Váš sprievodca používaním SSH

SSH je sieťový protokol, ktorý pracuje v konzole. Najbežnejšie používaným klientom SSH je PuTTy. Obrázok nižšie zobrazuje zavedenú reláciu SSH. Je ľahko použiteľný a rýchly. Väčšina IT profesionálov spravuje celú sieť výhradne cez SSH kvôli bezpečnosti a rýchlemu / ľahkému prístupu na správu a správu na serveri. Celá relácia v SSH je šifrovaná - hlavné protokoly pre SSH sú SSH1 / SSH-1 a SSH2 / SSH-2. SSH-2 je druhý, bezpečnejší ako SSH-1. Operačný systém Linux má zabudovaný obslužný program s názvom Terminal na prístup ku konzole a počítač so systémom Windows vyžaduje klienta SSH (napr. PuTTy).

Prístup k vzdialenému hostiteľovi pomocou protokolu SSH

Ak chcete získať prístup k vzdialenému hostiteľovi / stroju pomocou protokolu SSH, musíte mať:

do) PuTTy (bezplatný klient SSH)
b) Užívateľské meno servera SSH
c) Heslo servera SSH
d) Port SSH čo je zvyčajne 22, ale keďže 22 je predvolené, malo by sa zmeniť na iný port, aby sa zabránilo útokom na tento port.

V stroji s Linuxom užívateľské meno root je predvolene správca a obsahuje všetky práva správcu.

V Termináli nasledujúci príkaz inicializuje pripojenie k serveru.

ssh root@192.168.1.1
kde root je používateľské meno a 192.168.1.1 je adresa hostiteľa

Takto vyzerá terminál:

Vaše príkazy budú napísané za symbol $ . Ak potrebujete pomoc s akýmkoľvek príkazom v termináli / tmelu, použite syntax:

muž ssh
príkaz človeka

muž, po ktorom nasleduje akýkoľvek príkaz, vráti navádzanie k príkazom na obrazovke

Takže, čo teraz urobím, je SSH pomocou PuTTy do môjho OS Debian bežiaceho na VMWare.

Ale predtým, ako to urobím, musím povoliť SSH prihlásením sa do môjho VM Debian - Ak ste si práve kúpili server od hostiteľskej spoločnosti, môžete ich požiadať, aby vám SSH povolili.

Ak chcete povoliť ssh, použite
sudo /etc/init.d/ssh reštart

Pretože používam Ubuntu a ssh nebol nainštalovaný, tak
Na inštaláciu ssh použite tieto príkazy
sudo apt-get nainštalovať openssh-client
sudo apt-get nainštalovať openssh-server

A tu je to, čo mám, prihlásený do SSH cez PuTTy:

Teraz je to to, čo je potrebné na nastavenie SSH a nadviazanie relácie pomocou PuTTy - nižšie sa budem venovať niektorým základným pokročilým funkciám, ktoré vám pomaly začnú poskytovať lepší prehľad o celom scenári.

Predvolený konfiguračný súbor ssh sa nachádza na adrese: / etc / ssh / sshd_config
Ak chcete zobraziť konfiguračný súbor, použite: mačka / etc / ssh / sshd_config
Ak chcete upraviť konfiguračný súbor, použite: vi / etc / ssh / sshd_config alebo nano / etc / ssh / sshd_config

Po úprave ľubovoľného súboru použite CTRL + X a stlačenie klávesu Y pre uloženie a ukončenie (nano editor)

Port SSH je možné zmeniť z konfiguračného súboru, predvolený port je 22. Základné príkazy, cat, vi a nano budú fungovať aj pre iné veci. Ak sa chcete dozvedieť viac informácií o konkrétnych príkazoch, používať Vyhľadávanie Google.

Ak urobíte zmeny v ľubovoľnom konfiguračnom súbore, je pre túto službu potrebný reštart. Ak sa posunieme ďalej, predpokladajme, že teraz chceme zmeniť náš port, takže to, čo urobíme, je upraviť súbor sshd_config a ja by som použil

nano / etc / ssh / sshd_config

Musíte byť prihlásení ako správca, alebo použiť sudo nano / etc / ssh / sshd_config upravte súbor. Po úprave reštartujte službu ssh, sudo /etc/init.d/ssh reštart

Ak meníte port, nezabudnite to povoliť vo svojich IPTABLES, ak používate predvolený firewall.

Dotazom na iptables potvrďte, či je port otvorený
iptables -nL | grep 5000

V konfiguračnom súbore je niekoľko smerníc, ako už bolo spomenuté vyššie, pre SSH existujú dva protokoly (1 a 2). Ak je nastavená na 1, zmeňte ju na 2.

