Mifano ya vitendo , ambayo itachukua ujuzi wako kama msimamizi wa mfumo wa mbali hadi ngazi mpya. Amri na vidokezo vitakusaidia sio kutumia tu SSH, lakini pia vinjari mtandao kwa ustadi zaidi.
Kujua mbinu chache ssh muhimu kwa msimamizi wa mfumo wowote, mhandisi wa mtandao au mtaalamu wa usalama.
Mifano ya Vitendo ya SSH
Kwanza misingi
Inachanganua safu ya amri ya SSH
Mfano unaofuata hutumia vigezo vya kawaida vinavyokutana mara nyingi wakati wa kuunganisha kwenye seva ya mbali SSH.
localhost:~$ ssh -v -p 22 -C neo@remoteserver-v: Pato la utatuzi ni muhimu sana wakati wa kuchanganua shida za uthibitishaji. Inaweza kutumika mara nyingi kuonyesha maelezo ya ziada.- p 22: bandari ya uunganisho kwa seva ya mbali ya SSH. 22 si lazima ibainishwe, kwa sababu hii ndiyo thamani chaguo-msingi, lakini ikiwa itifaki iko kwenye lango lingine, basi tunaibainisha kwa kutumia kigezo.-p. Lango la kusikiliza limebainishwa kwenye failisshd_configkatika umbizoPort 2222.-C: Mfinyazo kwa unganisho. Ikiwa una muunganisho wa polepole au kutazama maandishi mengi, hii inaweza kuongeza kasi ya muunganisho.neo@: Mstari ulio kabla ya alama ya @ unaonyesha jina la mtumiaji la uthibitishaji kwenye seva ya mbali. Usipoibainisha, itakuwa chaguomsingi kwa jina la mtumiaji la akaunti ambayo umeingia kwa sasa (~$whoami). Mtumiaji pia anaweza kutajwa kwa kutumia parameter-l.remoteserver: jina la mwenyeji wa kuunganisha kwakessh, hili linaweza kuwa jina la kikoa lililohitimu kikamilifu, anwani ya IP, au seva pangishi yoyote katika faili ya wapangishi wa ndani. Ili kuunganisha kwa seva pangishi inayoauni IPv4 na IPv6, unaweza kuongeza kigezo kwenye mstari wa amri-4au-6kwa azimio sahihi.
Vigezo vyote hapo juu ni vya hiari isipokuwa remoteserver.
Kutumia faili ya usanidi
Ingawa wengi wanaifahamu faili hiyo sshd_config, pia kuna faili ya usanidi wa mteja kwa amri ssh. Thamani chaguomsingi ~/.ssh/config, lakini inaweza kufafanuliwa kama kigezo cha chaguo -F.
Host *
Port 2222
Host remoteserver
HostName remoteserver.thematrix.io
User neo
Port 2112
IdentityFile /home/test/.ssh/remoteserver.private_keyKuna maingizo mawili ya mwenyeji kwenye mfano wa faili ya usanidi wa ssh hapo juu. Ya kwanza inamaanisha wapangishi wote, wote wakitumia kigezo cha usanidi cha Port 2222. Ya pili inasema hivyo kwa mwenyeji. seva ya mbali jina la mtumiaji tofauti, bandari, FQDN na IdentityFile inapaswa kutumika.
Faili ya usanidi inaweza kuokoa muda mwingi wa kuandika kwa kuruhusu usanidi wa hali ya juu utumike kiotomatiki unapounganishwa kwenye seva pangishi mahususi.
Kunakili faili kupitia SSH kwa kutumia SCP
Mteja wa SSH anakuja na zana zingine mbili zinazofaa sana za kunakili faili muunganisho wa ssh uliosimbwa kwa njia fiche. Tazama hapa chini kwa mfano wa matumizi ya kawaida ya amri za scp na sftp. Kumbuka kuwa chaguzi nyingi za ssh zinatumika kwa amri hizi pia.
localhost:~$ scp mypic.png neo@remoteserver:/media/data/mypic_2.pngKatika mfano huu faili mypic.png kunakiliwa kwa seva ya mbali kwa folda /media/data na kubadilishwa jina kuwa mypic_2.png.
