Teie SSH-i kasutamise juhend

SSH on võrguprotokoll, mis töötab konsoolis. Kõige sagedamini kasutatav SSH klient on PuTTy. Alloleval pildil on väljakujunenud SSH-seanss. Seda on lihtne kasutada ja kiire. Enamik IT-professionaalidest haldab kogu võrku ainult SSH kaudu turvalisuse ja kiire / lihtsa juurdepääsu tõttu haldus- ja haldusülesannete täitmiseks serveris. Kogu SSH-seanss on krüptitud - SSH-i peamised protokollid on SSH1 / SSH-1 ja SSH2 / SSH-2. SSH-2 on viimane, turvalisem kui SSH-1. Linuxi operatsioonisüsteemil on konsoolile juurdepääsemiseks sisseehitatud utiliit Terminal ja Windowsi masin vajab SSH-klienti (nt PuTTy).

Juurdepääs kaughostile SSH abil

SSH-ga kaughosti / -masina juurde pääsemiseks peab teil olema järgmine:

kuni) PuTTy (tasuta SSH-klient)
b) SSH-serveri kasutajanimi
c) SSH-serveri parool
d) SSH-port mis on tavaliselt 22, kuid kuna vaikimisi on 22, tuleks see selle pordi rünnakute vältimiseks vahetada teise porti.

Linuxi masinas on kasutajanime juur on vaikimisi administraator ja sisaldab kõiki administraatori õigusi.

Terminalis käivitab järgmine käsk ühenduse serveriga.

ssh root@192.168.1.1
kus root on kasutajanimi ja 192.168.1.1 on hostiaadress

Nii näeb terminal välja:

Teie käsud tippitakse pärast $ sümbol . Terminali / putty mis tahes käskude kohta abi saamiseks kasutage süntaksit:

mees ssh
mehe käsk

mees, millele järgneb mis tahes käsk, kuvatakse ekraanil kuvatud käskude juhised

Mida ma nüüd tegema hakkan, on SSH, kasutades PuTTyt minu VMWare'is töötavas Debiani operatsioonisüsteemis.

Kuid enne seda pean SSH-i lubama, logides sisse oma VM Debianisse - kui olete just hostifirmalt serveri ostnud, võite paluda neil SSH teie jaoks lubada.

Ssh lubamiseks kasutage
sudo /etc/init.d/ssh taaskäivitage

Kuna ma kasutan Ubuntu ja ssh ei olnud installitud, siis ka
Ssh installimiseks kasutage neid käske
sudo apt-get install openssh-klient
sudo apt-get install openssh-server

Ja siin on see, mis mul on, logisin PuTTy kaudu SSH-sse sisse:

Nüüd on see vajalik SSH seadistamiseks ja seansi loomiseks PuTTy kaudu - allpool käsitlen mõningaid põhifunktsioonide põhifunktsioone, mis hakkavad aeglaselt kogu stsenaariumi paremini kuvama.

Vaikimisi ssh-konfiguratsioonifail asub aadressil: / etc / ssh / sshd_config
Konfiguratsioonifaili kuvamiseks kasutage järgmist. kass / etc / ssh / sshd_config
Konfiguratsioonifaili muutmiseks kasutage järgmist. vi / etc / ssh / sshd_config või nano / etc / ssh / sshd_config

Pärast mis tahes faili redigeerimist kasutage CTRL + X ja vajutage Y-klahvi selle salvestamiseks ja väljumiseks (nano-redaktor)

SSH-porti saab muuta konfiguratsioonifailist, vaikeport on 22. Põhikäsklused cat, vi ja nano töötavad ka muude asjadega. Täpsemalt käskude kohta lisateabe saamiseks kasutage Google'i otsingut.

Kui teete mis tahes konfiguratsioonifailis muudatusi, on selle teenuse jaoks vaja taaskäivitada. Edasi liikudes oletame, et soovime nüüd oma porti muuta, seega muudame faili sshd_config ja ma kasutaksin seda

nano / etc / ssh / sshd_config

Peate olema sisse logitud administraatorina või kasutama sudo nano / etc / ssh / sshd_config faili muutmiseks. Pärast redigeerimist taaskäivitage ssh-teenus, sudo /etc/init.d/ssh taaskäivitage

Kui muudate porti, lubage see kindlasti oma IPTABLES, kui kasutate vaikimisi tulemüüri.

Kui port on avatud, küsige iptablesilt
iptables -nL | grep 5000

Konfiguratsioonifailis on mitu direktiivi, nagu varem käsitletud, SSH-le on kaks protokolli (1 ja 2). Kui selle väärtuseks on seatud 1, muutke see väärtuseks 2.

