SSH ir tīkla protokols, kas darbojas konsolē. Visbiežāk izmantotais SSH klients ir PuTTy. Zemāk redzamajā attēlā ir parādīta izveidota SSH sesija. To ir viegli lietot un ātri. Lielākā daļa IT profesionāļu visu tīklu pārvalda tikai caur SSH, pateicoties drošībai un ātrai / ērtai piekļuvei administratīvo un pārvaldības uzdevumu veikšanai serverī. Visa SSH sesija ir šifrēta - galvenie SSH protokoli ir SSH1 / SSH-1 un SSH2 / SSH-2. SSH-2 ir pēdējais, drošāks nekā SSH-1. Linux OS ir iebūvēta utilīta Terminal, lai piekļūtu konsolei, un Windows mašīnai ir nepieciešams SSH klients (piemēram, PuTTy).
Piekļuve attālajam resursdatoram, izmantojot SSH
Lai piekļūtu attālajam resursdatoram / datoram, izmantojot SSH, jums ir jābūt šādām:
uz) PuTTy (bezmaksas SSH klients)
b) SSH servera lietotājvārds
c) SSH servera parole
d) SSH ports kas parasti ir 22, bet tā kā 22 ir noklusējums, tas jāmaina uz citu portu, lai izvairītos no uzbrukumiem šai ostai.
Linux mašīnā lietotājvārda sakne pēc noklusējuma ir administrators un satur visas administratīvās tiesības.
Terminālā šī komanda izveidos savienojumu ar serveri.
ssh root@192.168.1.1
kur sakne ir lietotājvārds un 192.168.1.1 ir resursdatora adrese
Šādi izskatās termināls:
Jūsu komandas tiks rakstītas pēc $ simbols . Lai saņemtu palīdzību ar jebkuru termināļa / špakteles komandu, izmantojiet sintaksi:
cilvēks ssh
cilvēka pavēle
cilvēks, kam seko jebkura komanda, ekrānā atgriezīsies komandu norādījumi
Tātad, ko es tagad darīšu, ir tas, ka SSH izmanto PuTTy savā Debian OS, kas darbojas VMWare.
Bet pirms es to daru, man ir jāiespējo SSH, piesakoties savā manā VM Debian - ja jūs tikko iegādājāties serveri no mitināšanas uzņēmuma, varat lūgt viņiem iespējot SSH jums.
Lai iespējotu ssh, izmantojiet
sudo /etc/init.d/ssh restartēt
Tā kā es izmantoju Ubuntu, un ssh netika instalēts, tāpēc
Lai instalētu ssh, izmantojiet šīs komandas
sudo apt-get instalēt openssh-klientu
sudo apt-get instalēt openssh-serveri
Lūk, ko esmu ieguvis, pieteicos SSH, izmantojot PuTTy:
Tagad tas ir tas, kas nepieciešams, lai iestatītu SSH un izveidotu sesiju, izmantojot PuTTy. Tālāk es pievērsīšos dažām galvenajām papildu funkcijām, kas lēnām sāks sniegt labāku skatu uz visu scenāriju.
Noklusējuma ssh konfigurācijas fails atrodas: / etc / ssh / sshd_config
Lai skatītu konfigurācijas failu, izmantojiet: cat / etc / ssh / sshd_config
Lai rediģētu konfigurācijas failu, izmantojiet: vi / etc / ssh / sshd_config vai nano / etc / ssh / sshd_config
Pēc jebkura faila rediģēšanas izmantojiet CTRL + X un nospiediet Y taustiņu, lai to saglabātu un izietu (nano redaktors)
SSH portu var mainīt no konfigurācijas faila, noklusējuma ports ir 22. Pamata komandas, cat, vi un nano darbosies arī citiem materiāliem. Lai uzzinātu vairāk par komandām, izmantot Google meklēšanu.
Ja veicat izmaiņas kādā konfigurācijas failā, šim pakalpojumam ir nepieciešama restartēšana. Pieņemsim, ka tagad mēs vēlamies mainīt savu portu, tāpēc mēs rediģēsim failu sshd_config, un es izmantotu
nano / etc / ssh / sshd_config
Jums ir jāpiesakās kā administratoram vai jāizmanto sudo nano / etc / ssh / sshd_config lai rediģētu failu. Pēc rediģēšanas restartējiet ssh pakalpojumu, sudo /etc/init.d/ssh restartēt
Ja maināt portu, noteikti izmantojiet to savās IPTABLES, ja izmantojat noklusējuma ugunsmūri.
iptables -I INPUT -p tcp –port 5000 -j PIEŅEMT/etc/rc.d/init.d/iptables saglabāt
Vaicājiet iptables, lai apstiprinātu, vai ports ir atvērts
iptables -nL | grep 5000
Konfigurācijas failā ir vairākas direktīvas, kā minēts iepriekš, SSH ir divi protokoli (1 un 2). Ja tas ir iestatīts uz 1, mainiet to uz 2.
Zemāk ir mazliet mana konfigurācijas faila:
# Pakotnes ģenerēts konfigurācijas fails
# Sīkāku informāciju skatiet sshd_config (5) lapā
# Kādas ostas, IP un protokolus mēs klausāmies
5000. osta numuru 22 aizstāja ar ostu
# Izmantojiet šīs opcijas, lai ierobežotu sshd saskarnes / protokolus
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokols 2 protokolu 1 aizstāja ar 2
pēc izmaiņu veikšanas neaizmirstiet restartēt pakalpojumu
Root ir administrators, un ieteicams to atspējot, pretējā gadījumā, ja esat atvērts attālajiem savienojumiem, jūs varat kļūt par brutālu spēku uzbrukuma vai citu ssh ievainojamību objektu - Linux serveri ir hakeru vismīļākās kastes, direktīvu LoginGraceTime , nosaka laika ierobežojumu, lai lietotājs varētu pieteikties un autentificēties, ja lietotājs to nedara, savienojums tiek pārtraukts - atstājiet to pēc noklusējuma.