Usisahau kuhusu tofauti katika parameter ya bandari. Hapa ndipo watu wengi hunaswa wanapozindua scp kutoka kwa mstari wa amri. Hapa kuna paramu ya bandari -Pna sio -p, kama vile mteja wa ssh! Utasahau, lakini usijali, kila mtu anasahau.
Kwa wale wanaofahamu console ftp, amri nyingi zinafanana katika sftp. Unaweza kufanya kushinikiza, kuweka ΠΈ lskama moyo unavyotamani.
sftp neo@remoteserverMifano ya vitendo
Katika nyingi ya mifano hii, matokeo yanaweza kupatikana kwa kutumia mbinu tofauti. Kama katika yetu yote na mifano, upendeleo hutolewa kwa mifano ya vitendo ambayo hufanya kazi yao tu.
1. Wakala wa soksi za SSH
Kipengele cha Wakala wa SSH ni nambari 1 kwa sababu nzuri. Ina nguvu zaidi kuliko wengi wanavyotambua na inakupa ufikiaji wa mfumo wowote ambao seva ya mbali inaweza kufikia, kwa kutumia karibu programu yoyote. Mteja wa ssh anaweza kudhibiti trafiki kupitia proksi ya SOCKS kwa amri moja rahisi. Ni muhimu kuelewa kwamba trafiki kwa mifumo ya mbali itatoka kwa seva ya mbali, hii itaonyeshwa kwenye kumbukumbu za seva za wavuti.
localhost:~$ ssh -D 8888 user@remoteserver
localhost:~$ netstat -pan | grep 8888
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 23880/sshHapa tunaendesha proksi ya soksi kwenye bandari ya TCP 8888, amri ya pili hukagua kuwa mlango unatumika katika hali ya kusikiliza. 127.0.0.1 inaonyesha kuwa huduma hutumika tu kwenye mwenyeji wa ndani. Tunaweza kutumia amri tofauti kidogo ili kusikiliza violesura vyote, ikijumuisha ethernet au wifi, hii itaruhusu programu zingine (vivinjari, n.k.) kwenye mtandao wetu kuunganishwa kwenye huduma ya proksi kupitia proksi ya soksi za ssh.
localhost:~$ ssh -D 0.0.0.0:8888 user@remoteserverSasa tunaweza kusanidi kivinjari ili kuunganisha kwa wakala wa soksi. Katika Firefox, chagua Mipangilio | Msingi | Mipangilio ya mtandao. Taja anwani ya IP na mlango wa kuunganisha.
Tafadhali kumbuka chaguo lililo chini ya fomu ili pia maombi ya DNS ya kivinjari chako yapitie proksi ya SOCKS. Ikiwa unatumia seva ya proksi kusimba kwa njia fiche trafiki ya wavuti kwenye mtandao wako wa karibu, pengine utataka kuchagua chaguo hili ili maombi ya DNS yapitishwe kupitia muunganisho wa SSH.
Inawasha proksi ya soksi kwenye Chrome
Kuzindua Chrome na vigezo fulani vya mstari wa amri kutawezesha proksi ya soksi, pamoja na kushughulikia maombi ya DNS kutoka kwa kivinjari. Amini lakini angalia. Tumia ili kuangalia kuwa hoja za DNS hazionekani tena.
localhost:~$ google-chrome --proxy-server="socks5://192.168.1.10:8888"Kutumia programu zingine zilizo na proksi
Kumbuka kuwa programu zingine nyingi zinaweza pia kutumia proksi za soksi. Kivinjari cha wavuti ndicho maarufu zaidi kati ya zote. Baadhi ya programu zina chaguo za usanidi ili kuwezesha seva mbadala. Wengine wanahitaji msaada kidogo na programu ya msaidizi. Kwa mfano, hukuruhusu kukimbia kupitia wakala wa soksi Microsoft RDP, nk.
localhost:~$ proxychains rdesktop $RemoteWindowsServerVigezo vya usanidi wa proksi ya soksi vimewekwa katika faili ya usanidi ya minyororo ya wakala.
Kidokezo: ikiwa unatumia kompyuta ya mbali kutoka Linux kwenye Windows? Jaribu mteja . Huu ni utekelezaji wa kisasa zaidi kuliko
rdesktop, yenye uzoefu rahisi zaidi.
