Praktični primeri , ki bo vaše veščine oddaljenega sistemskega skrbnika dvignil na novo raven. Ukazi in nasveti bodo pomagali ne le pri uporabi SSH, ampak tudi bolj kompetentno krmarite po omrežju.
Poznavanje nekaj trikov ssh uporaben za vsakega sistemskega skrbnika, omrežnega inženirja ali strokovnjaka za varnost.
Praktični primeri SSH
Najprej osnove
Razčlenjevanje ukazne vrstice SSH
Naslednji primer uporablja pogoste parametre, ki jih pogosto srečamo pri povezovanju z oddaljenim strežnikom SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Izhodni podatki za odpravljanje napak so še posebej uporabni pri analizi težav pri preverjanju pristnosti. Lahko se uporabi večkrat za prikaz dodatnih informacij.- p 22: priključna vrata na oddaljeni strežnik SSH. 22 ni treba podati, ker je to privzeta vrednost, če pa je protokol na drugih vratih, ga določimo s parametrom-p. Prisluškovalna vrata so navedena v datotekisshd_configv formatuPort 2222.-C: Stiskanje za povezavo. Če imate počasno povezavo ali gledate veliko besedila, lahko to pospeši povezavo.neo@: Vrstica pred simbolom @ označuje uporabniško ime za preverjanje pristnosti na oddaljenem strežniku. Če ga ne določite, bo privzeto uporabniško ime računa, v katerega ste trenutno prijavljeni (~$whoami). Uporabnika lahko določite tudi s parametrom-l.remoteserver: ime gostitelja za povezavossh, je to lahko popolnoma kvalificirano ime domene, naslov IP ali kateri koli gostitelj v datoteki lokalnih gostiteljev. Če se želite povezati z gostiteljem, ki podpira IPv4 in IPv6, lahko dodate parameter v ukazno vrstico-4ali-6za pravilno resolucijo.
Vsi zgornji parametri so neobvezni, razen remoteserver.
Uporaba konfiguracijske datoteke
Čeprav mnogi poznajo datoteko sshd_config, obstaja tudi konfiguracijska datoteka odjemalca za ukaz ssh. Privzeta vrednost ~/.ssh/config, vendar ga je mogoče definirati kot parameter za možnost -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyV zgornji konfiguracijski datoteki ssh sta dva vnosa gostitelja. Prvi pomeni vse gostitelje, vsi uporabljajo konfiguracijski parameter Port 2222. Drugi pravi, da za gostitelja oddaljeni strežnik uporabiti je treba drugo uporabniško ime, vrata, FQDN in IdentityFile.
Konfiguracijska datoteka lahko prihrani veliko časa pri tipkanju, saj omogoča samodejno uporabo napredne konfiguracije pri povezovanju z določenimi gostitelji.
Kopiranje datotek preko SSH z uporabo SCP
Odjemalec SSH ima še dve zelo priročni orodji za kopiranje datotek šifrirana ssh povezava. Spodaj si oglejte primer standardne uporabe ukazov scp in sftp. Upoštevajte, da številne možnosti ssh veljajo tudi za te ukaze.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngV tem primeru datoteka mypic.png kopirano v oddaljeni strežnik v mapo /mediji/podatki in preimenovan v mypic_2.png.
Ne pozabite na razliko v parametru vrat. Tu se veliko ljudi ujame, ko lansirajo scp iz ukazne vrstice. Tukaj je parameter vrat -PIn ne -p, tako kot v odjemalcu ssh! Pozabili boste, a ne skrbite, vsi pozabijo.
Za tiste, ki poznate konzolo ftp, je veliko ukazov podobnih v sftp. Lahko storite potisnite, dal и lskakor srce poželi.
sftp neo@remoteserverPraktični primeri
V mnogih od teh primerov je mogoče rezultate doseči z različnimi metodami. Kot pri vseh naših in primeri, prednost imajo praktični primeri, ki preprosto opravijo svoje delo.
