SSH je omrežni protokol, ki deluje v konzoli. Najpogosteje uporabljen SSH odjemalec je PuTTy. Spodnja slika prikazuje uveljavljeno sejo SSH. Je enostaven za uporabo in hiter. Večina IT-strokovnjakov zaradi varnosti in hitrega / enostavnega dostopa do skrbniških in upravljavskih nalog na strežniku upravlja celotno omrežje izključno prek SSH. Celotna seja v SSH je šifrirana - glavna protokola za SSH sta SSH1 / SSH-1 in SSH2 / SSH-2. SSH-2 je slednji, bolj varen kot SSH-1. V OS Linux je vgrajen pripomoček, imenovan Terminal, za dostop do konzole, Windows sistem pa potrebuje odjemalca SSH (npr. PuTTy).
Dostop do oddaljenega gostitelja s pomočjo SSH
Za dostop do oddaljenega gostitelja / računalnika s pomočjo SSH boste morali imeti naslednje:
do) PuTTy (brezplačni SSH odjemalec)
b) Uporabniško ime strežnika SSH
c) geslo strežnika SSH
d) Vrata SSH kar je običajno 22, ker pa je privzeto 22, ga je treba spremeniti v druga vrata, da se izognete napadom na ta vrata.
V računalniku Linux je uporabniško ime root je privzeto skrbnik in vsebuje vse skrbniške pravice.
V terminalu bo naslednji ukaz vzpostavil povezavo s strežnikom.
ssh root@192.168.1.1
pri čemer je root uporabniško ime, 192.168.1.1 pa naslov gostitelja
Takole je videti terminal:
Vaši ukazi bodo vneseni po simbol $ . Za pomoč pri katerem koli ukazu v terminalu / kitu uporabite sintakso:
človek ssh
moški ukaz
človek, čemur bo sledil kateri koli ukaz, bo vrnil navodila na zaslonu
Torej, kaj zdaj bom storil, je SSH, ki uporablja PuTTy v mojem OS Debian, ki deluje na VMWare.
Preden pa to storim, moram omogočiti SSH tako, da se prijavim v svoj moj VM Debian - če ste pravkar kupili strežnik od gostiteljske družbe, lahko od njih zahtevate, da vam omogočijo SSH.
Če želite omogočiti ssh, uporabite
sudo /etc/init.d/ssh vnovični zagon
Ker uporabljam Ubuntu in ssh ni bil nameščen, tudi
Če želite namestiti ssh, uporabite te ukaze
sudo apt-get install openssh-client
sudo apt-get install openssh-server
In evo, kar imam, prijavljen v SSH prek PuTTy:
Zdaj je to tisto, kar potrebujete za nastavitev SSH in vzpostavitev seje prek PuTTy - spodaj bom obravnaval nekaj osnovnih naprednih funkcij, ki vam bodo počasi začele omogočati boljši pogled na celoten scenarij.
Privzeta konfiguracijska datoteka ssh je na naslovu: / etc / ssh / sshd_config
Za ogled konfiguracijske datoteke uporabite: mačka / etc / ssh / sshd_config
Za urejanje konfiguracijske datoteke uporabite: vi / etc / ssh / sshd_config ali nano / etc / ssh / sshd_config
Po urejanju katere koli datoteke uporabite CTRL + X in pritisnite tipko Y, da jo shranite in zaprete (urejevalnik nano)
Vrata SSH lahko spremenite iz konfiguracijske datoteke, privzeta vrata so 22. Osnovni ukazi, cat, vi in nano bodo delovali tudi za druge stvari. Če želite izvedeti več o ukazih posebej, uporabite Iskanje Google.
Če spremenite katero koli konfiguracijsko datoteko, je za to storitev potreben ponovni zagon. Če nadaljujemo, domnevamo, da zdaj želimo spremeniti vrata, zato bomo uredili datoteko sshd_config in uporabil bi
nano / etc / ssh / sshd_config
Prijavljeni morate biti kot skrbnik ali uporabljati sudo nano / etc / ssh / sshd_config za urejanje datoteke. Ko je urejena, znova zaženite storitev ssh, sudo /etc/init.d/ssh vnovični zagon
Če spreminjate vrata, jih obvezno dovolite v IPTABLES, če uporabljate privzeti požarni zid.
iptables -I INPUT -p tcp –dport 5000 -j SPREJEM/etc/rc.d/init.d/iptables shrani
Poizvedite iptables, da potrdite, ali so vrata odprta
iptables -nL | grep 5000
V konfiguracijski datoteki je več direktiv, kot smo že omenili, obstajata dva protokola za SSH (1 in 2). Če je nastavljena na 1, jo spremenite na 2.
Spodaj je del moje konfiguracijske datoteke:
# Konfiguracijska datoteka, ustvarjena s paketom
# Za podrobnosti glejte stran sshd_config (5)
# Katera vrata, IP-je in protokole poslušamo
Pristanišče 5000 zamenjal številko 22 s pristaniščem
# S temi možnostmi omejite, na katere vmesnike / protokole se bo vezal sshd
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokol 2 je protokol 1 zamenjal z 2
po spremembah ne pozabite znova zagnati storitve
Root je skrbnik, zato je priporočljivo, da ga onemogočite, sicer lahko, če ste odprti za oddaljene povezave, postanete predmet grobe sile ali drugih ranljivosti ssh - strežniki Linux so hekerji najbolj všeč, direktivo LoginGraceTime , nastavi časovno omejitev za prijavo in preverjanje pristnosti uporabnika, če se uporabnik ne, se povezava zapre - pustite to privzeto.
