Praktični primeri ССХ, што ће ваше вештине као администратора удаљеног система подићи на нови ниво. Команде и савети ће помоћи не само у употреби SSH, али и компетентније се кретати мрежом.

Знајући неколико трикова ssh корисно за сваког администратора система, мрежног инжењера или стручњака за безбедност.

Практични ССХ примери

1. ССХ соцкс проки
2. ССХ тунел (прослеђивање порта)
3. ССХ тунел до трећег хоста
4. Обрнути ССХ тунел
5. ССХ обрнути прокси
6. Инсталирање ВПН-а преко ССХ-а
7. Копирање ССХ кључа (ссх-цопи-ид)
8. Даљинско извршавање команде (неинтерактивно)
9. Даљинско снимање и преглед пакета у Виресхарку
10. Копирање локалне фасцикле на удаљени сервер преко ССХ-а
11. Удаљене ГУИ апликације са ССХ Кс11 прослеђивањем
12. Даљинско копирање датотека помоћу рсинц и ССХ
13. ССХ преко Тор мреже
14. ССХ на ЕЦ2 инстанцу
15. Уређивање текстуалних датотека користећи ВИМ преко ссх/сцп
16. Монтирајте удаљени ССХ као локалну фасциклу са ССХФС
17. Мултиплексирање ССХ са ЦонтролПатх-ом
18. Стримујте видео преко ССХ користећи ВЛЦ и СФТП
19. Двофакторска аутентификација
20. Скакање домаћина са ССХ и -Ј
21. Блокирање покушаја ССХ грубе силе коришћењем иптаблес-а
22. ССХ Есцапе да бисте променили прослеђивање портова

Прво основе

Рашчлањивање ССХ командне линије

Следећи пример користи уобичајене параметре који се често срећу приликом повезивања на удаљени сервер SSH.

localhost:~$ ssh -v -p 22 -C neo@remoteserver

• -v: Излаз за отклањање грешака је посебно користан када се анализирају проблеми са аутентификацијом. Може се користити више пута за приказ додатних информација.
• - p 22: прикључни порт на удаљени ССХ сервер. 22 не мора да се наводи, јер је ово подразумевана вредност, али ако је протокол на неком другом порту, онда га наведемо помоћу параметра -p. Порт за слушање је наведен у датотеци sshd_config у формату Port 2222.
• -C: Компресија за повезивање. Ако имате спору везу или гледате много текста, ово може убрзати везу.
• neo@: Ред испред симбола @ означава корисничко име за аутентификацију на удаљеном серверу. Ако га не наведете, подразумевано ће бити корисничко име налога на који сте тренутно пријављени (~$вхоами). Корисник се такође може одредити помоћу параметра -l.
• remoteserver: име хоста на који се треба повезати ssh, ово може бити потпуно квалификовано име домена, ИП адреса или било који хост у датотеци локалних хостова. Да бисте се повезали са хостом који подржава и ИПв4 и ИПв6, можете додати параметар у командну линију -4 или -6 за правилно решење.

Сви горе наведени параметри су опциони осим remoteserver.

Коришћење конфигурационе датотеке

Иако су многи упознати са фајлом sshd_config, постоји и конфигурациона датотека клијента за команду ssh. Задана вриједност ~/.ssh/config, али се може дефинисати као параметар за опцију -F.

Host *
     Port 2222

Host remoteserver
     HostName remoteserver.thematrix.io
     User neo
     Port 2112
     IdentityFile /home/test/.ssh/remoteserver.private_key

Постоје два уноса хоста у примеру ссх конфигурационе датотеке изнад. Први означава све хостове, који користе конфигурациони параметар порта 2222. Други каже да за хост удаљени сервер треба користити другачије корисничко име, порт, ФКДН и ИдентитиФиле.

Конфигурациона датотека може да уштеди много времена за куцање омогућавајући да се напредна конфигурација аутоматски примени приликом повезивања са одређеним хостовима.

Копирање датотека преко ССХ-а користећи СЦП

ССХ клијент долази са још два врло згодна алата за копирање датотека шифрована ссх веза. У наставку погледајте пример стандардне употребе сцп и сфтп команди. Имајте на уму да се многе ссх опције примењују и на ове команде.

localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.png

У овом примеру датотека мипиц.пнг копирано на удаљени сервер у фасциклу /медиа/дата и преименован у мипиц_2.пнг.

Не заборавите на разлику у параметру порта. Ово је место где се многи људи ухвате када лансирају scp из командне линије. Ево параметра порта -PИ не -p, баш као у ссх клијенту! Заборавићете, али не брините, сви заборављају.