1. SSH socks proxy
Funkcija SSH Proxy je številka 1 z dobrim razlogom. Je močnejši, kot si mnogi mislijo, in vam omogoča dostop do katerega koli sistema, do katerega ima dostop oddaljeni strežnik, z uporabo skoraj katere koli aplikacije. Odjemalec ssh lahko tunelira promet prek proxyja SOCKS z enim preprostim ukazom. Pomembno je razumeti, da bo promet do oddaljenih sistemov prišel z oddaljenega strežnika, kar bo navedeno v dnevnikih spletnega strežnika.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshTukaj izvajamo proxy socks na vratih TCP 8888, drugi ukaz preveri, ali so vrata aktivna v načinu poslušanja. 127.0.0.1 označuje, da se storitev izvaja samo na lokalnem gostitelju. Uporabimo lahko nekoliko drugačen ukaz za poslušanje na vseh vmesnikih, vključno z ethernetom ali wifi, kar bo drugim aplikacijam (brskalnikom itd.) v našem omrežju omogočilo povezavo s storitvijo proxy prek proxyja ssh socks.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverZdaj lahko konfiguriramo brskalnik za povezavo s proxyjem socks. V Firefoxu izberite Nastavitve | Osnovno | Omrežne nastavitve. Določite naslov IP in vrata za povezavo.
Upoštevajte možnost na dnu obrazca, da tudi zahteve DNS vašega brskalnika potekajo prek posrednika SOCKS. Če za šifriranje spletnega prometa v lokalnem omrežju uporabljate strežnik proxy, boste verjetno želeli izbrati to možnost, da bodo zahteve DNS tunelirane prek povezave SSH.
Aktiviranje socks proxyja v Chromu
Zagon Chroma z določenimi parametri ukazne vrstice bo omogočil proxy socks in tuneliranje zahtev DNS iz brskalnika. Zaupajte, vendar preverite. Uporaba da preverite, ali poizvedbe DNS niso več vidne.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Uporaba drugih aplikacij s proxyjem
Ne pozabite, da lahko številne druge aplikacije uporabljajo tudi socks proxy. Spletni brskalnik je preprosto najbolj priljubljen med vsemi. Nekatere aplikacije imajo konfiguracijske možnosti za omogočanje strežnika proxy. Drugi potrebujejo malo pomoči s pomožnim programom. na primer vam omogoča zagon prek proxyja socks Microsoft RDP itd.
localhost:~$ proxychains rdesktop $RemoteWindowsServerKonfiguracijski parametri proxyja Socks so nastavljeni v konfiguracijski datoteki proxychains.
Namig: če uporabljate oddaljeno namizje iz Linuxa v sistemu Windows? Preizkusite stranko . To je bolj sodobna izvedba kot
rdesktop, z veliko bolj gladko izkušnjo.
Možnost uporabe SSH prek socks proxyja
Sedite v kavarni ali hotelu - in ste prisiljeni uporabljati precej nezanesljiv WiFi. Ssh proxy zaženemo lokalno iz prenosnika in namestimo ssh tunel v domače omrežje na lokalni Rasberry Pi. Z uporabo brskalnika ali drugih aplikacij, konfiguriranih za socks proxy, lahko dostopamo do katere koli omrežne storitve v našem domačem omrežju ali dostopamo do interneta prek domače povezave. Vse med vašim prenosnikom in domačim strežnikom (prek Wi-Fi in interneta do vašega doma) je šifrirano v tunelu SSH.
2. SSH tunel (posredovanje vrat)
V svoji najpreprostejši obliki tunel SSH preprosto odpre vrata v vašem lokalnem sistemu, ki se povežejo z drugimi vrati na drugem koncu predora.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Poglejmo parameter -L. Lahko si ga predstavljamo kot lokalno stran poslušanja. Torej v zgornjem primeru vrata 9999 poslušajo na strani lokalnega gostitelja in posredujejo prek vrat 80 oddaljenemu strežniku. Upoštevajte, da se 127.0.0.1 nanaša na lokalnega gostitelja na oddaljenem strežniku!
Pojdimo stopničko navzgor. Naslednji primer komunicira poslušajoča vrata z drugimi gostitelji v lokalnem omrežju.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverV teh primerih se povezujemo z vrati na spletnem strežniku, vendar je to lahko strežnik proxy ali katera koli druga storitev TCP.
3. Tunel SSH do gostitelja tretje osebe
Iste parametre lahko uporabimo za povezavo tunela z oddaljenega strežnika na drugo storitev, ki se izvaja v tretjem sistemu.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverV tem primeru preusmerjamo tunel z oddaljenega strežnika na spletni strežnik, ki se izvaja na 10.10.10.10. Promet od oddaljenega strežnika do 10.10.10.10 ni več v tunelu SSH. Spletni strežnik na 10.10.10.10 bo obravnaval oddaljeni strežnik kot vir spletnih zahtev.