Chaguo la kutumia SSH kupitia proksi ya soksi
Umekaa kwenye mkahawa au hoteli - na unalazimika kutumia WiFi isiyoaminika. Tunazindua proksi ya ssh ndani ya nchi kutoka kwa kompyuta ya mkononi na kusakinisha handaki ya ssh kwenye mtandao wa nyumbani kwenye Rasberry Pi ya ndani. Kwa kutumia kivinjari au programu zingine zilizosanidiwa kwa seva mbadala ya soksi, tunaweza kufikia huduma zozote za mtandao kwenye mtandao wetu wa nyumbani au kufikia Mtandao kupitia muunganisho wetu wa nyumbani. Kila kitu kati ya kompyuta yako ndogo na seva yako ya nyumbani (kupitia Wi-Fi na mtandao hadi nyumbani kwako) kimesimbwa kwa njia fiche katika handaki ya SSH.
2. Mfereji wa SSH (usambazaji wa bandari)
Katika hali yake rahisi, handaki ya SSH hufungua tu mlango kwenye mfumo wako wa ndani unaounganishwa na mlango mwingine kwenye mwisho mwingine wa handaki.
localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver
Hebu tuangalie parameter -L. Inaweza kuzingatiwa kama upande wa ndani wa kusikiliza. Kwa hivyo katika mfano hapo juu, port 9999 inasikiza kwa upande wa mwenyeji na kutumwa kupitia bandari 80 hadi kwa remoteserver. Tafadhali kumbuka kuwa 127.0.0.1 inarejelea mwenyeji kwenye seva ya mbali!
Hebu tupande hatua. Mfano ufuatao unawasiliana na milango ya kusikiliza na wapangishi wengine kwenye mtandao wa ndani.
localhost:~$ ssh -L 0.0.0.0:9999:127.0.0.1:80 user@remoteserverKatika mifano hii tunaunganisha kwenye mlango kwenye seva ya wavuti, lakini hii inaweza kuwa seva mbadala au huduma nyingine yoyote ya TCP.
3. Njia ya SSH kwa seva pangishi ya mtu mwingine
Tunaweza kutumia vigezo sawa kuunganisha handaki kutoka kwa seva ya mbali hadi kwa huduma nyingine inayoendesha mfumo wa tatu.
localhost:~$ ssh -L 0.0.0.0:9999:10.10.10.10:80 user@remoteserverKatika mfano huu, tunaelekeza upya handaki kutoka kwa remoteserver hadi kwa seva ya wavuti inayoendesha tarehe 10.10.10.10. Trafiki kutoka kwa seva ya mbali hadi 10.10.10.10 haipo tena kwenye handaki ya SSH. Seva ya wavuti mnamo 10.10.10.10 itazingatia remoteserver kuwa chanzo cha maombi ya wavuti.
4. Reverse SSH handaki
Hapa tutasanidi mlango wa kusikiliza kwenye seva ya mbali ambayo itaunganisha nyuma kwenye bandari ya ndani kwenye mwenyeji wetu (au mfumo mwingine).
localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserverKipindi hiki cha SSH huanzisha muunganisho kutoka bandari 1999 kwenye seva ya mbali hadi bandari 902 kwa mteja wetu wa karibu.
5. Wakala wa Reverse wa SSH
Katika kesi hii, tunasanidi proksi ya soksi kwenye muunganisho wetu wa ssh, lakini proksi inasikiliza kwenye mwisho wa mbali wa seva. Miunganisho kwa seva mbadala hii ya mbali sasa inaonekana kutoka kwenye handaki kama trafiki kutoka kwa mwenyeji wetu.
localhost:~$ ssh -v -R 0.0.0.0:1999 192.168.1.100 user@remoteserverKutatua matatizo na vichuguu vya mbali vya SSH
Ikiwa una matatizo na chaguzi za mbali za SSH zinazofanya kazi, angalia na netstat, ni miingiliano gani mingine ambayo bandari ya kusikiliza imeunganishwa. Ingawa tulionyesha 0.0.0.0 katika mifano, lakini ikiwa thamani GatewayPorts Π² sshd_config kuweka kwa hapana, basi msikilizaji atafungwa kwa localhost tu (127.0.0.1).