За оне који су упознати са конзолом ftp, многе команде су сличне у sftp... Можете да урадите гурати, ставити и lsкако срце жели.

sftp neo@remoteserver

Praktični primeri

У многим од ових примера, резултати се могу постићи коришћењем различитих метода. Као и у свим нашим уџбеници и примери, предност се даје практичним примерима који једноставно раде свој посао.

1. ССХ соцкс проки

Функција ССХ проксија је број 1 из доброг разлога. Моћнији је него што многи схватају и даје вам приступ било ком систему коме удаљени сервер има приступ, користећи практично било коју апликацију. Ссх клијент може да тунелира саобраћај кроз СОЦКС проки помоћу једне једноставне команде. Важно је разумети да ће саобраћај ка удаљеним системима долазити са удаљеног сервера, што ће бити назначено у евиденцији веб сервера.

localhost:~$ ssh -D 8888 user@remoteserver

localhost:~$ netstat -pan | grep 8888
tcp        0      0 127.0.0.1:8888       0.0.0.0:*               LISTEN      23880/ssh

Овде покрећемо соцкс проки на ТЦП порту 8888, друга команда проверава да ли је порт активан у режиму слушања. 127.0.0.1 означава да услуга ради само на локалном хосту. Можемо да користимо мало другачију команду за слушање на свим интерфејсима, укључујући етернет или вифи, што ће омогућити другим апликацијама (прегледачима, итд.) на нашој мрежи да се повежу са прокси услугом преко ссх соцкс проксија.

localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserver

Сада можемо да конфигуришемо прегледач да се повеже на соцкс проки. У Фирефок-у изаберите Подешавања | Басиц | Мрежна подешавања. Одредите ИП адресу и порт за повезивање.

Имајте на уму опцију на дну обрасца да и ДНС захтеви вашег претраживача пролазе кроз СОЦКС прокси. Ако користите проки сервер за шифровање веб саобраћаја на вашој локалној мрежи, вероватно ћете желети да изаберете ову опцију како би ДНС захтеви били тунелирани кроз ССХ везу.

Активирање соцкс проки-а у Цхроме-у

Покретање Цхроме-а са одређеним параметрима командне линије омогућиће проки соцкс, као и тунелирање ДНС захтева из претраживача. Верујте али проверавајте. Користите тцпдумп да проверите да ДНС упити више нису видљиви.

localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"

Коришћење других апликација са проксијем

Имајте на уму да многе друге апликације такође могу користити соцкс проксије. Веб претраживач је једноставно најпопуларнији од свих. Неке апликације имају опције конфигурације за омогућавање прокси сервера. Другима је потребна мала помоћ са помоћним програмом. На пример, прокицхаинс омогућава вам да покренете кроз соцкс проки Мицрософт РДП, итд.

localhost:~$ proxychains rdesktop $RemoteWindowsServer

Параметри конфигурације проксија Соцкс су постављени у конфигурационој датотеци прокицхаинс-а.

Савет: ако користите удаљену радну површину са Линук-а на Виндовс-у? Пробајте клијента ФрееРДП. Ово је модернија имплементација од rdesktop, са много лакшим искуством.

Опција за коришћење ССХ преко соцкс проксија

Седите у кафићу или хотелу - и приморани сте да користите прилично непоуздан ВиФи. Покрећемо ссх проки локално са лаптопа и инсталирамо ссх тунел у кућну мрежу на локалном Расберри Пи. Користећи претраживач или друге апликације конфигурисане за соцкс проки, можемо приступити свим мрежним услугама на нашој кућној мрежи или приступити Интернету преко наше кућне везе. Све између вашег лаптопа и вашег кућног сервера (преко Ви-Фи и интернета до вашег дома) је шифровано у ССХ тунелу.

2. ССХ тунел (прослеђивање портова)

У свом најједноставнијем облику, ССХ тунел једноставно отвара порт на вашем локалном систему који се повезује са другим портом на другом крају тунела.

localhost:~$ ssh  -L 9999:127.0.0.1:80 user@remoteserver

Погледајмо параметар -L. Може се сматрати локалном страном слушања. Дакле, у горњем примеру, порт 9999 слуша на страни локалног хоста и прослеђује преко порта 80 на удаљени сервер. Имајте на уму да се 127.0.0.1 односи на лоцалхост на удаљеном серверу!

Хајдемо уз степенице. Следећи пример комуницира портове за слушање са другим хостовима на локалној мрежи.

localhost:~$ ssh  -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserver

У овим примерима повезујемо се са портом на веб серверу, али то може бити прокси сервер или било која друга ТЦП услуга.

