SSH е мрежов протокол, който работи в конзола. Най-често използваният SSH клиент е PuTTy. Изображението по-долу показва установена SSH сесия. Той е лесен за използване и бърз. Повечето ИТ специалисти управляват цялата мрежа единствено чрез SSH поради сигурността и бързия / лесен достъп за изпълнение на административни и управленски задачи на сървъра. Цялата сесия в SSH е криптирана - основните протоколи за SSH са SSH1 / SSH-1 и SSH2 / SSH-2. SSH-2 е последният, по-сигурен от SSH-1. Операционна система Linux има вградена помощна програма, наречена Terminal за достъп до конзолата, а Windows машината изисква SSH клиент (например PuTTy).
Достъп до отдалечен хост чрез SSH
За достъп до отдалечен хост / машина с помощта на SSH ще трябва да имате следното:
да се) PuTTy (безплатен SSH клиент)
б) Потребителско име на SSH сървър
в) Парола за SSH сървър
г) SSH порт което обикновено е 22, но тъй като 22 е по подразбиране, трябва да се промени на друг порт, за да се избегнат атаки срещу този порт.
В Linux машина, потребителско име корен е администратор по подразбиране и съдържа всички административни права.
В терминала следната команда ще инициира връзка със сървъра.
ssh root@192.168.1.1
където root е потребителското име, а 192.168.1.1 е адресът на хоста
Ето как изглежда терминалът:
Командите ви ще бъдат въведени след символ $ . За помощ с която и да е команда в терминал / шпакловка използвайте синтаксиса:
човек ssh
човешка команда
човек, последван от която и да е команда, ще се върне на екранното ръководство за команди
И така, това, което ще направя сега, е SSH да използва PuTTy в моята Debian OS, работеща на VMWare.
Но преди да направя това, трябва да активирам SSH, като вляза в моя VM Debian - Ако току-що сте закупили сървър от хостинг компания, можете да ги помолите да активират SSH за вас.
За да активирате ssh, използвайте
sudo /etc/init.d/ssh рестартиране
Тъй като използвам Ubuntu и ssh не е инсталиран, така че
За да инсталирате ssh, използвайте тези команди
sudo apt-get install openssh-client
sudo apt-get install openssh-server
И ето какво имам, влязъл в SSH чрез PuTTy:
Сега това е необходимо, за да настроите SSH и да установите сесия чрез PuTTy - По-долу ще разгледам някои основни разширени функции, които бавно ще започнат, за да ви дадат по-голяма представа за целия сценарий.
Конфигурационният файл по ssh по подразбиране се намира на: / etc / ssh / sshd_config
За да видите конфигурационния файл, използвайте: cat / etc / ssh / sshd_config
За да редактирате конфигурационния файл използвайте: vi / etc / ssh / sshd_config или nano / etc / ssh / sshd_config
След редактиране на който и да е файл, използвайте CTRL + X и натиснете клавиша Y, за да го запазите и излезете от него (нано редактор)
SSH портът може да бъде променен от конфигурационния файл, портът по подразбиране е 22. Основните команди, cat, vi и nano ще работят и за други неща. За да научите повече за командите конкретно, използвайте Google Търсене.
Ако направите някакви промени в който и да е конфигурационен файл, за тази услуга е необходимо рестартиране. Продължавайки напред, нека приемем, че сега искаме да променим нашия порт, така че това, което ще направим, е да редактираме файла sshd_config и бих използвал
nano / etc / ssh / sshd_config
Трябва да сте влезли като администратор или да използвате sudo nano / etc / ssh / sshd_config за редактиране на файла. След като бъде редактиран, рестартирайте ssh услугата, sudo /etc/init.d/ssh рестартиране
Ако променяте порт, не забравяйте да го разрешите във вашите IPTABLES, ако използвате защитната стена по подразбиране.
iptables -I INPUT -p tcp –dport 5000 -j ACCEPT/etc/rc.d/init.d/iptables save
Заявете iptables, за да потвърдите дали портът е отворен
iptables -nL | grep 5000
В конфигурационния файл има няколко директиви, както беше обсъдено по-рано, има два протокола за SSH (1 и 2). Ако е зададено на 1, променете го на 2.
По-долу е малко от моя конфигурационен файл:
# Генериран от пакета конфигурационен файл
# Вижте ръководството за sshd_config (5) за подробности
# Какви портове, IP и протоколи слушаме
Порт 5000 замени номер 22 с порт
# Използвайте тези опции, за да ограничите към кои интерфейси / протоколи ще се свързва sshd
#ListenAddress ::
#ListenAddress 0.0.0.0
Протокол 2 замени протокол 1 с 2
не забравяйте да рестартирате услугата, след като направите промени
Root е администраторът и се препоръчва той да бъде деактивиран, в противен случай, ако сте отворени за отдалечени връзки, може да станете обект на груба сила или други ssh уязвимости - Linux сървърите са най-обичаните кутии от хакерите, директивата LoginGraceTime , задава ограничение във времето за потребител за влизане и удостоверяване, ако потребителят не го направи, тогава връзката се затваря - оставете това по подразбиране.
