाई सुरक्षित ठाउँमा राख्नुहोस् वा आफ्नै फोल्डरमा राख्नुहोस् ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

परिमिति -i केवल ssh क्लाइन्टलाई यो कुञ्जी प्रयोग गर्न बताउँछ। फाइल ~/.ssh/config ec2 होस्टमा जडान गर्दा कुञ्जी प्रयोग स्वतः कन्फिगर गर्नको लागि आदर्श।

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. ssh/scp मार्फत VIM प्रयोग गरेर पाठ फाइलहरू सम्पादन गर्दै

सबै प्रेमीहरूको लागि vim यो टिपले केही समय बचत गर्नेछ। प्रयोग गरेर vim फाइलहरू एक आदेशको साथ scp मार्फत सम्पादन गरिन्छ। यस विधिले स्थानीय रूपमा फाइल सिर्जना गर्दछ /tmpर त्यसपछि हामीले यसलाई सुरक्षित गरेपछि यसलाई फिर्ता प्रतिलिपि बनाउँछ vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

नोट: ढाँचा सामान्य भन्दा अलि फरक छ scp। आयोजक पछि हामीसँग दोहोरो छ //। यो एक निरपेक्ष मार्ग सन्दर्भ हो। एक स्ल्याशले तपाईंको गृह फोल्डरसँग सम्बन्धित मार्ग संकेत गर्दछ users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

यदि तपाइँ यो त्रुटि देख्नुहुन्छ भने, आदेश ढाँचा डबल जाँच गर्नुहोस्। यो सामान्यतया वाक्यविन्यास त्रुटि को अर्थ हो।

16. SSHFS सँग स्थानीय फोल्डरको रूपमा टाढाको SSH माउन्ट गर्दै

सहयोगको साथ sshfs - फाइल प्रणाली ग्राहक ssh - हामी एक ईन्क्रिप्टेड सत्र मा सबै फाइल अन्तरक्रिया संग एक टाढाको स्थान मा एक स्थानीय डाइरेक्टरी जडान गर्न सक्नुहुन्छ ssh.

localhost:~$ apt install sshfs

Ubuntu र Debian मा प्याकेज स्थापना गर्नुहोस् sshfs, र त्यसपछि मात्र हाम्रो प्रणालीमा टाढाको स्थान माउन्ट गर्नुहोस्।

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. ControlPath संग SSH मल्टिप्लेक्सिङ

पूर्वनिर्धारित रूपमा, यदि त्यहाँ रिमोट सर्भर प्रयोग गरेर अवस्थित जडान छ ssh दोस्रो जडान प्रयोग गर्दै ssh वा scp थप प्रमाणीकरणको साथ नयाँ सत्र स्थापना गर्दछ। विकल्प ControlPath सबै पछिको जडानहरूको लागि अवस्थित सत्र प्रयोग गर्न अनुमति दिन्छ। यसले महत्त्वपूर्ण रूपमा प्रक्रियालाई गति दिनेछ: प्रभाव स्थानीय नेटवर्कमा पनि उल्लेखनीय छ, र टाढाको स्रोतहरूमा जडान गर्दा अझ बढी।

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ControlPath ले सकेट निर्दिष्ट गर्दछ नयाँ जडानहरू जाँच गर्नको लागि यदि त्यहाँ सक्रिय सत्र छ भने ssh। अन्तिम विकल्पको अर्थ हो कि तपाइँ कन्सोलबाट बाहिर निस्किसके पछि पनि, अवस्थित सत्र 10 मिनेटको लागि खुला रहनेछ, त्यसैले यस समयमा तपाइँ अवस्थित सकेटमा पुन: जडान गर्न सक्नुहुन्छ। थप जानकारीको लागि, मद्दत हेर्नुहोस्। ssh_config man.

18. VLC र SFTP प्रयोग गरेर SSH मा भिडियो स्ट्रिम गर्नुहोस्

लामो समयका प्रयोगकर्ताहरू पनि ssh и vlc (भिडियो ल्यान क्लाइन्ट) सधैं यो सुविधाजनक विकल्पको बारेमा सचेत हुँदैन जब तपाईलाई नेटवर्कमा भिडियो हेर्न आवश्यक हुन्छ। सेटिङहरूमा फाइल | नेटवर्क स्ट्रिम खोल्नुहोस् कार्यक्रम vlc को रूपमा स्थान प्रविष्ट गर्न सक्नुहुन्छ sftp://। यदि पासवर्ड आवश्यक छ भने, एक प्रम्प्ट देखा पर्नेछ।

sftp://remoteserver//media/uploads/myvideo.mkv

19. दुई-कारक प्रमाणीकरण

तपाईंको बैंक खाता वा Google खाताको रूपमा समान दुई-कारक प्रमाणीकरण SSH सेवामा लागू हुन्छ।

निस्सन्देह, ssh सुरुमा दुई-कारक प्रमाणीकरण प्रकार्य छ, जसको अर्थ पासवर्ड र SSH कुञ्जी हो। हार्डवेयर टोकन वा Google प्रमाणक एपको फाइदा भनेको यो सामान्यतया फरक भौतिक यन्त्र हो।

हाम्रो 8-मिनेट गाइड हेर्नुहोस् Google Authenticator र SSH प्रयोग गर्दै.