3. ССХ тунел до хоста треће стране

Исте параметре можемо користити да повежемо тунел са удаљеног сервера на други сервис који ради на трећем систему.

localhost:~$ ssh  -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserver

У овом примеру, преусмеравамо тунел са удаљеног сервера на веб сервер који ради 10.10.10.10. Саобраћај са удаљеног сервера до 10.10.10.10 више није у ССХ тунелу. Веб сервер 10.10.10.10 ће сматрати удаљени сервер извором веб захтева.

4. Обрнути ССХ тунел

Овде ћемо конфигурисати порт за слушање на удаљеном серверу који ће се поново повезати на локални порт на нашем локалном хосту (или другом систему).

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Ова ССХ сесија успоставља везу од порта 1999 на удаљеном серверу до порта 902 на нашем локалном клијенту.

5. ССХ обрнути прокси

У овом случају, ми постављамо соцкс проки на нашој ссх вези, али проки слуша на удаљеном крају сервера. Везе са овим удаљеним проксијем се сада појављују из тунела као саобраћај са нашег локалног хоста.

localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserver

Решавање проблема са удаљеним ССХ тунелима

Ако имате проблема са радом удаљених ССХ опција, проверите код netstat, на које друге интерфејсе је повезан порт за слушање. Иако смо у примерима навели 0.0.0.0, али ако је вредност ГатеваиПортс в ссхд_цонфиг подешен на не, онда ће слушалац бити везан само за локални хост (127.0.0.1).

Сигурносно упозорење

Имајте на уму да отварањем тунела и соцкс проксија, интерни мрежни ресурси могу бити доступни непоузданим мрежама (као што је Интернет!). Ово може бити озбиљан безбедносни ризик, па се уверите да разумете шта је слушалац и чему има приступ.

6. Инсталирање ВПН-а преко ССХ-а

Уобичајени термин међу стручњацима за методе напада (пентестери, итд.) је „тачка упоришта у мрежи“. Када се успостави веза на једном систему, тај систем постаје капија за даљи приступ мрежи. Тачка ослонца која вам омогућава да се крећете у ширину.

За такво упориште можемо користити ССХ проки и прокицхаинс, међутим, постоје нека ограничења. На пример, неће бити могуће радити директно са утичницама, тако да нећемо моћи да скенирамо портове унутар мреже преко Нмап SYN.

Коришћењем ове напредније ВПН опције, веза се смањује на ниво 3. Тада можемо једноставно усмјерити саобраћај кроз тунел користећи стандардно мрежно рутирање.

Метода користи ssh, iptables, tun interfaces и рутирање.

Прво морате да подесите ове параметре sshd_config. Пошто мењамо интерфејсе и даљинског и клијентског система, ми потребна су роот права на обе стране.

PermitRootLogin yes
PermitTunnel yes

Затим ћемо успоставити ссх везу користећи параметар који захтева иницијализацију тун уређаја.

localhost:~# ssh -v -w any root@remoteserver

Сада би требало да имамо тун уређај када приказујемо интерфејсе (# ip a). Следећи корак ће додати ИП адресе интерфејсима тунела.

ССХ страна клијента:

localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 up

Страна ССХ сервера:

remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up

Сада имамо директну руту до другог домаћина (route -n и ping 10.10.10.10).

Можете усмјерити било коју подмрежу кроз хост на другој страни.

localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0

На удаљеној страни морате омогућити ip_forward и iptables.

remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADE

Бум! ВПН преко ССХ тунела на мрежном слоју 3. Сада је то победа.

Ако дође до било каквих проблема, користите тцпдумп и pingда се утврди узрок. Пошто играмо на слоју 3, наши ицмп пакети ће проћи кроз овај тунел.

7. Копирајте ССХ кључ (ссх-цопи-ид)

Постоји неколико начина да се то уради, али ова команда штеди време тако што не копира датотеке ручно. Једноставно копира ~/.ссх/ид_рса.пуб (или подразумевани кључ) са вашег система у ~/.ssh/authorized_keys на удаљеном серверу.

localhost:~$ ssh-copy-id user@remoteserver

8. Даљинско извршавање команде (неинтерактивно)

тим ssh Може се повезати са другим командама ради заједничког, корисничког интерфејса. Само додајте команду коју желите да покренете на удаљеном хосту као последњи параметар у наводницима.

localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php

У овом примеру grep извршава се на локалном систему након што је дневник преузет преко ссх канала. Ако је датотека велика, погодније је покренути grep на удаљеној страни једноставним стављањем обе команде у двоструке наводнике.