4. Povratni tunel SSH
Tukaj bomo konfigurirali vrata za poslušanje na oddaljenem strežniku, ki se bo povezala nazaj z lokalnimi vrati na našem lokalnem gostitelju (ali drugem sistemu).
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverTa seja SSH vzpostavi povezavo od vrat 1999 na oddaljenem strežniku do vrat 902 na našem lokalnem odjemalcu.
5. Povratni proxy SSH
V tem primeru nastavljamo socks proxy na naši povezavi ssh, vendar proxy posluša na oddaljenem koncu strežnika. Povezave s tem oddaljenim proxyjem so zdaj prikazane iz tunela kot promet z našega lokalnega gostitelja.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverOdpravljanje težav z oddaljenimi tuneli SSH
Če imate težave z delovanjem oddaljenih možnosti SSH, preverite pri netstat, na katere druge vmesnike so priključena vrata za poslušanje. Čeprav smo v primerih navedli 0.0.0.0, vendar če je vrednost GatewayPorts в sshd_config nastavljena št, potem bo poslušalec vezan samo na lokalnega gostitelja (127.0.0.1).
Varnostno opozorilo
Upoštevajte, da so lahko z odpiranjem tunelov in socks proxy viri notranjega omrežja dostopni omrežjem, ki jim ne zaupate (kot je internet!). To je lahko resno varnostno tveganje, zato se prepričajte, da razumete, kaj je poslušalec in do česa ima dostop.
6. Namestitev VPN prek SSH
Pogost izraz med strokovnjaki za napadalne metode (pentesterji itd.) je »oporišče v omrežju«. Ko je povezava vzpostavljena na enem sistemu, postane ta sistem prehod za nadaljnji dostop do omrežja. Oporna točka, ki omogoča premikanje v širino.
Za takšno oporo lahko uporabimo SSH proxy in posredniške verige, vendar obstajajo nekatere omejitve. Na primer, ne bo mogoče neposredno delati z vtičnicami, zato ne bomo mogli skenirati vrat v omrežju prek SYN.
Z uporabo te naprednejše možnosti VPN se povezava zmanjša na stopnja 3. Nato lahko preprosto usmerimo promet skozi tunel s standardnim omrežnim usmerjanjem.
Metoda uporablja ssh, iptables, tun interfaces in usmerjanje.
Najprej morate nastaviti te parametre sshd_config. Ker spreminjamo vmesnike oddaljenega in odjemalskega sistema, smo potrebujete korenske pravice na obeh straneh.
PermitRootLogin yes
PermitTunnel yesNato bomo vzpostavili povezavo ssh s parametrom, ki zahteva inicializacijo naprav tun.
localhost:~# ssh -v -w any root@remoteserver
Zdaj bi morali imeti napravo za uravnavanje pri prikazovanju vmesnikov (# ip a). Naslednji korak bo vmesnikom tunela dodal naslove IP.
Stran odjemalca SSH:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upStran strežnika SSH:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Zdaj imamo neposredno pot do drugega gostitelja (route -n и ping 10.10.10.10).
Katero koli podomrežje lahko usmerite skozi gostitelja na drugi strani.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Na oddaljeni strani morate omogočiti ip_forward и iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBoom! VPN prek tunela SSH na omrežni plasti 3. Zdaj je to zmaga.
Če pride do težav, uporabite и pingugotoviti vzrok. Ker igramo na ravni 3, bodo šli naši paketi icmp skozi ta tunel.
7. Kopirajte ključ SSH (ssh-copy-id)
To lahko storite na več načinov, vendar ta ukaz prihrani čas, saj datotek ne kopirate ročno. Preprosto prekopira ~/.ssh/id_rsa.pub (ali privzeti ključ) iz vašega sistema v ~/.ssh/authorized_keys na oddaljenem strežniku.
localhost:~$ ssh-copy-id user@remoteserver
8. Oddaljeno izvajanje ukazov (neinteraktivno)
ekipa ssh Lahko se poveže z drugimi ukazi za skupen, uporabniku prijazen vmesnik. Samo dodajte ukaz, ki ga želite zagnati na oddaljenem gostitelju, kot zadnji parameter v narekovajih.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
V tem primeru grep se izvede v lokalnem sistemu po prenosu dnevnika prek kanala ssh. Če je datoteka velika, jo je bolj priročno zagnati grep na oddaljeni strani tako, da oba ukaza preprosto stavite v dvojne narekovaje.