Onyo la Usalama
Tafadhali kumbuka kuwa kwa kufungua vichuguu na proksi za soksi, rasilimali za mtandao wa ndani zinaweza kupatikana kwa mitandao isiyoaminika (kama vile Mtandao!). Hii inaweza kuwa hatari kubwa ya usalama, kwa hivyo hakikisha unaelewa msikilizaji ni nini na anaweza kufikia nini.
6. Kusakinisha VPN kupitia SSH
Neno la kawaida kati ya wataalamu wa mbinu za kushambulia (pentesters, nk.) ni "kamili katika mtandao." Mara tu muunganisho unapoanzishwa kwenye mfumo mmoja, mfumo huo unakuwa lango la ufikiaji zaidi wa mtandao. Fulcrum ambayo hukuruhusu kusonga kwa upana.
Kwa nafasi kama hiyo tunaweza kutumia proksi ya SSH na minyororo ya wakala, hata hivyo kuna baadhi ya mapungufu. Kwa mfano, haitawezekana kufanya kazi moja kwa moja na soketi, kwa hivyo hatutaweza kuchanganua bandari ndani ya mtandao kupitia SYN.
Kwa kutumia chaguo hili la juu zaidi la VPN, muunganisho umepunguzwa hadi kiwango cha 3. Kisha tunaweza kuelekeza trafiki kupitia handaki kwa kutumia uelekezaji wa kawaida wa mtandao.
Njia hutumia ssh, iptables, tun interfaces na uelekezaji.
Kwanza unahitaji kuweka vigezo hivi sshd_config. Kwa kuwa tunafanya mabadiliko kwenye miingiliano ya mifumo ya mbali na mteja, sisi zinahitaji haki za mizizi kwa pande zote mbili.
PermitRootLogin yes
PermitTunnel yesKisha tutaanzisha muunganisho wa ssh kwa kutumia parameta inayoomba kuanzishwa kwa vifaa vya tun.
localhost:~# ssh -v -w any root@remoteserver
Tunapaswa sasa kuwa na kifaa cha tun wakati wa kuonyesha miingiliano (# ip a) Hatua inayofuata itaongeza anwani za IP kwenye miingiliano ya handaki.
Upande wa mteja wa SSH:
localhost:~# ip addr add 10.10.10.2/32 peer 10.10.10.10 dev tun0
localhost:~# ip tun0 upUpande wa Seva ya SSH:
remoteserver:~# ip addr add 10.10.10.10/32 peer 10.10.10.2 dev tun0
remoteserver:~# ip tun0 up
Sasa tunayo njia ya moja kwa moja kwa mwenyeji mwingine (route -n ΠΈ ping 10.10.10.10).
Unaweza kuelekeza subnet yoyote kupitia mwenyeji kwa upande mwingine.
localhost:~# route add -net 10.10.10.0 netmask 255.255.255.0 dev tun0
Kwa upande wa mbali lazima uwezeshe ip_forward ΠΈ iptables.
remoteserver:~# echo 1 > /proc/sys/net/ipv4/ip_forward
remoteserver:~# iptables -t nat -A POSTROUTING -s 10.10.10.2 -o enp7s0 -j MASQUERADEBoom! VPN juu ya handaki ya SSH kwenye safu ya 3 ya mtandao. Sasa huo ni ushindi.
Ikiwa shida yoyote itatokea, tumia ΠΈ pingkuamua sababu. Kwa kuwa tunacheza kwenye safu ya 3, pakiti zetu za icmp zitapitia handaki hili.
7. Nakili kitufe cha SSH (ssh-copy-id)
Kuna njia kadhaa za kufanya hivyo, lakini amri hii inaokoa muda kwa kutonakili faili kwa mikono. Inanakili kwa urahisi ~/.ssh/id_rsa.pub (au kitufe chaguo-msingi) kutoka kwa mfumo wako hadi ~/.ssh/authorized_keys kwenye seva ya mbali.
localhost:~$ ssh-copy-id user@remoteserver
8. Utekelezaji wa amri ya mbali (isiyo ya mwingiliano)
timu ssh Inaweza kuunganishwa na amri zingine kwa kiolesura cha kawaida, kinachofaa mtumiaji. Ongeza tu amri unayotaka kutekeleza kwenye seva pangishi ya mbali kama kigezo cha mwisho katika nukuu.
localhost:~$ ssh remoteserver "cat /var/log/nginx/access.log" | grep badstuff.php
Katika mfano huu grep kutekelezwa kwenye mfumo wa ndani baada ya logi kupakuliwa kupitia kituo cha ssh. Ikiwa faili ni kubwa, ni rahisi zaidi kukimbia grep kwa upande wa mbali kwa kuambatanisha tu amri zote mbili kwa nukuu mbili.