# Preverjanje pristnosti:
PrijavaGraceTime 120
PermitRootLogin št
StrictModes da
Super kul funkcija je Preverjanje pristnosti ključa (PubkeyAuthentication) - Ta funkcija vam omogoča, da nastavite samo overjanje na osnovi ključa, kot vidimo pri strežnikih Amazon EC3. Do strežnika lahko dostopate samo z zasebnim ključem, saj je zelo varen. Da bi to delovalo, morate ustvariti par ključev in dodati zasebni ključ na oddaljeni računalnik ter dodati javni ključ strežniku, da bo do njega mogoče dostopati s tem ključem.
PubkeyAuthentication da
Datoteka AuthorizedKeys .ssh / pooblaščene_ključke
RSAAuthentication da
GesloAuthentication št
S tem boste zavrnili vsa gesla in uporabnikom omogočili dostop samo s ključem.
V profesionalni mreži običajno obveščate svoje uporabnike, kaj smejo početi in česa ne, ter vse druge potrebne informacije
Konfiguracijska datoteka za urejanje pasic je: / etc / motd
Če želite datoteko odpreti v urejevalniku, vnesite: nano / etc / motd ali sudo / etc / motd
Datoteko uredite tako kot v beležki.
Pasico lahko postavite tudi v datoteko in jo navedete v / etc / motd
npr. nano banner.txt bo ustvaril datoteko banner.txt in takoj odprl urejevalnik.
Uredite pasico in jo shranite s kombinacijo tipk ctrl + x / y. Nato ga uporabite v datoteki motd
Pasica /home/users/appualscom/banner.txt ALI kar koli, pot do datoteke je.
Tako kot pasica lahko tudi pred pozivom za prijavo dodate sporočilo, datoteka za urejanje je / etc / issue
Tuneliranje SSH
SSH tuneliranje omogoča usmerjanje prometa z vašega lokalnega računalnika na oddaljeni računalnik. Ustvarjen je s protokoli SSH in šifriran. Oglejte si članek o Tuneliranje SSH
Grafično zasedanje nad tunelom SSH
Omogočite grafično / gui sejo tako, da prekličite komentar v naslednji vrsticiX11Posredovanje da
Na koncu stranke bi bil ukaz:
ssh -X root@10.10.10.111
Program, kot je Firefox itd., Lahko zaženete s preprostimi ukazi:
firefox
Če se prikaže napaka na zaslonu, nastavite naslov:
izvoz ZASLON = IPadressofmachine: 0.0
TCP ovitki
Če želite dovoliti izbrane gostitelje in nekatere zavrniti, potem so to datoteke, ki jih morate urediti
1. /etc/hosts.allow
2. /etc/hosts.deny
Če želite omogočiti nekaj gostiteljev
sshd: 10.10.10.111
Če želite preprečiti, da bi vsi streljali na vaš strežnik, dodajte naslednjo vrstico v /etc/hosts.deny
sshd: VSE
SCP - varna kopija
SCP - varna kopija je pripomoček za prenos datotek. Za kopiranje / prenos datotek prek ssh boste morali uporabiti naslednji ukaz.
spodnji ukaz bo kopiral myfile v / home / user2 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
sintaksa ciljnega vira scp
Če želite kopirati mapo
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2
Iskanje datotek na oddaljeni napravi
Zelo enostavno je poiskati datoteke na oddaljeni napravi in si ogledati izpise v sistemu. Za iskanje datotek na oddaljeni napravi
ssh root@10.10.10.111 “find / home / user –name‘ * .jpg ’”Ukaz bo v imeniku / home / user poiskal vse datoteke * .jpg, z njimi se lahko igrate. find / -name bo preiskal celoten / korenski imenik.
Dodatna varnost SSH
iptables vam omogoča, da nastavite časovne omejitve. Spodnji ukazi bodo uporabnika blokirali za 120 sekund, če se ne bo overil. Za določitev obdobja lahko v ukazu uporabite parameter / second / hour / minute ali / day.
Časovne omejitveiptables -A INPUT -p tcp -m stanje –syn –state NOVO –port 22 -m limit - omejitev 120 / sekundo –limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m state –syn –state NEW –dport 5000 -j DROP
5000 je vrata, spremenite jih v skladu z vašimi nastavitvami .
Omogočanje overjanja z določenega IP-ja
iptables -A INPUT -p tcp -m state -state NEW -source 10.10.10.111 -port 22 -j ACCEPT
Drugi uporabni ukazi
Zaslon pritrdite na SSH
ssh -t root@10.10.10.111 zaslon –r
Preverjanje hitrosti prenosa SSH
da | pv | ssh $root@10.10.10.111 “cat> / dev / null”