Vaš vodnik za uporabo SSH

SSH je omrežni protokol, ki deluje v konzoli. Najpogosteje uporabljen SSH odjemalec je PuTTy. Spodnja slika prikazuje uveljavljeno sejo SSH. Je enostaven za uporabo in hiter. Večina IT-strokovnjakov zaradi varnosti in hitrega / enostavnega dostopa do skrbniških in upravljavskih nalog na strežniku upravlja celotno omrežje izključno prek SSH. Celotna seja v SSH je šifrirana - glavna protokola za SSH sta SSH1 / SSH-1 in SSH2 / SSH-2. SSH-2 je slednji, bolj varen kot SSH-1. V OS Linux je vgrajen pripomoček, imenovan Terminal, za dostop do konzole, Windows sistem pa potrebuje odjemalca SSH (npr. PuTTy).

Dostop do oddaljenega gostitelja s pomočjo SSH

Za dostop do oddaljenega gostitelja / računalnika s pomočjo SSH boste morali imeti naslednje:

do) PuTTy (brezplačni SSH odjemalec)
b) Uporabniško ime strežnika SSH
c) geslo strežnika SSH
d) Vrata SSH kar je običajno 22, ker pa je privzeto 22, ga je treba spremeniti v druga vrata, da se izognete napadom na ta vrata.

V računalniku Linux je uporabniško ime root je privzeto skrbnik in vsebuje vse skrbniške pravice.

V terminalu bo naslednji ukaz vzpostavil povezavo s strežnikom.

ssh root@192.168.1.1
pri čemer je root uporabniško ime, 192.168.1.1 pa naslov gostitelja

Takole je videti terminal:

Vaši ukazi bodo vneseni po simbol $ . Za pomoč pri katerem koli ukazu v terminalu / kitu uporabite sintakso:

človek ssh
moški ukaz

človek, čemur bo sledil kateri koli ukaz, bo vrnil navodila na zaslonu

Torej, kaj zdaj bom storil, je SSH, ki uporablja PuTTy v mojem OS Debian, ki deluje na VMWare.

Preden pa to storim, moram omogočiti SSH tako, da se prijavim v svoj moj VM Debian - če ste pravkar kupili strežnik od gostiteljske družbe, lahko od njih zahtevate, da vam omogočijo SSH.

Če želite omogočiti ssh, uporabite
sudo /etc/init.d/ssh vnovični zagon

Ker uporabljam Ubuntu in ssh ni bil nameščen, tudi
Če želite namestiti ssh, uporabite te ukaze
sudo apt-get install openssh-client
sudo apt-get install openssh-server

In evo, kar imam, prijavljen v SSH prek PuTTy:

Zdaj je to tisto, kar potrebujete za nastavitev SSH in vzpostavitev seje prek PuTTy - spodaj bom obravnaval nekaj osnovnih naprednih funkcij, ki vam bodo počasi začele omogočati boljši pogled na celoten scenarij.

Privzeta konfiguracijska datoteka ssh je na naslovu: / etc / ssh / sshd_config
Za ogled konfiguracijske datoteke uporabite: mačka / etc / ssh / sshd_config
Za urejanje konfiguracijske datoteke uporabite: vi / etc / ssh / sshd_config ali nano / etc / ssh / sshd_config

Po urejanju katere koli datoteke uporabite CTRL + X in pritisnite tipko Y, da jo shranite in zaprete (urejevalnik nano)

Vrata SSH lahko spremenite iz konfiguracijske datoteke, privzeta vrata so 22. Osnovni ukazi, cat, vi in ​​nano bodo delovali tudi za druge stvari. Če želite izvedeti več o ukazih posebej, uporabite Iskanje Google.

Če spremenite katero koli konfiguracijsko datoteko, je za to storitev potreben ponovni zagon. Če nadaljujemo, domnevamo, da zdaj želimo spremeniti vrata, zato bomo uredili datoteko sshd_config in uporabil bi

nano / etc / ssh / sshd_config

Prijavljeni morate biti kot skrbnik ali uporabljati sudo nano / etc / ssh / sshd_config za urejanje datoteke. Ko je urejena, znova zaženite storitev ssh, sudo /etc/init.d/ssh vnovični zagon

Če spreminjate vrata, jih obvezno dovolite v IPTABLES, če uporabljate privzeti požarni zid.

Poizvedite iptables, da potrdite, ali so vrata odprta
iptables -nL | grep 5000

V konfiguracijski datoteki je več direktiv, kot smo že omenili, obstajata dva protokola za SSH (1 in 2). Če je nastavljena na 1, jo spremenite na 2.