Mfano mwingine hufanya kazi sawa na ssh-copy-id kutoka kwa mfano 7.
localhost:~$ cat ~/.ssh/id_rsa.pub | ssh remoteserver 'cat >> .ssh/authorized_keys'
9. Kukamata na kutazama kwa pakiti ya mbali katika Wireshark
Nilichukua mmoja wetu . Itumie kukamata pakiti ukiwa mbali na kuonyesha matokeo moja kwa moja kwenye GUI ya ndani ya Wireshark.
:~$ ssh root@remoteserver 'tcpdump -c 1000 -nn -w - not port 22' | wireshark -k -i -
10. Kunakili folda ya ndani kwa seva ya mbali kupitia SSH
Ujanja mzuri ambao unabana folda kwa kutumia bzip2 (hii ndio -j chaguo katika amri tar), na kisha kurudisha mkondo bzip2 kwa upande mwingine, kuunda folda ya nakala kwenye seva ya mbali.
localhost:~$ tar -cvj /datafolder | ssh remoteserver "tar -xj -C /datafolder"
11. Programu za GUI za Mbali zenye Usambazaji wa SSH X11
Ikiwa X imewekwa kwenye mteja na seva ya mbali, basi unaweza kutekeleza amri ya GUI kwa mbali na dirisha kwenye eneo-kazi lako la karibu. Kipengele hiki kimekuwepo kwa muda mrefu, lakini bado ni muhimu sana. Zindua kivinjari cha mbali cha wavuti au hata koni ya VMWawre Workstation kama ninavyofanya katika mfano huu.
localhost:~$ ssh -X remoteserver vmware
Mfuatano unaohitajika X11Forwarding yes katika faili sshd_config.
12. Kunakili faili kwa mbali kwa kutumia rsync na SSH
rsync rahisi zaidi scp, ikiwa unahitaji chelezo za mara kwa mara za saraka, idadi kubwa ya faili, au faili kubwa sana. Kuna kazi ya kurejesha kutoka kwa kushindwa kwa uhamisho na kunakili faili zilizobadilishwa tu, ambazo huokoa trafiki na wakati.
Mfano huu unatumia compression gzip (-z) na hali ya kuhifadhi kwenye kumbukumbu (-a), ambayo huwezesha kunakili kwa kujirudia.
:~$ rsync -az /home/testuser/data remoteserver:backup/
13. SSH kwenye mtandao wa Tor
Mtandao wa Tor usiojulikana unaweza kudhibiti trafiki ya SSH kwa kutumia amri torsocks. Amri ifuatayo itapitisha proksi ya ssh kupitia Tor.
localhost:~$ torsocks ssh myuntracableuser@remoteserveritatumia port 9050 kwenye localhost kwa proksi. Kama kawaida, unapotumia Tor unahitaji kukagua kwa umakini ni trafiki gani inayoshughulikiwa na maswala mengine ya usalama wa kiutendaji (opsec). Maswali yako ya DNS huenda wapi?
14. Mfano wa SSH hadi EC2
Ili kuunganisha kwa mfano wa EC2, unahitaji ufunguo wa faragha. Ipakue (.pem extension) kutoka kwa paneli dhibiti ya Amazon EC2 na ubadilishe ruhusa (chmod 400 my-ec2-ssh-key.pem) Weka ufunguo mahali salama au uweke kwenye folda yako mwenyewe ~/.ssh/.
localhost:~$ ssh -i ~/.ssh/my-ec2-key.pem ubuntu@my-ec2-public
Parameter -i inamwambia tu mteja wa ssh kutumia ufunguo huu. Faili ~/.ssh/config Inafaa kwa kusanidi kiotomatiki matumizi ya ufunguo wakati wa kuunganisha kwa seva pangishi ya ec2.