20. ssh र -J सँग जम्पिङ होस्टहरू

यदि सञ्जाल विभाजनको अर्थ तपाईंले अन्तिम गन्तव्य नेटवर्कमा पुग्न धेरै ssh होस्टहरू मार्फत हप गर्नुपर्छ भने, -J सर्टकटले तपाईंको समय बचत गर्नेछ।

localhost:~$ ssh -J host1,host2,host3 [email protected]

यहाँ बुझ्नको लागि मुख्य कुरा यो आदेश जस्तै होइन ssh host1त्यसो भए user@host1:~$ ssh host2 आदि। -J विकल्पले चलाखीपूर्वक लोकलहोस्टलाई चेनमा अर्को होस्टसँग सत्र स्थापना गर्न बाध्य पार्न फर्वार्डिङ प्रयोग गर्दछ। त्यसैले माथिको उदाहरणमा, हाम्रो लोकलहोस्ट host4 मा प्रमाणिकरण गरिएको छ। त्यो हो, हाम्रो लोकलहोस्ट कुञ्जीहरू प्रयोग गरिन्छ, र लोकलहोस्टबाट host4 सम्मको सत्र पूर्ण रूपमा इन्क्रिप्ट गरिएको छ।

यस्तो सम्भावनाका लागि मा ssh_config कन्फिगरेसन विकल्प निर्दिष्ट गर्नुहोस् प्रोक्सी जम्प। यदि तपाइँ नियमित रूपमा धेरै होस्टहरू मार्फत जानुपर्छ भने, कन्फिगरेसन मार्फत स्वचालनले धेरै समय बचत गर्नेछ।

21. iptables प्रयोग गरेर SSH ब्रूट फोर्स प्रयासहरू रोक्नुहोस्

जो कोहीले SSH सेवा प्रबन्धित गरेको छ र लगहरू हेरेको छ उसलाई हरेक दिनको हरेक घण्टा हुने क्रूर बल प्रयासहरूको संख्या बारे थाहा छ। लगहरूमा आवाज कम गर्ने द्रुत तरिका भनेको SSH लाई गैर-मानक पोर्टमा सार्नु हो। फाइलमा परिवर्तन गर्नुहोस् sshd_config कन्फिगरेसन प्यारामिटर मार्फत पोर्ट##.

सहयोगको साथ iptables तपाईले निश्चित थ्रेसहोल्डमा पुग्दा पोर्टमा जडान गर्ने प्रयासहरूलाई सजिलै रोक्न सक्नुहुन्छ। यो गर्न को लागी एक सजिलो तरीका प्रयोग गर्न को लागी छ OSSEC, किनभने यसले SSH लाई मात्र रोक्दैन, तर अन्य होस्टनाम-आधारित घुसपैठ पत्ता लगाउने (HIDS) उपायहरूको गुच्छा गर्दछ।

22. पोर्ट फर्वार्डिङ परिवर्तन गर्न SSH एस्केप

र हाम्रो अन्तिम उदाहरण ssh अवस्थित सत्र भित्र उडानमा पोर्ट फर्वार्डिङ परिवर्तन गर्न डिजाइन गरिएको ssh। यो परिदृश्य कल्पना गर्नुहोस्। तपाईं नेटवर्कमा गहिरो हुनुहुन्छ; हुनसक्छ आधा दर्जन भन्दा बढी होस्टहरू हटाइएको छ र वर्कस्टेशनमा स्थानीय पोर्ट चाहिन्छ जुन पुरानो Windows 2003 प्रणालीको Microsoft SMB मा फर्वार्ड गरिएको छ (कसैलाई याद छ ms08-67?)।

क्लिक गर्दै enter, कन्सोलमा प्रवेश गर्ने प्रयास गर्नुहोस् ~C। यो एक सत्र नियन्त्रण अनुक्रम हो जसले अवस्थित जडानमा परिवर्तन गर्न अनुमति दिन्छ।

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

यहाँ तपाईंले देख्न सक्नुहुन्छ कि हामीले हाम्रो स्थानीय पोर्ट 1445 लाई Windows 2003 होस्टमा फर्वार्ड गरेका छौं जुन हामीले आन्तरिक नेटवर्कमा फेला पारेका छौं। अब मात्र दौडनुहोस् msfconsole, र तपाईं अगाडि बढ्न सक्नुहुन्छ (यस होस्ट प्रयोग गर्ने योजना बनाएर)।

समाप्ति

यी उदाहरणहरू, सुझावहरू र आदेशहरू ssh सुरूवात बिन्दु दिनु पर्छ; प्रत्येक आदेश र क्षमताहरूको बारेमा थप जानकारी म्यान पृष्ठहरूमा उपलब्ध छ (man ssh, man ssh_config, man sshd_config).

म जहिले पनि प्रणालीहरू पहुँच गर्ने र संसारको कुनै पनि ठाउँमा आदेशहरू कार्यान्वयन गर्ने क्षमताबाट मोहित भएको छु। जस्तै उपकरणहरु संग आफ्नो कौशल विकास गरेर ssh तपाईले खेल्नु भएको कुनै पनि खेलमा तपाई अझ प्रभावकारी हुनुहुनेछ।

स्रोत: www.habr.com

व्यावहारिक सुझावहरू, उदाहरणहरू र SSH टनेलहरू