# Удостоверяване:
ВходGraceTime 120
№ на PermitRootLogin
StrictModes да
Супер готина функция е Удостоверяване на ключ (PubkeyAuthentication) - Тази функция ви позволява да настроите само удостоверяване въз основа на ключ, както виждаме при Amazon EC3 сървърите. Можете да получите достъп до сървъра само с помощта на личния си ключ, той е много сигурен. За да работи това, ще трябва да генерирате двойка ключове и да добавите този частен ключ към отдалечената си машина и да добавите публичния ключ към сървъра, така че да може да бъде достъпен с помощта на този ключ.
PubkeyAuthentication да
AuthorizedKeysFile .ssh / оторизирани_ключове
RSAAuthentication да
Парола Аутентификационен номер
Това ще откаже всяка парола и ще позволи на потребителите достъп само с ключ.
В професионална мрежа обикновено информирате потребителите си какво им е позволено и какво не, както и всяка друга необходима информация
Конфигурационният файл за редактиране за банери е: / etc / motd
За да отворите файла в редактора, напишете: nano / etc / motd или sudo / etc / motd
Редактирайте файла, точно както бихте направили в бележника.
Можете също така да поставите банера във файл и да го направите в / etc / motd
например: nano banner.txt ще създаде файл banner.txt и веднага ще отвори редактора.
Редактирайте банера и ctrl + x / y, за да го запазите. След това направете препратка към него в motd файла, като използвате
Банер /home/users/appualscom/banner.txt ИЛИ каквото и да е, пътят на файла е.
Подобно на банера, можете също да добавите съобщение преди подкана за вход, файлът за редактиране е / etc / issue
SSH тунелиране
SSH тунелирането ви позволява да тунелирате трафика от вашата локална машина към отдалечена машина. Създава се чрез SSH протоколи и се криптира. Вижте статията на SSH тунелиране
Графична сесия през SSH тунел
Активирайте графичната / gui сесия, като коментирате следния редX11 Препращане да
В края на клиента командата ще бъде:
ssh -X корен@10.10.10.111
Можете да стартирате програма като firefox и т.н., като използвате прости команди:
firefox
Ако получите грешка на дисплея, задайте адреса:
износ DISPLAY = IPaddressofmachine: 0.0
TCP обвивки
Ако искате да разрешите избрани хостове и да откажете някои, тогава това са файловете, които трябва да редактирате
1. /etc/hosts.allow
2. /etc/hosts.deny
За да позволите няколко домакина
sshd: 10.10.10.111
За да блокирате всички да не влизат във вашия сървър, добавете следния ред в /etc/hosts.deny
sshd: ВСИЧКИ
SCP - Сигурно копиране
SCP - защитеното копие е помощна програма за прехвърляне на файлове. Ще трябва да използвате следната команда за копиране / прехвърляне на файлове през ssh.
командата по-долу ще копира myfile в / home / user2 на 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
синтаксис на дестинация на scp
За да копирате папка
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2
Търсене на файлове на отдалечена машина
Много е лесно да търсите файлове на отдалечена машина и да видите изхода на вашата система. За търсене на файлове на отдалечена машина
ssh root@10.10.10.111 “find / home / user –name‘ * .jpg ’“Командата ще търси в директорията / home / потребител за всички * .jpg файлове, можете да играете с нея. find / -name ще претърси цялата / root директория.
SSH допълнителна сигурност
iptables ви позволява да зададете ограничения, базирани на времето. Командите по-долу ще блокират потребителя за 120 секунди, ако не успеят да се удостоверят. Можете да използвате параметъра / секунда / час / минута или / ден в командата, за да посочите периода ..
Ограничения по времеiptables -A INPUT -p tcp -m state –syn –state NEW –dport 22 -m limit –limit 120 / second –limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state –syn –state NEW –dport 5000 -j DROP
5000 е портът, променете го според вашите настройки .
Разрешаване на удостоверяване от конкретен IP
iptables -A INPUT -p tcp -m state –state NEW –source 10.10.10.111 –dport 22 -j ACCEPT
Други полезни команди
Прикачете екран през SSH
ssh -t root@10.10.10.111 екран –r
Проверка на скоростта на SSH трансфер
да | pv | ssh $root@10.10.10.111 “cat> / dev / null”