Host my-ec2-public
Hostname ec2???.compute-1.amazonaws.com
User ubuntu
IdentityFile ~/.ssh/my-ec2-key.pem
15. Kuhariri faili za maandishi kwa kutumia VIM kupitia ssh/scp
Kwa wapenzi wote vim Kidokezo hiki kitaokoa muda. Kwa kutumia vim faili zinahaririwa kupitia scp na amri moja. Njia hii inaunda faili ndani /tmpna kisha kuinakili tena mara tu tulipoihifadhi kutoka vim.
localhost:~$ vim scp://user@remoteserver//etc/hosts
Kumbuka: muundo ni tofauti kidogo na kawaida scp. Baada ya mwenyeji tuna mara mbili //. Hii ni rejeleo la njia kabisa. Kufyeka moja kutaonyesha njia inayohusiana na folda yako ya nyumbani users.
**warning** (netrw) cannot determine method (format: protocol://[user@]hostname[:port]/[path])Ukiona kosa hili, angalia mara mbili umbizo la amri. Hii kawaida inamaanisha kosa la sintaksia.
16. Kuweka SSH ya mbali kama folda ya ndani yenye SSHFS
Kwa njia ya sshfs - mteja wa mfumo wa faili ssh - tunaweza kuunganisha saraka ya ndani kwa eneo la mbali na mwingiliano wote wa faili katika kipindi kilichosimbwa ssh.
localhost:~$ apt install sshfs
Sakinisha kifurushi kwenye Ubuntu na Debian sshfs, na kisha weka eneo la mbali kwa mfumo wetu.
localhost:~$ sshfs user@remoteserver:/media/data ~/data/
17. SSH Multiplexing na ControlPath
Kwa chaguo-msingi, ikiwa kuna muunganisho uliopo kwa seva ya mbali inayotumia ssh muunganisho wa pili kwa kutumia ssh au scp huanzisha kipindi kipya na uthibitishaji wa ziada. Chaguo ControlPath inaruhusu kipindi kilichopo kutumika kwa miunganisho yote inayofuata. Hii itaharakisha mchakato kwa kiasi kikubwa: athari inaonekana hata kwenye mtandao wa ndani, na hata zaidi wakati wa kuunganisha kwenye rasilimali za mbali.
Host remoteserver
HostName remoteserver.example.org
ControlMaster auto
ControlPath ~/.ssh/control/%r@%h:%p
ControlPersist 10m
ControlPath inabainisha tundu la kuangalia miunganisho mipya ili kuona kama kuna kipindi kinachoendelea ssh. Chaguo la mwisho linamaanisha kwamba hata baada ya kuondoka kwenye console, kikao kilichopo kitabaki wazi kwa dakika 10, hivyo wakati huu unaweza kuunganisha tena kwenye tundu lililopo. Kwa habari zaidi, angalia usaidizi. ssh_config man.
18. Tiririsha video kupitia SSH ukitumia VLC na SFTP
Hata watumiaji wa muda mrefu ssh ΠΈ vlc (Video Lan Client) huwa hawafahamu chaguo hili linalofaa kila wakati unapohitaji kutazama video kwenye mtandao. Katika mipangilio Faili | Fungua Mtiririko wa Mtandao mipango vlc unaweza kuingia eneo kama sftp://. Ikiwa nenosiri linahitajika, kidokezo kitatokea.
sftp://remoteserver//media/uploads/myvideo.mkv
19. Uthibitishaji wa mambo mawili
Uthibitishaji wa vipengele viwili sawa na akaunti yako ya benki au akaunti ya Google hutumika kwa huduma ya SSH.
Bila shaka, ssh mwanzoni ina kazi ya uthibitishaji wa sababu mbili, ambayo ina maana ya nenosiri na ufunguo wa SSH. Faida ya tokeni ya maunzi au programu ya Kithibitishaji cha Google ni kwamba kwa kawaida ni kifaa halisi tofauti.
Tazama mwongozo wetu wa dakika 8 .
