Váš průvodce používáním SSH

SSH je síťový protokol, který pracuje v konzole. Nejčastěji používaným klientem SSH je PuTTy. Obrázek níže ukazuje zavedenou relaci SSH. Je snadno použitelný a rychlý. Většina IT profesionálů spravuje celou síť výhradně prostřednictvím SSH kvůli zabezpečení a rychlému / snadnému přístupu k provádění administrativních a správních úkolů na serveru. Celá relace v SSH je šifrována - hlavní protokoly pro SSH jsou SSH1 / SSH-1 a SSH2 / SSH-2. SSH-2 je druhý, bezpečnější než SSH-1. Operační systém Linux má zabudovaný nástroj s názvem Terminal pro přístup ke konzole a počítač se systémem Windows vyžaduje klienta SSH (např. PuTTy).

Přístup ke vzdálenému hostiteli pomocí SSH

Chcete-li přistupovat ke vzdálenému hostiteli / počítači pomocí SSH, musíte mít následující:

na) PuTTy (klient SSH zdarma)
b) Uživatelské jméno serveru SSH
c) Heslo serveru SSH
d) Port SSH což je obvykle 22, ale protože 22 je výchozí, mělo by být změněno na jiný port, aby se zabránilo útokům na tento port.

Ve stroji s Linuxem uživatelské jméno root je ve výchozím nastavení správce a obsahuje všechna práva správce.

V Terminálu následující příkaz zahájí připojení k serveru.

ssh root@192.168.1.1
kde root je uživatelské jméno a 192.168.1.1 je adresa hostitele

Takto vypadá terminál:

Vaše příkazy budou zadány za symbol $ . Pro nápovědu k libovolnému příkazu v terminálu / tmelu použijte syntaxi:

muž ssh
mužský příkaz

man, následovaný jakýmkoli příkazem, vrátí navádění na obrazovce pomocí příkazu

Takže, co teď udělám, je SSH pomocí PuTTy do mého operačního systému Debian běžícího na VMWare.

Ale než to udělám, musím povolit SSH přihlášením do mého VM Debian - Pokud jste si právě zakoupili server od hostitelské společnosti, můžete je požádat, aby vám SSH povolili.

Chcete-li povolit ssh, použijte
sudo /etc/init.d/ssh restart

Jelikož používám Ubuntu a ssh nebyl nainstalován, tak
Chcete-li nainstalovat ssh, použijte tyto příkazy
sudo apt-get install openssh-client
sudo apt-get nainstalovat openssh-server

A tady je to, co mám, přihlášený k SSH přes PuTTy:

Nyní je potřeba nastavit SSH a navázat relaci pomocí PuTTy - níže se budu zabývat některými základními pokročilými funkcemi, které vám pomalu začnou poskytovat lepší přehled o celém scénáři.

Výchozí konfigurační soubor ssh se nachází na adrese: / etc / ssh / sshd_config
Chcete-li zobrazit konfigurační soubor, použijte: cat / etc / ssh / sshd_config
Chcete-li upravit konfigurační soubor, použijte: vi / etc / ssh / sshd_config nebo nano / etc / ssh / sshd_config

Po úpravě libovolného souboru použijte CTRL + X a stisknutí klávesy Y pro uložení a ukončení (nano editor)

Port SSH lze změnit z konfiguračního souboru, výchozí port je 22. Základní příkazy, cat, vi a nano budou fungovat i pro ostatní věci. Chcete-li se dozvědět více o konkrétních příkazech, používat Vyhledávání Google.

Pokud provedete jakékoli změny v jakémkoli konfiguračním souboru, je pro tuto službu vyžadován restart. Pohybem dále předpokládejme, že si nyní přejeme změnit náš port, takže to, co uděláme, je upravit soubor sshd_config a já bych použil

nano / etc / ssh / sshd_config

Musíte být přihlášeni jako správce, nebo použít sudo nano / etc / ssh / sshd_config upravte soubor. Po úpravě restartujte službu ssh, sudo /etc/init.d/ssh restart

Pokud měníte port, nezapomeňte jej povolit ve svých IPTABLES, pokud používáte výchozí bránu firewall.

Dotazem na iptables potvrďte, zda je port otevřený
iptables -nL | grep 5000

V konfiguračním souboru je několik směrnic, jak již bylo zmíněno dříve, pro SSH existují dva protokoly (1 a 2). Pokud je nastavena na 1, změňte ji na 2.