Drug primer opravlja isto funkcijo kot ssh-copy-id iz primera 7.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Oddaljeni zajem paketov in ogled v Wiresharku
Vzel sem enega od naših . Uporabite ga za daljinsko zajemanje paketov in prikaz rezultatov neposredno v lokalnem GUI Wireshark.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Kopiranje lokalne mape na oddaljeni strežnik prek SSH
Lep trik, ki stisne mapo z uporabo bzip2 (to je možnost -j v ukazu tar), nato pa pridobi tok bzip2 na drugi strani, ustvarjanje podvojene mape na oddaljenem strežniku.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Oddaljene aplikacije GUI s posredovanjem SSH X11
Če je X nameščen na odjemalcu in oddaljenem strežniku, lahko na daljavo izvedete ukaz GUI z oknom na lokalnem namizju. Ta funkcija obstaja že dolgo, vendar je še vedno zelo uporabna. Zaženite oddaljeni spletni brskalnik ali celo konzolo VMWawre Workstation, kot to počnem jaz v tem primeru.
localhost:~$ ssh -X remoteserver vmware
Obvezen niz X11Forwarding yes v datoteki sshd_config.
12. Oddaljeno kopiranje datotek z uporabo rsync in SSH
rsync veliko bolj priročno scp, če potrebujete redne varnostne kopije imenika, velikega števila datotek ali zelo velikih datotek. Obstaja funkcija za obnovitev po neuspešnem prenosu in kopiranje samo spremenjenih datotek, kar prihrani promet in čas.
Ta primer uporablja stiskanje gzip (-z) in način arhiviranja (-a), ki omogoča rekurzivno kopiranje.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH prek omrežja Tor
Anonimno omrežje Tor lahko tunelira promet SSH z ukazom torsocks. Naslednji ukaz bo posredoval ssh proxy skozi Tor.
localhost:~$ torsocks ssh myuntracableuser@remoteserverbo za proxy uporabil vrata 9050 na lokalnem gostitelju. Kot vedno, ko uporabljate Tor, morate resno preveriti, kateri promet se tunelira, in druge težave z operativno varnostjo (opsec). Kam gredo vaše poizvedbe DNS?
14. SSH v primerek EC2
Za povezavo z instanco EC2 potrebujete zasebni ključ. Prenesite ga (.pem razširitev) z nadzorne plošče Amazon EC2 in spremenite dovoljenja (chmod 400 my-ec2-ssh-key.pem). Ključ hranite na varnem mestu ali ga shranite v svojo mapo ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
Parameter -i preprosto sporoči odjemalcu ssh, naj uporabi ta ključ. mapa ~/.ssh/config Idealno za samodejno konfiguriranje uporabe ključa pri povezovanju z gostiteljem ec2.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Urejanje besedilnih datotek z uporabo VIM prek ssh/scp
Za vse ljubitelje vim Ta nasvet bo prihranil nekaj časa. Z uporabo vim datoteke se urejajo prek scp z enim ukazom. Ta metoda preprosto ustvari datoteko lokalno v /tmpin ga nato kopira nazaj, ko smo ga shranili iz vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Opomba: oblika se nekoliko razlikuje od običajne scp. Po gostitelju imamo dvojno //. To je absolutna referenca poti. Ena poševnica bo označevala pot glede na vašo domačo mapo users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Če vidite to napako, še enkrat preverite obliko ukaza. To običajno pomeni sintaktično napako.
16. Namestitev oddaljenega SSH kot lokalne mape s SSHFS
S sshfs - odjemalec datotečnega sistema ssh - lokalni imenik lahko povežemo z oddaljeno lokacijo z vsemi interakcijami datotek v šifrirani seji ssh.
localhost:~$ apt install sshfs
Namestite paket na Ubuntu in Debian sshfs, nato pa preprosto namestite oddaljeno lokacijo v naš sistem.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. Multipleksiranje SSH s ControlPath
Privzeto, če obstaja obstoječa povezava z oddaljenim strežnikom, ki uporablja ssh uporaba druge povezave ssh ali scp vzpostavi novo sejo z dodatno avtentikacijo. Možnost ControlPath omogoča uporabo obstoječe seje za vse naslednje povezave. To bo znatno pospešilo proces: učinek je opazen tudi v lokalnem omrežju, še bolj pa pri povezovanju z oddaljenimi viri.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath določa vtičnico za preverjanje novih povezav, da se vidi, ali obstaja aktivna seja ssh. Zadnja možnost pomeni, da tudi po izhodu iz konzole obstoječa seja ostane odprta 10 minut, tako da se lahko v tem času znova povežete na obstoječo vtičnico. Za več informacij si oglejte pomoč. ssh_config man.