20. Wapandishaji warukaji na ssh na -J
Ikiwa mgawanyiko wa mtandao unamaanisha lazima upitie vipangishi vingi vya ssh ili kufikia mtandao wa mwisho lengwa, njia ya mkato ya -J itakuokoa wakati.
localhost:~$ ssh -J host1,host2,host3 [email protected]
Jambo kuu la kuelewa hapa ni kwamba hii si sawa na amri ssh host1basi user@host1:~$ ssh host2 n.k. Chaguo la -J kwa ustadi hutumia usambazaji kulazimisha mwenyeji kuanzisha kipindi na mwenyeji anayefuata kwenye msururu. Kwa hivyo katika mfano hapo juu, mwenyeji wetu amethibitishwa kuwa mwenyeji4. Hiyo ni, funguo zetu za mwenyeji hutumika, na kipindi kutoka kwa mwenyeji hadi mwenyeji4 kimesimbwa kwa njia fiche kabisa.
Kwa uwezekano kama huo ndani ssh_config taja chaguo la usanidi ProxyJump. Ikiwa mara kwa mara unapaswa kupitia majeshi kadhaa, basi automatisering kupitia usanidi itaokoa muda mwingi.
21. Zuia majaribio ya nguvu ya SSH kwa kutumia iptables
Mtu yeyote ambaye amesimamia huduma ya SSH na kuangalia kumbukumbu anajua kuhusu idadi ya majaribio ya nguvu ya kinyama ambayo hutokea kila saa ya kila siku. Njia ya haraka ya kupunguza kelele kwenye kumbukumbu ni kuhamisha SSH hadi kwenye bandari isiyo ya kawaida. Fanya mabadiliko kwenye faili sshd_config kupitia parameta ya usanidi Bandari##.
Pamoja na iptables Unaweza pia kuzuia kwa urahisi majaribio ya kuunganisha kwenye mlango unapofika kizingiti fulani. Njia rahisi ya kufanya hivyo ni kutumia , kwa sababu haizuii SSH pekee, lakini hufanya rundo la hatua zingine za ugunduzi wa uvamizi wa jina la mwenyeji (HIDS).
22. SSH Escape ili kubadilisha usambazaji wa mlango
Na mfano wetu wa mwisho ssh iliyoundwa ili kubadilisha usambazaji wa mlango kwa kuruka ndani ya kipindi kilichopo ssh. Hebu wazia hali hii. Uko ndani kabisa ya mtandao; labda iliruka zaidi ya wapangishi nusu dazeni na wanahitaji bandari ya ndani kwenye kituo cha kazi ambacho kinatumwa kwa Microsoft SMB ya mfumo wa zamani wa Windows 2003 (mtu yeyote anakumbuka ms08-67?).
Kubofya enter, jaribu kuingia kwenye koni ~C. Huu ni mlolongo wa udhibiti wa kipindi unaokuruhusu kufanya mabadiliko kwenye muunganisho uliopo.
localhost:~$ ~C
ssh> -h
Commands:
-L[bind_address:]port:host:hostport Request local forward
-R[bind_address:]port:host:hostport Request remote forward
-D[bind_address:]port Request dynamic forward
-KL[bind_address:]port Cancel local forward
-KR[bind_address:]port Cancel remote forward
-KD[bind_address:]port Cancel dynamic forward
ssh> -L 1445:remote-win2k3:445
Forwarding port.
Hapa unaweza kuona kwamba tumesambaza bandari yetu ya ndani 1445 kwa seva pangishi ya Windows 2003 ambayo tulipata kwenye mtandao wa ndani. Sasa kukimbia tu msfconsole, na unaweza kuendelea (ikizingatiwa kuwa unapanga kutumia mwenyeji huyu).
Kukamilika
Mifano hii, vidokezo na amri ssh inapaswa kutoa hatua ya kuanzia; Habari zaidi juu ya kila amri na uwezo zinapatikana kwenye kurasa za mtu (man ssh, man ssh_config, man sshd_config).
Nimekuwa nikivutiwa na uwezo wa kufikia mifumo na kutekeleza amri popote ulimwenguni. Kwa kukuza ujuzi wako na zana kama ssh utakuwa na ufanisi zaidi katika mchezo wowote unaocheza.
Chanzo: mapenzi.com