SSH egy hálózati protokoll, amely konzolon működik. A leggyakrabban használt SSH kliens a PuTTy. Az alábbi kép egy kialakított SSH munkamenetet mutat. Könnyen használható és gyors. A legtöbb IT Professional a teljes hálózatot kizárólag SSH-n keresztül kezeli a biztonság, valamint a kiszolgálón történő adminisztratív és felügyeleti feladatok gyors és könnyű elérése miatt. Az SSH teljes munkamenete titkosítva van - Az SSH fő protokolljai az SSH1 / SSH-1 és az SSH2 / SSH-2. Az SSH-2 az utóbbi, biztonságosabb, mint az SSH-1. A Linux operációs rendszer rendelkezik a konzol eléréséhez beépített Terminal nevű segédprogrammal, és egy Windows géphez SSH kliens szükséges (pl. PuTTy).
Távoli gazdagép elérése SSH használatával
Ha távoli gazdagéphez / géphez szeretne hozzáférni SSH használatával, a következőkre van szüksége:
nak nek) PuTTy (Ingyenes SSH kliens)
b) SSH szerver felhasználónév
c) SSH szerver jelszó
d) SSH port amely általában 22, de mivel a 22 az alapértelmezett, ezért egy másik portra kell cserélni, hogy elkerülje a port ellen irányuló támadásokat.
Linux gépen a felhasználónév gyökér alapértelmezés szerint a rendszergazda, és tartalmazza az összes adminisztrációs jogot.
A Terminálban a következő parancs kezdeményezi a kapcsolatot a kiszolgálóval.
ssh root@192.168.1.1
ahol a root a felhasználónév, a 192.168.1.1 pedig a gazdagép címe
Így néz ki a terminál:
A parancsokat a $ szimbólum . Ha segítségre van szüksége a terminál / putty bármelyik parancsával kapcsolatban, használja a szintaxist:
ember ssh
emberparancs
ember, majd bármely parancs követi a képernyőn megjelenő parancs útmutatást
Tehát most azt fogom csinálni, hogy az SSH a PuTTy-t használja a VMWare-en futó Debian operációs rendszerembe.
De mielőtt ezt megtenném, engedélyeznem kell az SSH-t a VM Debian-ba való bejelentkezéssel - Ha most vettél egy szervert egy tárhelyszolgáltatótól, akkor kérheted őket, hogy engedélyezzék az SSH-t neked.
Az ssh engedélyezéséhez használja a
sudo /etc/init.d/ssh újraindítás
Mivel az Ubuntut használom, és az ssh nem volt telepítve, ezért
Az ssh telepítéséhez használja ezeket a parancsokat
sudo apt-get install openssh-client
sudo apt-get install openssh-server
És itt van, amit kaptam, bejelentkezett az SSH-ba a PuTTy-n keresztül:
Most erre van szükség az SSH beállításához és egy munkamenet létrehozásához a PuTTy segítségével - Az alábbiakban néhány alapvető fejlett funkcióval foglalkozom, amelyek lassan kezdenek jobban áttekinteni az egész forgatókönyvet.
Az alapértelmezett ssh konfigurációs fájl a következő helyen található: / etc / ssh / sshd_config
A konfigurációs fájl megtekintéséhez használja: cat / etc / ssh / sshd_config
A konfigurációs fájl szerkesztéséhez használja: vi / etc / ssh / sshd_config vagy nano / etc / ssh / sshd_config
Bármely fájl szerkesztése után használja CTRL + X és nyomja meg az Y billentyűt a mentéshez és kilépéshez (nano szerkesztő)
Az SSH port megváltoztatható a konfigurációs fájlból, az alapértelmezett port 22. Az alapparancsok, a cat, vi és a nano más dolgoknál is működni fognak. Ha többet szeretne megtudni a parancsokról, használja a Google keresést.
Ha bármilyen konfigurációs fájlt módosít, akkor újra kell indítani a szolgáltatást. Tegyük fel, hogy most tovább szeretnénk változtatni a portunkat, ezért az sshd_config fájlt fogjuk szerkeszteni, és én
nano / etc / ssh / sshd_config
Be kell jelentkeznie rendszergazdaként, vagy használnia kell sudo nano / etc / ssh / sshd_config a fájl szerkesztéséhez. A szerkesztés után indítsa újra az ssh szolgáltatást, sudo /etc/init.d/ssh újraindítás
Ha egy portot módosít, mindenképpen engedélyezze azt az IPTABLES-ban, ha az alapértelmezett tűzfalat használja.
iptables -I BEMENET -p tcp –port 5000 -j ELFOGADÁS/etc/rc.d/init.d/iptables mentés
Az iptables lekérdezésével ellenőrizheti, hogy a port nyitva van-e
iptables -nL | grep 5000
A konfigurációs fájlban több irányelv található, amint azt korábban említettük, az SSH-nek két protokollja van (1 és 2). Ha 1-re van állítva, módosítsa 2-re.
Az alábbiakban bemutatom a konfigurációs fájlom egy részét:
# Csomag által generált konfigurációs fájl
# A részletekért lásd az sshd_config (5) oldalt
# Milyen portokat, IP-ket és protokollokat hallgatunk
5000-es kikötő a 22. számot kikötővel helyettesítette
# Ezekkel a beállításokkal korlátozhatja, hogy az sshd mely interfészekhez / protokollokhoz fog kötődni
#ListenAddress ::
#ListenAddress 0.0.0.0
Jegyzőkönyv 2 az 1. protokollt 2-re cserélte
a módosítások után ne felejtse el újraindítani a szolgáltatást
A Root a rendszergazda, ezért ajánlott azt kikapcsolni, különben ha nyitott a távoli kapcsolatokra, akkor brutális erőszakos támadás vagy más ssh sebezhetőség alá kerülhet - a Linux szerverek a hackerek által legkedveltebb dobozok, az irányelv LoginGraceTime , határidőt állít be a felhasználó számára a bejelentkezéshez és a hitelesítéshez, ha a felhasználó nem, akkor a kapcsolat megszűnik - hagyja ezt alapértelmezésként.