Други пример обавља исту функцију као ssh-copy-id из примера 7.

localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'

9. Даљинско хватање и преглед пакета у Виресхарку

Узео сам један од наших тцпдумп примери. Користите га за даљинско снимање пакета и приказ резултата директно у локалном Виресхарк ГУИ.

:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -

10. Копирање локалне фасцикле на удаљени сервер преко ССХ-а

Леп трик који компримује фасциклу користећи bzip2 (ово је опција -ј у команди tar), а затим преузима ток bzip2 са друге стране, креирајући дупликат фолдера на удаљеном серверу.

localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"

11. Удаљене ГУИ апликације са ССХ Кс11 прослеђивањем

Ако је Кс инсталиран на клијенту и удаљеном серверу, тада можете даљински извршити ГУИ команду са прозором на вашој локалној радној површини. Ова функција постоји већ дуже време, али је и даље веома корисна. Покрените удаљени веб претраживач или чак ВМВавре Воркстатион конзолу као што радим у овом примеру.

localhost:~$ ssh -X remoteserver vmware

Обавезни стринг X11Forwarding yes у фајлу sshd_config.

12. Даљинско копирање датотека помоћу рсинц и ССХ

rsync много згодније scp, ако су вам потребне периодичне резервне копије директоријума, великог броја датотека или веома великих датотека. Постоји функција за опоравак од неуспеха преноса и копирање само измењених датотека, чиме се штеди саобраћај и време.

Овај пример користи компресију gzip (-з) и режим архивирања (-а), који омогућава рекурзивно копирање.

:~$ rsync -az /home/testuser/data remoteserver:backup/

13. ССХ преко мреже Тор

Анонимна Тор мрежа може тунелирати ССХ саобраћај користећи команду torsocks. Следећа команда ће проследити ссх проки кроз Тор.

localhost:~$ torsocks ssh myuntracableuser@remoteserver

Торсоцкс користиће порт 9050 на локалном хосту за прокси. Као и увек, када користите Тор, морате озбиљно да проверите који саобраћај се тунелира и друге оперативне безбедносне (опсец) проблеме. Где иду ваши ДНС упити?

14. ССХ на ЕЦ2 инстанцу

Да бисте се повезали са ЕЦ2 инстанцом, потребан вам је приватни кључ. Преузмите га (.пем екстензија) са Амазон ЕЦ2 контролне табле и промените дозволе (chmod 400 my-ec2-ssh-key.pem). Чувајте кључ на безбедном месту или га ставите у своју фасциклу ~/.ssh/.

localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public

Параметар -i једноставно каже ссх клијенту да користи овај кључ. Филе ~/.ssh/config Идеално за аутоматско конфигурисање употребе кључа приликом повезивања на ец2 хост.

Host my-ec2-public
   Hostname ec2???.compute-1.amazonaws.com
   User ubuntu
   IdentityFile ~/.ssh/my-ec2-key.pem

15. Уређивање текстуалних датотека користећи ВИМ преко ссх/сцп

За све заљубљене vim Овај савет ће уштедети неко време. Коришћењем vim датотеке се уређују преко сцп-а једном командом. Овај метод једноставно креира датотеку локално у /tmpа затим га поново копира када га сачувамо из vim.

localhost:~$ vim scp://user@remoteserver//etc/hosts

Напомена: формат се мало разликује од уобичајеног scp. После домаћина имамо дуплу //. Ово је апсолутна референца путање. Једна коса црта ће означити путању у односу на вашу почетну фасциклу users.

**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])

Ако видите ову грешку, двапут проверите формат команде. Ово обично значи синтаксичку грешку.

16. Монтирање удаљеног ССХ-а као локалне фасцикле са ССХФС-ом

Путем sshfs - клијент система датотека ssh - можемо повезати локални директоријум са удаљеном локацијом са свим интеракцијама датотека у шифрованој сесији ssh.

localhost:~$ apt install sshfs

Инсталирајте пакет на Убунту и Дебиан sshfs, а затим једноставно монтирајте удаљену локацију на наш систем.

localhost:~$ sshfs user@remoteserver:/media/data ~/data/

17. ССХ мултиплексирање са ЦонтролПатх

Подразумевано, ако постоји постојећа веза са удаљеним сервером користећи ssh друга веза помоћу ssh или scp успоставља нову сесију са додатном аутентификацијом. Опција ControlPath омогућава да се постојећа сесија користи за све наредне везе. Ово ће значајно убрзати процес: ефекат је приметан чак и на локалној мрежи, а још више када се повезујете са удаљеним ресурсима.