18. Pretakajte video prek SSH z uporabo VLC in SFTP
Tudi dolgoletni uporabniki ssh и vlc (Video Lan Client) se ne zavedajo vedno te priročne možnosti, ko si resnično morate ogledati video prek omrežja. V nastavitvah Datoteka | Odprite Network Stream programi vlc lokacijo lahko vnesete kot sftp://. Če je potrebno geslo, se prikaže poziv.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Dvofaktorska avtentikacija
Za storitev SSH velja ista dvostopenjska avtentikacija kot vaš bančni račun ali Google račun.
Seveda, ssh na začetku ima funkcijo dvostopenjske avtentikacije, kar pomeni geslo in SSH ključ. Prednost žetona strojne opreme ali aplikacije Google Authenticator je, da gre običajno za drugo fizično napravo.
Oglejte si naš 8-minutni vodnik za .
20. Preskakovanje gostiteljev s ssh in -J
Če segmentacija omrežja pomeni, da morate skakati skozi več gostiteljev ssh, da pridete do končnega ciljnega omrežja, vam bo bližnjica -J prihranila čas.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Glavna stvar, ki jo morate razumeti, je, da to ni isto kot ukaz ssh host1, potem user@host1:~$ ssh host2 itd. Možnost -J spretno uporablja posredovanje, da prisili lokalnega gostitelja, da vzpostavi sejo z naslednjim gostiteljem v verigi. Torej je v zgornjem primeru naš lokalni gostitelj overjen za host4. To pomeni, da se uporabljajo naši ključi lokalnega gostitelja in seja od lokalnega gostitelja do gostitelja4 je popolnoma šifrirana.
Za takšno možnost v ssh_config določite konfiguracijsko možnost ProxyJump. Če morate redno iti skozi več gostiteljev, bo avtomatizacija prek konfiguracije prihranila veliko časa.
21. Blokirajte poskuse surove sile SSH z uporabo iptables
Vsakdo, ki je upravljal storitev SSH in si ogledal dnevnike, ve o številu poskusov brutalne uporabe, ki se zgodijo vsako uro vsak dan. Hiter način za zmanjšanje šuma v dnevnikih je premik SSH na nestandardna vrata. Spremenite datoteko sshd_config prek konfiguracijskega parametra vrata ##.
Z iptables Prav tako lahko preprosto blokirate poskuse povezave z vrati, ko dosežete določen prag. Enostaven način za to je uporaba , ker ne le blokira SSH, ampak izvede kup drugih ukrepov za zaznavanje vdorov na podlagi imena gostitelja (HIDS).
22. SSH Escape za spremembo posredovanja vrat
In naš zadnji primer ssh zasnovan za sprotno spreminjanje posredovanja vrat znotraj obstoječe seje ssh. Predstavljajte si ta scenarij. Ste globoko v mreži; morda skočil čez pol ducata gostiteljev in potreboval lokalna vrata na delovni postaji, ki so posredovana Microsoftovemu SMB starega sistema Windows 2003 (se kdo spomni ms08-67?).
Klikanje enter, poskusite vnesti v konzolo ~C. To je zaporedje nadzora seje, ki omogoča spreminjanje obstoječe povezave.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Tukaj lahko vidite, da smo naša lokalna vrata 1445 posredovali gostitelju Windows 2003, ki smo ga našli v notranjem omrežju. Zdaj pa samo teci msfconsole, in lahko nadaljujete (ob predpostavki, da nameravate uporabiti tega gostitelja).
Zaključek
Ti primeri, nasveti in ukazi ssh dati izhodišče; Več informacij o vsakem od ukazov in zmožnosti je na voljo na straneh z navodili (man ssh, man ssh_config, man sshd_config).
Vedno me je fascinirala možnost dostopa do sistemov in izvajanja ukazov kjer koli na svetu. Z razvijanjem svojih sposobnosti z orodji, kot je ssh postali boste učinkovitejši v vsaki igri, ki jo igrate.
Vir: www.habr.com