Nižšie uvádzam trochu môjho konfiguračného súboru:

# Konfiguračný súbor vygenerovaný balíkom
# Podrobnosti nájdete na stránke sshd_config (5)

# Aké porty, adresy IP a protokoly počúvame
Prístav 5000 nahradil číslo 22 prístavom
# Pomocou týchto možností môžete obmedziť, na ktoré rozhrania / protokoly sa sshd bude viazať
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokol 2 nahradil protokol 1 za 2

po vykonaní zmien nezabudnite reštartovať službu

Root je správca a odporúča sa, aby to bolo zakázané, inak by ste sa mohli stať predmetom útokov hrubou silou alebo iných slabých miest ssh - serverov Linux, hackermi, ak ste otvorení vzdialeným pripojením. smernice LoginGraceTime , nastavuje používateľovi časový limit na prihlásenie a autentifikáciu, ak to neurobí, potom sa pripojenie ukončí - ponechajte ho predvolené.

# Overenie:
LoginGraceTime 120
PermitRootLogin č
StrictModes áno

Super cool funkcia je Overenie kľúča (PubkeyAuthentication) - Táto funkcia umožňuje nastaviť iba autentifikáciu na základe kľúča, ako to vidíme u serverov Amazon EC3. Na server máte prístup iba pomocou svojho súkromného kľúča, je vysoko bezpečný. Aby to fungovalo, budete musieť vygenerovať pár kľúčov a pridať tento súkromný kľúč do vzdialeného počítača a pridať verejný kľúč na server, aby k nemu bolo možné získať prístup pomocou tohto kľúča.

PubkeyAuthentication áno
AuthorizedKeysFile .ssh / authorized_keys
RSAAuthentication áno
HesloAuthentication no

Týmto zakážete akékoľvek heslo a používateľom umožníte prístup iba pomocou kľúča.

V profesionálnej sieti by ste zvyčajne informovali svojich používateľov o tom, čo majú povolené a čo nie, a ďalšie potrebné informácie

Konfiguračný súbor, ktorý je potrebné upraviť pre bannery, je: / etc / motd
Súbor otvoríte v editore zadaním: nano / etc / motd alebo sudo / etc / motd

Upravte súbor, rovnako ako v poznámkovom bloku.

Banner môžete tiež umiestniť do súboru a odkazovať na neho v priečinku / etc / motd

napr .: nano banner.txt vytvorí súbor banner.txt a okamžite otvorí editor.

Upravte banner a CTRL + x / y ho uložte. Potom to odkážte v súbore motd pomocou

Banner /home/users/appualscom/banner.txt ALEBO čo, cesta k súboru je.

Rovnako ako banner, aj vy môžete pridať správu pred výzvou na prihlásenie, čo je súbor na úpravu / etc / vydanie

SSH tunelovanie

SSH tunelovanie umožňuje tunelovať prenos z miestneho počítača na vzdialený. Vytvára sa pomocou protokolov SSH a je šifrovaná. Pozrite sa na článok o SSH tunelovanie

Grafická relácia cez tunel SSH

Na konci klienta by bol príkaz:
ssh -X root@10.10.10.111

Program ako firefox atď. Môžete spustiť pomocou jednoduchých príkazov:
firefox

Ak sa zobrazí chyba zobrazenia, nastavte adresu:
export DISPLAY = IPadresastroja: 0,0

Obálky TCP

Ak chcete povoliť vybratých hostiteľov a zakázať niektorých, sú to súbory, ktoré musíte upraviť

1. /etc/hosts.allow
2. /etc/hosts.deny

Ak chcete povoliť niekoľko hostiteľov

sshd: 10.10.10.111

Ak chcete všetkým zabrániť v sshingu na váš server, pridajte nasledujúci riadok do súboru /etc/hosts.deny
sshd: VŠETKY

SCP - bezpečná kópia

SCP - bezpečná kópia je pomôcka na prenos súborov. Na kopírovanie / prenos súborov cez ssh budete musieť použiť nasledujúci príkaz.

nasledujúci príkaz skopíruje môj súbor do / home / user2 dňa 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
syntax cieľového zdroja scp

Ak chcete skopírovať priečinok
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Vyhľadávanie súborov na vzdialenom počítači

Je veľmi ľahké vyhľadať súbory na vzdialenom počítači a zobraziť výstup vo vašom systéme. Ak chcete vyhľadávať súbory na vzdialenom počítači

Príkaz vyhľadá v adresári / home / user všetky súbory * .jpg, s ktorými si môžete zahrať. find / -name prehľadá celý / root adresár.

Dodatočné zabezpečenie SSH

iptables umožňuje nastaviť časové obmedzenia. Nasledujúce príkazy zablokujú používateľa na 120 sekúnd, ak sa mu nepodarí autentifikáciu. Na zadanie obdobia môžete použiť parameter / sekundu / hodinu / minútu alebo / deň.

iptables -A VSTUP -p tcp -m stav –syn –stát NOVÝ –dport 5000 -j DROP

5 000 je port, zmeňte ho podľa svojich nastavení .

Povolenie autentifikácie z konkrétnej adresy IP
iptables -A VSTUP -p tcp -m stav –stát NOVÝ –zdroj 10.10.10.111 –dport 22 -j PRIJAŤ

Ďalšie užitočné príkazy

Pripojte obrazovku cez SSH
ssh -t root@10.10.10.111 obrazovka –r
Kontrola rýchlosti prenosu SSH
áno | pv | ssh $root@10.10.10.111 „mačka> / dev / null“