Host remoteserver
        HostName remoteserver.example.org
        ControlMaster auto
        ControlPath ~/.ssh/control/%r@%h:%p
        ControlPersist 10m

ЦонтролПатх специфицира утичницу за проверу нових веза да би се видело да ли постоји активна сесија ssh. Последња опција значи да чак и након што изађете из конзоле, постојећа сесија ће остати отворена 10 минута, тако да за то време можете поново да се повежете на постојећу утичницу. За више информација погледајте помоћ. ssh_config man.

18. Стримујте видео преко ССХ користећи ВЛЦ и СФТП

Чак и дугогодишњи корисници ssh и vlc (Видео Лан клијент) нису увек свесни ове згодне опције када заиста треба да гледате видео преко мреже. У подешавањима Филе | Отворите мрежни ток programi vlc можете унети локацију као sftp://. Ако је потребна лозинка, појавиће се упит.

sftp://remoteserver//media/uploads/myvideo.mkv

19. Двофакторска аутентификација

За ССХ услугу се примењује иста двофакторска аутентификација као и ваш банковни рачун или Гоогле налог.

Наравно, ssh у почетку има функцију аутентификације са два фактора, што значи лозинку и ССХ кључ. Предност хардверског токена или апликације Гоогле Аутхентицатор је у томе што се обично ради о другом физичком уређају.

Погледајте наш 8-минутни водич за користећи Гоогле Аутхентицатор и ССХ.

20. Скакање домаћина са ссх и -Ј

Ако сегментација мреже значи да морате да скачете кроз више ссх хостова да бисте дошли до крајње одредишне мреже, пречица -Ј ће вам уштедети време.

localhost:~$ ssh -J host1,host2,host3 [email protected]

Главна ствар коју треба разумети овде је да ово није исто што и команда ssh host1, онда user@host1:~$ ssh host2 итд. -Ј опција паметно користи прослеђивање да примора локалног хоста да успостави сесију са следећим хостом у ланцу. Дакле, у горњем примеру, наш локални хост је аутентификован за хост4. То јест, користе се наши кључеви локалног хоста, а сесија од локалног хоста до хост4 је потпуно шифрована.

За такву могућност у ssh_config наведите опцију конфигурације ПрокиЈумп. Ако редовно морате да пролазите кроз неколико хостова, аутоматизација кроз конфигурацију ће уштедети много времена.

21. Блокирајте покушаје грубе силе ССХ користећи иптаблес

Свако ко је управљао ССХ услугом и погледао дневнике зна за број покушаја грубе силе који се дешавају сваког сата сваког дана. Брз начин да се смањи шум у евиденцији је да преместите ССХ на нестандардни порт. Направите измене у датотеци sshd_config преко конфигурационог параметра Лука##.

Са iptables Такође можете лако да блокирате покушаје да се повежете на порт када достигнете одређени праг. Једноставан начин да то урадите је коришћење ОССЕЦ, јер не само да блокира ССХ, већ ради и гомилу других мера за откривање упада на основу имена хоста (ХИДС).

22. ССХ Есцапе да бисте променили прослеђивање портова

И наш последњи пример ssh дизајниран да промени прослеђивање портова у ходу у оквиру постојеће сесије ssh. Замислите овај сценарио. Дубоко сте у мрежи; можда прескочите преко пола туцета хостова и треба вам локални порт на радној станици који се прослеђује на Мицрософт СМБ старог Виндовс 2003 система (сећа ли се неко мс08-67?).

Кликање enter, покушајте да унесете у конзолу ~C. Ово је секвенца контроле сесије која омогућава измене постојеће везе.

localhost:~$ ~C
ssh> -h
Commands:
      -L[bind_address:]port:host:hostport    Request local forward
      -R[bind_address:]port:host:hostport    Request remote forward
      -D[bind_address:]port                  Request dynamic forward
      -KL[bind_address:]port                 Cancel local forward
      -KR[bind_address:]port                 Cancel remote forward
      -KD[bind_address:]port                 Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.

Овде можете видети да смо проследили наш локални порт 1445 на Виндовс 2003 хост који смо пронашли на интерној мрежи. Сада само трчи msfconsole, и можете наставити даље (под претпоставком да планирате да користите овај хост).

Завршетак

Ови примери, савети и наредбе ssh треба да дају полазну тачку; Више информација о свакој од команди и могућности доступно је на страницама ман (man ssh, man ssh_config, man sshd_config).

Увек сам био фасциниран могућношћу приступа системима и извршавања команди било где у свету. Развијањем својих вештина са алатима као што су ssh постаћете ефикаснији у било којој игрици коју играте.

Извор: ввв.хабр.цом