Jūsu SSH lietošanas ceļvedis

SSH ir tīkla protokols, kas darbojas konsolē. Visbiežāk izmantotais SSH klients ir PuTTy. Zemāk redzamajā attēlā ir parādīta izveidota SSH sesija. To ir viegli lietot un ātri. Lielākā daļa IT profesionāļu visu tīklu pārvalda tikai caur SSH, pateicoties drošībai un ātrai / ērtai piekļuvei administratīvo un pārvaldības uzdevumu veikšanai serverī. Visa SSH sesija ir šifrēta - galvenie SSH protokoli ir SSH1 / SSH-1 un SSH2 / SSH-2. SSH-2 ir pēdējais, drošāks nekā SSH-1. Linux OS ir iebūvēta utilīta Terminal, lai piekļūtu konsolei, un Windows mašīnai ir nepieciešams SSH klients (piemēram, PuTTy).

Piekļuve attālajam resursdatoram, izmantojot SSH

Lai piekļūtu attālajam resursdatoram / datoram, izmantojot SSH, jums ir jābūt šādām:

uz) PuTTy (bezmaksas SSH klients)
b) SSH servera lietotājvārds
c) SSH servera parole
d) SSH ports kas parasti ir 22, bet tā kā 22 ir noklusējums, tas jāmaina uz citu portu, lai izvairītos no uzbrukumiem šai ostai.

Linux mašīnā lietotājvārda sakne pēc noklusējuma ir administrators un satur visas administratīvās tiesības.

Terminālā šī komanda izveidos savienojumu ar serveri.

ssh root@192.168.1.1
kur sakne ir lietotājvārds un 192.168.1.1 ir resursdatora adrese

Šādi izskatās termināls:

Jūsu komandas tiks rakstītas pēc $ simbols . Lai saņemtu palīdzību ar jebkuru termināļa / špakteles komandu, izmantojiet sintaksi:

cilvēks ssh
cilvēka pavēle

cilvēks, kam seko jebkura komanda, ekrānā atgriezīsies komandu norādījumi

Tātad, ko es tagad darīšu, ir tas, ka SSH izmanto PuTTy savā Debian OS, kas darbojas VMWare.

Bet pirms es to daru, man ir jāiespējo SSH, piesakoties savā manā VM Debian - ja jūs tikko iegādājāties serveri no mitināšanas uzņēmuma, varat lūgt viņiem iespējot SSH jums.

Lai iespējotu ssh, izmantojiet
sudo /etc/init.d/ssh restartēt

Tā kā es izmantoju Ubuntu, un ssh netika instalēts, tāpēc
Lai instalētu ssh, izmantojiet šīs komandas
sudo apt-get instalēt openssh-klientu
sudo apt-get instalēt openssh-serveri

Lūk, ko esmu ieguvis, pieteicos SSH, izmantojot PuTTy:

Tagad tas ir tas, kas nepieciešams, lai iestatītu SSH un izveidotu sesiju, izmantojot PuTTy. Tālāk es pievērsīšos dažām galvenajām papildu funkcijām, kas lēnām sāks sniegt labāku skatu uz visu scenāriju.

Noklusējuma ssh konfigurācijas fails atrodas: / etc / ssh / sshd_config
Lai skatītu konfigurācijas failu, izmantojiet: cat / etc / ssh / sshd_config
Lai rediģētu konfigurācijas failu, izmantojiet: vi / etc / ssh / sshd_config vai nano / etc / ssh / sshd_config

Pēc jebkura faila rediģēšanas izmantojiet CTRL + X un nospiediet Y taustiņu, lai to saglabātu un izietu (nano redaktors)

SSH portu var mainīt no konfigurācijas faila, noklusējuma ports ir 22. Pamata komandas, cat, vi un nano darbosies arī citiem materiāliem. Lai uzzinātu vairāk par komandām, izmantot Google meklēšanu.

Ja veicat izmaiņas kādā konfigurācijas failā, šim pakalpojumam ir nepieciešama restartēšana. Pieņemsim, ka tagad mēs vēlamies mainīt savu portu, tāpēc mēs rediģēsim failu sshd_config, un es izmantotu

nano / etc / ssh / sshd_config

Jums ir jāpiesakās kā administratoram vai jāizmanto sudo nano / etc / ssh / sshd_config lai rediģētu failu. Pēc rediģēšanas restartējiet ssh pakalpojumu, sudo /etc/init.d/ssh restartēt

Ja maināt portu, noteikti izmantojiet to savās IPTABLES, ja izmantojat noklusējuma ugunsmūri.

Vaicājiet iptables, lai apstiprinātu, vai ports ir atvērts
iptables -nL | grep 5000

Konfigurācijas failā ir vairākas direktīvas, kā minēts iepriekš, SSH ir divi protokoli (1 un 2). Ja tas ir iestatīts uz 1, mainiet to uz 2.