Allpool on natuke minu konfiguratsioonifaili:

# Paketi loodud konfiguratsioonifail
# Vaadake üksikasju sshd_config (5)

# Milliseid porte, IP-sid ja protokolle me kuulame
Sadam 5000 asendas numbri 22 sadamaga
# Kasutage neid suvandeid, et piirata liideseid / protokolle, millega sshd seondub
#ListenAddress ::
#ListenAddress 0.0.0.0
Protokoll 2 asendas protokolli 1 2-ga

ärge unustage pärast muudatuste tegemist teenust taaskäivitada

Root on administraator ja soovitatav on see keelata, vastasel juhul, kui olete avatud kaugühendustele, võite sattuda julma jõu rünnaku või muude ssh-i haavatavuste hulka - Linuxi serverid on häkkerite armastatuimad kastid, direktiivi LoginGraceTime , määrab kasutajale sisselogimiseks ja autentimiseks ajapiirangu, kui kasutaja seda ei tee, siis ühendus sulgub - jätke see vaikimisi.

# Autentimine:
LoginGraceTime 120
PermitRootLogin nr
StrictModes jah

Ülilahe funktsioon on Võtme autentimine (PubkeyAuthentication) - See funktsioon võimaldab teil seadistada ainult võtmepõhist autentimist, nagu näeme Amazon EC3 serveritega. Serverile pääseb juurde ainult oma privaatvõtme abil, see on üliturvaline. Selle toimimiseks peate looma võtmepaari ja lisama selle privaatvõtme oma kaugmasinasse ning lisama avaliku võtme serverisse, et sellele selle võtmega juurde pääseda.

PubkeyAuthentication jah
AuthorizedKeysFile .ssh / authorised_keys
RSAAutentimine jah
Parooli autentimise nr

See keelab mis tahes parooli ja võimaldab kasutajatel juurdepääsu ainult võtmega.

Professionaalses võrgus teavitate tavaliselt oma kasutajaid sellest, mida neil on lubatud teha ja mida mitte, ning muud vajalikku teavet

Bännerite jaoks redigeeritav konfiguratsioonifail on: / etc / motd
Faili avamiseks redaktoris tippige: nano / etc / motd või sudo / etc / motd

Redigeerige faili nagu märkmikus.

Bänneri saab paigutada ka faili ja viidata sellele kataloogis / etc / motd

nt: nano banner.txt loob faili banner.txt ja avab kohe redaktori.

Muutke ribariba ja selle salvestamiseks vajutage klahve Ctrl + x / y. Seejärel viige see motd-faili kasutades

Bänner /home/users/appualscom/banner.txt VÕI mis iganes, faili tee on.

Nii nagu bänner, saate ka enne sisselogimisviiba lisada sõnumi, redigeeritav fail on / etc / issue

SSH tunnelid

SSH tunnelite loomine võimaldab teil liiklust tunnistada kohalikust masinast kaugmasinani. See on loodud SSH-protokollide kaudu ja krüptitud. Tutvuge artikliga SSH tunnelid

Graafiline seanss SSH tunneli kohal

Kliendi lõpus on käsk järgmine:
ssh -X juur@10.10.10.111

Saate käivitada programmi nagu Firefox jne, kasutades lihtsaid käske:
Firefox

Kui kuvatakse tõrge, siis määrake aadress:
eksport DISPLAY = masina IP-aadress: 0,0

TCP ümbrised

Kui soovite valitud hostid lubada ja mõned keelata, siis peate neid faile muutma

1. /etc/hosts.allow
2. /etc/hosts.deny

Mõne hosti lubamiseks

SSD: 10.10.10.111

Kõigi blokeerimise blokeerimiseks teie serverisse lisage järgmine rida kataloogi /etc/hosts.deny
sshd: KÕIK

SCP - turvaline koopia

SCP - turvaline koopia on failiedastusutiliit. Failide ssh-i kaudu kopeerimiseks / edastamiseks peate kasutama järgmist käsku.

allolev käsk kopeerib minu faili 10.10.10.111 saidile / home / user2
scp / home / user / myfile root@10.10.10.111: / home / user2
scp allika sihtkoha süntaks

Kausta kopeerimiseks
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Failide otsimine kaugarvutist

Kaugmasinast failide otsimine ja süsteemi väljundi vaatamine on väga lihtne. Failide otsimiseks kaugarvutist

Käsk otsib kataloogist / home / user kõiki * .jpg-faile, saate sellega mängida. find / -name otsib tervet / juurkataloogi.

SSH lisaturvalisus

iptables võimaldab teil määrata ajapõhiseid piiranguid. Allpool olevad käsud blokeerivad kasutaja 120 sekundiks, kui neid ei õnnestu autentida. Perioodi täpsustamiseks saate käsus kasutada parameetrit / second / hour / minute või / day.

iptables -A SISEND -p tcp -m olek –syn –riik UUS –port 5000 -j DROP

5000 on port, muutke seda vastavalt oma seadetele .

Autentimise lubamine konkreetselt IP-lt
iptables -A INPUT -p tcp -m olek –riik NEW –allikas 10.10.10.111 –port 22 -j ACCEPT

Muud kasulikud käsud

Lisage SSH-i ekraan
ssh -t root@10.10.10.111 ekraan –r
SSH edastuskiiruse kontroll
jah | pv | ssh $root@10.10.10.111 “kass> / dev / null”