# Autentifikācija:
LoginGraceTime 120
PermitRootLogin nr
StrictModes jā
Ļoti atdzist iezīme ir Atslēgu autentifikācija (PubkeyAuthentication) - Šī funkcija ļauj iestatīt tikai uz atslēgu balstītu autentifikāciju, kā mēs redzam ar Amazon EC3 serveriem. Serverim var piekļūt, tikai izmantojot savu privāto atslēgu, tas ir ļoti droši. Lai tas darbotos, jums ir jāizveido atslēgu pāris un jāpievieno šī privātā atslēga tālvadības mašīnai, kā arī jāpievieno publiskā atslēga serverim, lai tai varētu piekļūt, izmantojot šo atslēgu.
PubkeyAuthentication jā
AuthorizedKeysFile .ssh / authorised_keys
RSAAutentifikācija jā
Paroles autentifikācijas Nr
Tas atteiks jebkuru paroli un lietotājiem ļaus piekļūt tikai ar atslēgu.
Profesionālā tīklā jūs parasti informējat savus lietotājus par to, ko viņiem ir atļauts darīt un ko ne, kā arī citu nepieciešamo informāciju
Reklāmkarogu rediģēšanas konfigurācijas fails ir: / etc / motd
Lai atvērtu failu redaktorā, ierakstiet: nano / etc / motd vai sudo / etc / motd
Rediģējiet failu tāpat kā to darītu piezīmju blokā.
Varat arī ievietot reklāmkarogu failā un atsaukties uz to / etc / motd
piem .: nano banner.txt izveidos failu banner.txt un nekavējoties atvērs redaktoru.
Rediģējiet reklāmkarogu un nospiediet Ctrl + x / y, lai to saglabātu. Pēc tam norādiet to motd failā, izmantojot
Reklāmkarogs /home/users/appualscom/banner.txt VAI kas cits, faila ceļš ir.
Tāpat kā reklāmkarogs, arī pirms pieteikšanās uzvednes varat pievienot ziņojumu, rediģējamais fails ir / etc / jautājums
SSH tunelēšana
SSH tunelēšana ļauj jums pārvietot satiksmi no vietējās mašīnas uz attālo mašīnu. Tas tiek izveidots, izmantojot SSH protokolus, un tiek šifrēts. Pārbaudiet rakstu vietnē SSH tunelēšana
Grafiska sesija virs SSH tuneļa
Iespējojiet grafisko / gui sesiju, komentējot šo rinduX11 Pārsūtīšana jā
Klienta beigās komanda būtu:
ssh -X sakne@10.10.10.111
Izmantojot vienkāršas komandas, varat palaist programmu, piemēram, Firefox utt.
Firefox
Ja tiek parādīta displeja kļūda, iestatiet adresi:
eksportēt DISPLAY = Mašīnas IP adrese: 0.0
TCP iesaiņotāji
Ja vēlaties atļaut izvēlētos resursdatorus un dažus noraidīt, šie faili ir jārediģē
1. /etc/hosts.allow
2. /etc/hosts.deny
Lai atļautu dažus saimniekus
sshd: 10.10.10.111
Lai bloķētu ikviena lietotāja sshing ievadīšanu jūsu serverī, pievienojiet šādu rindu mapē /etc/hosts.deny
sshd: VISI
SCP - droša kopija
SCP - droša kopija ir failu pārsūtīšanas lietderība. Lai kopētu / pārsūtītu failus caur ssh, jums būs jāizmanto šāda komanda.
zemāk esošā komanda myfile nokopēs uz / home / user2 uz 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
scp avota galamērķa sintakse
Lai kopētu mapi
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2
Failu meklēšana attālajā datorā
Ir ļoti viegli meklēt failus attālā datorā un apskatīt sistēmas izvadi. Lai meklētu failus attālā datorā
ssh root@10.10.10.111 “find / home / user –name‘ * .jpg ’”Komanda meklēs visus / .jpg failus mapē / home / user, jūs varat spēlēt ar to. atrast / -nosaukums meklēs visu / saknes direktoriju.
SSH papildu drošība
iptables ļauj iestatīt laika ierobežojumus. Zemāk esošās komandas bloķēs lietotāju uz 120 sekundēm, ja neizdodas autentificēties. Lai norādītu periodu, komandā varat izmantot parametru / second / hour / minute vai / day.
Laika ierobežojumiiptables -A IEVADE -p tcp -m stāvoklis –syn –valsts JAUNS –port 22 -m ierobežojums –limitāt 120 / sekundē –limit-sprādziens 1 -j ACCEPT
iptables -A INPUT -p tcp -m stāvoklis –syn –state JAUNS –port 5000 -j DROP
5000 ir ports, mainiet to atbilstoši iestatījumiem .
Atļaut autentifikāciju no noteikta IP
iptables -A INPUT -p tcp -m stāvoklis –valsts JAUNS-avots 10.10.10.111. –dport 22 -j ACCEPT
Citas noderīgas komandas
Pievienojiet ekrānu virs SSH
ssh -t root@10.10.10.111 ekrāns –r
SSH pārsūtīšanas ātruma pārbaude
jā | pv | ssh $root@10.10.10.111 “cat> / dev / null”