# Hitelesítés:
LoginGraceTime 120
PermitRootLogin sz
StrictModes igen
Nagyon jó tulajdonság, a Kulcs hitelesítés (PubkeyAuthentication) - Ez a funkció lehetővé teszi, hogy csak a kulcs alapú hitelesítést állítsa be, amint azt az Amazon EC3 szervereknél látjuk. A szerverhez csak a magánkulcsával férhet hozzá, ez rendkívül biztonságos. Ahhoz, hogy ez működjön, létre kell hoznia egy kulcspárot, hozzá kell adnia azt a magánkulcsot a távoli gépéhez, és hozzá kell adnia a nyilvános kulcsot a szerverhez, hogy az az adott kulccsal elérhető legyen.
PubkeyAuthentication igen
AuthorizedKeysFile .ssh / Authorized_keys
RSAHitelesítés igen
JelszóHitelesítés sz
Ez minden jelszót megtagad, és csak kulccsal engedi meg a felhasználókat.
Egy professzionális hálózatban általában tájékoztatja a felhasználókat arról, hogy mit szabad és mit nem, és minden egyéb szükséges információt
A szalaghirdetésekhez szerkesztendő konfigurációs fájl: / etc / motd
A fájl szerkesztőben történő megnyitásához írja be: nano / etc / motd vagy sudo / etc / motd
Szerkessze a fájlt, ugyanúgy, mint a jegyzettömbben.
A szalaghirdetést fájlba is helyezheti, és hivatkozhat az / etc / motd könyvtárba
például: nano banner.txt létrehoz egy banner.txt fájlt, és azonnal megnyitja a szerkesztõt.
Szerkessze a szalaghirdetést, majd a mentéshez nyomja meg a Ctrl + x / y gombot. Ezután hivatkozás a motd fájlba a
Banner /home/users/appualscom/banner.txt VAGY bármi, a fájl elérési útja.
Csakúgy, mint a szalaghirdetés, a bejelentkezési parancs előtt is hozzáadhat egy üzenetet, a szerkesztendő fájl az / etc / issue
SSH alagút
Az SSH Tunneling lehetővé teszi, hogy a forgalmat a helyi gépéről egy távoli gépre vezesse. SSH protokollok segítségével jön létre, és titkosítva van. Nézze meg a cikket SSH alagút
Grafikus munkamenet SSH alagút felett
Engedélyezze a grafikus / gui munkamenetet a következő sor megjegyzésének megszüntetésévelX11 továbbítás igen
A kliens végén a parancs a következő lenne:
ssh -X root@10.10.10.111
Futtathat olyan programokat, mint a Firefox stb., Egyszerű parancsok használatával:
firefox
Ha megjelenítési hibát kap, állítsa be a címet:
export DISPLAY = Gép IP-címe: 0.0
TCP burkolók
Ha engedélyezni akarja a kiválasztott gazdagépeket, és néhányat megtagad, akkor ezeket a fájlokat kell szerkesztenie
1. /etc/hosts.allow
2. /etc/hosts.deny
Néhány gazda engedélyezése
SSD: 11.10.10.10
Ha szeretné megakadályozni, hogy mindenki belépjen a szerverébe, adja hozzá a következő sort az /etc/hosts.deny fájlba
sshd: MINDEN
SCP - Biztonságos másolás
Az SCP - biztonságos másolat egy fájlátviteli segédprogram. A fájlok ssh-n keresztüli másolásához / átviteléhez a következő parancsot kell használnia.
az alábbi parancs másolja a myfile fájlt a / home / user2 fájlba 11.10.10
scp / home / user / myfile root@10.10.10.111: / home / user2
scp forrás cél szintaxisa
Mappa másolása
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2
Fájlok keresése távoli gépen
Nagyon könnyű fájlokat keresni egy távoli gépen, és megtekinteni a rendszer kimenetét. Fájlok keresése távoli gépen
ssh root@10.10.10.111 “find / home / user –name‘ * .jpg ’”A parancs a / home / user könyvtárban keresi az összes * .jpg fájlt, játszhat vele. A find / -name a teljes / gyökérkönyvtárban keres.
SSH kiegészítő biztonság
Az iptables lehetővé teszi az időalapú korlátozások beállítását. Az alábbi parancsok 120 másodpercre blokkolják a felhasználót, ha nem sikerül hitelesíteniük. A parancsban megadhatja a periódus megadásához a / second / hour / minute vagy / day paramétert.
Időalapú korlátokiptables -A BEMENET -p tcp -m állapot –syn –állapot ÚJ –port 22 -m határ –Limit 120 / másodperc –limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m állapot –syn – state ÚJ –port 5000 -j DROP
Az 5000 a port, változtassa meg a beállításai szerint .
Hitelesítés engedélyezése egy adott IP-ről
iptables -A INPUT -p tcp -m állapot –állapot ÚJ –forrás 10.10.10.111 –port 22 -j ACCEPT
Egyéb hasznos parancsok
Csatoljon egy képernyőt az SSH fölött
ssh -t root@10.10.10.111 képernyő –r
SSH átviteli sebesség ellenőrzése
igen | pv | ssh $root@10.10.10.111 “macska> / dev / null”