Níže je trochu mého konfiguračního souboru:

# Konfigurační soubor generovaný balíčkem
# Podrobnosti najdete na stránce sshd_config (5)

# Jaké porty, IP a protokoly posloucháme
Port 5000 nahradil číslo 22 portem
# Pomocí těchto možností můžete omezit, na která rozhraní / protokoly se sshd bude vázat
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokol 2 nahradil protokol 1 za 2

po provedení změn nezapomeňte restartovat službu

Root je administrátor a doporučuje se, aby byl deaktivován, jinak, pokud jste otevřeni vzdáleným připojením, můžete se stát předmětem útoku hrubou silou nebo jinými zranitelnostmi ssh - servery Linux, jsou hackery nejoblíbenějšími schránkami, směrnice LoginGraceTime , nastaví časový limit pro přihlášení a ověření uživatele, pokud to uživatel neudělá, pak se připojení zavře - ponechte to na výchozí.

# Ověřování:
LoginGraceTime 120
Přihlašovací číslo povolení
StrictModes ano

Super cool funkcí je Ověření klíče (PubkeyAuthentication) - Tato funkce umožňuje nastavit pouze ověřování na základě klíčů, jak vidíme u serverů Amazon EC3. K serveru můžete přistupovat pouze pomocí svého soukromého klíče, je vysoce zabezpečený. Aby to fungovalo, budete muset vygenerovat pár klíčů a přidat tento soukromý klíč do vzdáleného počítače a přidat veřejný klíč na server, aby k němu bylo možné přistupovat pomocí tohoto klíče.

PubkeyAuthentication ano
AuthorizedKeysFile .ssh / authorized_keys
RSAAuthentication ano
HesloAuthentication no

To zakáže jakékoli heslo a umožní uživatelům přístup pouze pomocí klíče.

V profesionální síti byste obvykle informovali své uživatele, co mají povoleno dělat a co ne, a další potřebné informace

Konfigurační soubor, který chcete upravit pro bannery, je: / etc / motd
Chcete-li soubor otevřít v editoru, zadejte: nano / etc / motd nebo sudo / etc / motd

Upravte soubor, stejně jako v poznámkovém bloku.

Banner můžete také umístit do souboru a odkazovat na něj v souboru / etc / motd

např: nano banner.txt vytvoří soubor banner.txt a okamžitě otevře editor.

Upravte banner a CTRL + x / y jej uložte. Poté použijte odkaz v souboru motd

Banner /home/users/appualscom/banner.txt NEBO cokoli, cesta k souboru je.

Stejně jako banner můžete také přidat zprávu před výzvou k přihlášení, soubor pro úpravy je / etc / problém

SSH tunelování

SSH Tunneling umožňuje tunelovat provoz z místního počítače na vzdálený. Je vytvořen pomocí protokolů SSH a je šifrován. Podívejte se na článek na SSH tunelování

Grafická relace přes tunel SSH

Na konci klienta by byl příkaz:
ssh -X root@10.10.10.111

Program jako firefox atd. Můžete spustit pomocí jednoduchých příkazů:
Firefox

Pokud se zobrazí chyba zobrazení, nastavte adresu:
export DISPLAY = IPadresa stroje: 0,0

Obálky TCP

Pokud chcete povolit vybrané hostitele a některé odmítnout, pak jsou to soubory, které potřebujete upravit

1. /etc/hosts.allow
2. /etc/hosts.deny

Povolit několik hostitelů

sshd: 10.10.10.111

Chcete-li všem zabránit v sshingu na váš server, přidejte následující řádek do /etc/hosts.deny
sshd: VŠECHNY

SCP - zabezpečená kopie

SCP - zabezpečená kopie je nástroj pro přenos souborů. K kopírování / přenosu souborů přes ssh budete muset použít následující příkaz.

níže uvedený příkaz zkopíruje myfile do / home / user2 dne 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
scp zdrojová cílová syntaxe

Kopírování složky
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Hledání souborů na vzdáleném počítači

Je velmi snadné hledat soubory na vzdáleném počítači a prohlížet výstup ve vašem systému. Hledání souborů na vzdáleném počítači

Příkaz vyhledá v adresáři / home / user všechny soubory * .jpg, můžete si s nimi hrát. find / -name prohledá celý / root adresář.

Další zabezpečení SSH

iptables umožňuje nastavit časově omezená omezení. Následující příkazy zablokují uživatele na 120 sekund, pokud se nepodaří ověřit. K určení období můžete použít parametr / sekunda / hodina / minuta nebo / den v příkazu.

iptables -A VSTUP -p tcp -m stav –syn –state NOVÝ –dport 5000 -j DROP

5000 je port, změňte jej podle svého nastavení .

Povolení ověřování z konkrétní adresy IP
iptables -A VSTUP -p tcp -m stav –stát NOVÝ –zdroj 10.10.10.111 –dport 22 -j PŘIJMOUT

Další užitečné příkazy

Připojte obrazovku přes SSH
ssh -t root@10.10.10.111 obrazovka –r
Kontrola rychlosti přenosu SSH
ano | pv | ssh $root@10.10.10.111 „kočka> / dev / null“