Zemāk ir mazliet mana konfigurācijas faila:

# Pakotnes ģenerēts konfigurācijas fails
# Sīkāku informāciju skatiet sshd_config (5) lapā

# Kādas ostas, IP un protokolus mēs klausāmies
5000. osta numuru 22 aizstāja ar ostu
# Izmantojiet šīs opcijas, lai ierobežotu sshd saskarnes / protokolus
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokols 2 protokolu 1 aizstāja ar 2

pēc izmaiņu veikšanas neaizmirstiet restartēt pakalpojumu

Root ir administrators, un ieteicams to atspējot, pretējā gadījumā, ja esat atvērts attālajiem savienojumiem, jūs varat kļūt par brutālu spēku uzbrukuma vai citu ssh ievainojamību objektu - Linux serveri ir hakeru vismīļākās kastes, direktīvu LoginGraceTime , nosaka laika ierobežojumu, lai lietotājs varētu pieteikties un autentificēties, ja lietotājs to nedara, savienojums tiek pārtraukts - atstājiet to pēc noklusējuma.

# Autentifikācija:
LoginGraceTime 120
PermitRootLogin nr
StrictModes jā

Ļoti atdzist iezīme ir Atslēgu autentifikācija (PubkeyAuthentication) - Šī funkcija ļauj iestatīt tikai uz atslēgu balstītu autentifikāciju, kā mēs redzam ar Amazon EC3 serveriem. Serverim var piekļūt, tikai izmantojot savu privāto atslēgu, tas ir ļoti droši. Lai tas darbotos, jums ir jāizveido atslēgu pāris un jāpievieno šī privātā atslēga tālvadības mašīnai, kā arī jāpievieno publiskā atslēga serverim, lai tai varētu piekļūt, izmantojot šo atslēgu.

PubkeyAuthentication jā
AuthorizedKeysFile .ssh / authorised_keys
RSAAutentifikācija jā
Paroles autentifikācijas Nr

Tas atteiks jebkuru paroli un lietotājiem ļaus piekļūt tikai ar atslēgu.

Profesionālā tīklā jūs parasti informējat savus lietotājus par to, ko viņiem ir atļauts darīt un ko ne, kā arī citu nepieciešamo informāciju

Reklāmkarogu rediģēšanas konfigurācijas fails ir: / etc / motd
Lai atvērtu failu redaktorā, ierakstiet: nano / etc / motd vai sudo / etc / motd

Rediģējiet failu tāpat kā to darītu piezīmju blokā.

Varat arī ievietot reklāmkarogu failā un atsaukties uz to / etc / motd

piem .: nano banner.txt izveidos failu banner.txt un nekavējoties atvērs redaktoru.

Rediģējiet reklāmkarogu un nospiediet Ctrl + x / y, lai to saglabātu. Pēc tam norādiet to motd failā, izmantojot

Reklāmkarogs /home/users/appualscom/banner.txt VAI kas cits, faila ceļš ir.

Tāpat kā reklāmkarogs, arī pirms pieteikšanās uzvednes varat pievienot ziņojumu, rediģējamais fails ir / etc / jautājums

SSH tunelēšana

SSH tunelēšana ļauj jums pārvietot satiksmi no vietējās mašīnas uz attālo mašīnu. Tas tiek izveidots, izmantojot SSH protokolus, un tiek šifrēts. Pārbaudiet rakstu vietnē SSH tunelēšana

Grafiska sesija virs SSH tuneļa

Klienta beigās komanda būtu:
ssh -X sakne@10.10.10.111

Izmantojot vienkāršas komandas, varat palaist programmu, piemēram, Firefox utt.
Firefox

Ja tiek parādīta displeja kļūda, iestatiet adresi:
eksportēt DISPLAY = Mašīnas IP adrese: 0.0

TCP iesaiņotāji

Ja vēlaties atļaut izvēlētos resursdatorus un dažus noraidīt, šie faili ir jārediģē

1. /etc/hosts.allow
2. /etc/hosts.deny

Lai atļautu dažus saimniekus

sshd: 10.10.10.111

Lai bloķētu ikviena lietotāja sshing ievadīšanu jūsu serverī, pievienojiet šādu rindu mapē /etc/hosts.deny
sshd: VISI

SCP - droša kopija

SCP - droša kopija ir failu pārsūtīšanas lietderība. Lai kopētu / pārsūtītu failus caur ssh, jums būs jāizmanto šāda komanda.

zemāk esošā komanda myfile nokopēs uz / home / user2 uz 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
scp avota galamērķa sintakse

Lai kopētu mapi
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Failu meklēšana attālajā datorā

Ir ļoti viegli meklēt failus attālā datorā un apskatīt sistēmas izvadi. Lai meklētu failus attālā datorā

Komanda meklēs visus / .jpg failus mapē / home / user, jūs varat spēlēt ar to. atrast / -nosaukums meklēs visu / saknes direktoriju.

SSH papildu drošība

iptables ļauj iestatīt laika ierobežojumus. Zemāk esošās komandas bloķēs lietotāju uz 120 sekundēm, ja neizdodas autentificēties. Lai norādītu periodu, komandā varat izmantot parametru / second / hour / minute vai / day.

iptables -A INPUT -p tcp -m stāvoklis –syn –state JAUNS –port 5000 -j DROP

5000 ir ports, mainiet to atbilstoši iestatījumiem .

Atļaut autentifikāciju no noteikta IP
iptables -A INPUT -p tcp -m stāvoklis –valsts JAUNS-avots 10.10.10.111. –dport 22 -j ACCEPT

Citas noderīgas komandas

Pievienojiet ekrānu virs SSH
ssh -t root@10.10.10.111 ekrāns –r
SSH pārsūtīšanas ātruma pārbaude
jā | pv | ssh $root@10.10.10.111 “cat> / dev / null”