Spodaj je del moje konfiguracijske datoteke:

# Konfiguracijska datoteka, ustvarjena s paketom
# Za podrobnosti glejte stran sshd_config (5)

# Katera vrata, IP-je in protokole poslušamo
Pristanišče 5000 zamenjal številko 22 s pristaniščem
# S temi možnostmi omejite, na katere vmesnike / protokole se bo vezal sshd
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokol 2 je protokol 1 zamenjal z 2

po spremembah ne pozabite znova zagnati storitve

Root je skrbnik, zato je priporočljivo, da ga onemogočite, sicer lahko, če ste odprti za oddaljene povezave, postanete predmet grobe sile ali drugih ranljivosti ssh - strežniki Linux so hekerji najbolj všeč, direktivo LoginGraceTime , nastavi časovno omejitev za prijavo in preverjanje pristnosti uporabnika, če se uporabnik ne, se povezava zapre - pustite to privzeto.

# Preverjanje pristnosti:
PrijavaGraceTime 120
PermitRootLogin št
StrictModes da

Super kul funkcija je Preverjanje pristnosti ključa (PubkeyAuthentication) - Ta funkcija vam omogoča, da nastavite samo overjanje na osnovi ključa, kot vidimo pri strežnikih Amazon EC3. Do strežnika lahko dostopate samo z zasebnim ključem, saj je zelo varen. Da bi to delovalo, morate ustvariti par ključev in dodati zasebni ključ na oddaljeni računalnik ter dodati javni ključ strežniku, da bo do njega mogoče dostopati s tem ključem.

PubkeyAuthentication da
Datoteka AuthorizedKeys .ssh / pooblaščene_ključke
RSAAuthentication da
GesloAuthentication št

S tem boste zavrnili vsa gesla in uporabnikom omogočili dostop samo s ključem.

V profesionalni mreži običajno obveščate svoje uporabnike, kaj smejo početi in česa ne, ter vse druge potrebne informacije

Konfiguracijska datoteka za urejanje pasic je: / etc / motd
Če želite datoteko odpreti v urejevalniku, vnesite: nano / etc / motd ali sudo / etc / motd

Datoteko uredite tako kot v beležki.

Pasico lahko postavite tudi v datoteko in jo navedete v / etc / motd

npr. nano banner.txt bo ustvaril datoteko banner.txt in takoj odprl urejevalnik.

Uredite pasico in jo shranite s kombinacijo tipk ctrl + x / y. Nato ga uporabite v datoteki motd

Pasica /home/users/appualscom/banner.txt ALI kar koli, pot do datoteke je.

Tako kot pasica lahko tudi pred pozivom za prijavo dodate sporočilo, datoteka za urejanje je / etc / issue

Tuneliranje SSH

SSH tuneliranje omogoča usmerjanje prometa z vašega lokalnega računalnika na oddaljeni računalnik. Ustvarjen je s protokoli SSH in šifriran. Oglejte si članek o Tuneliranje SSH

Grafično zasedanje nad tunelom SSH

Na koncu stranke bi bil ukaz:
ssh -X root@10.10.10.111

Program, kot je Firefox itd., Lahko zaženete s preprostimi ukazi:
firefox

Če se prikaže napaka na zaslonu, nastavite naslov:
izvoz ZASLON = IPadressofmachine: 0.0

TCP ovitki

Če želite dovoliti izbrane gostitelje in nekatere zavrniti, potem so to datoteke, ki jih morate urediti

1. /etc/hosts.allow
2. /etc/hosts.deny

Če želite omogočiti nekaj gostiteljev

sshd: 10.10.10.111

Če želite preprečiti, da bi vsi streljali na vaš strežnik, dodajte naslednjo vrstico v /etc/hosts.deny
sshd: VSE

SCP - varna kopija

SCP - varna kopija je pripomoček za prenos datotek. Za kopiranje / prenos datotek prek ssh boste morali uporabiti naslednji ukaz.

spodnji ukaz bo kopiral myfile v / home / user2 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
sintaksa ciljnega vira scp

Če želite kopirati mapo
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Iskanje datotek na oddaljeni napravi

Zelo enostavno je poiskati datoteke na oddaljeni napravi in ​​si ogledati izpise v sistemu. Za iskanje datotek na oddaljeni napravi

Ukaz bo v imeniku / home / user poiskal vse datoteke * .jpg, z njimi se lahko igrate. find / -name bo preiskal celoten / korenski imenik.

Dodatna varnost SSH

iptables vam omogoča, da nastavite časovne omejitve. Spodnji ukazi bodo uporabnika blokirali za 120 sekund, če se ne bo overil. Za določitev obdobja lahko v ukazu uporabite parameter / second / hour / minute ali / day.

iptables -A INPUT -p tcp -m state –syn –state NEW –dport 5000 -j DROP

5000 je vrata, spremenite jih v skladu z vašimi nastavitvami .

Omogočanje overjanja z določenega IP-ja
iptables -A INPUT -p tcp -m state -state NEW -source 10.10.10.111 -port 22 -j ACCEPT

Drugi uporabni ukazi

Zaslon pritrdite na SSH
ssh -t root@10.10.10.111 zaslon –r
Preverjanje hitrosti prenosa SSH
da | pv | ssh $root@10.10.10.111 “cat> / dev / null”