Hướng dẫn sử dụng SSH của bạn

SSH là một giao thức mạng hoạt động trong bảng điều khiển. Máy khách SSH được sử dụng phổ biến nhất là PuTTy. Hình ảnh dưới đây cho thấy một phiên SSH đã được thiết lập. Nó rất dễ sử dụng và nhanh chóng. Hầu hết các IT Professional chỉ quản lý toàn bộ mạng thông qua SSH vì tính bảo mật và khả năng truy cập nhanh chóng / dễ dàng để thực hiện các tác vụ quản trị và quản lý trên máy chủ. Toàn bộ phiên trong SSH được mã hóa - Các giao thức chính cho SSH là SSH1 / SSH-1 và SSH2 / SSH-2. SSH-2 là cái sau, an toàn hơn sau đó là SSH-1. Hệ điều hành Linux có một tiện ích được tích hợp sẵn gọi là Terminal để truy cập bảng điều khiển và máy tính chạy windows yêu cầu một SSH Client (ví dụ: PuTTy).

Truy cập máy chủ từ xa bằng SSH

Để truy cập máy chủ / máy từ xa bằng SSH, bạn sẽ cần phải có những thứ sau:

đến) PuTTy (Ứng dụng khách SSH miễn phí)
b) Tên người dùng máy chủ SSH
c) Mật khẩu máy chủ SSH
d) Cổng SSH thường là 22 nhưng vì 22 là mặc định, nên đổi sang cổng khác để tránh bị tấn công vào cổng này.

Trong Máy Linux, tên người dùng root là quản trị viên theo mặc định và có tất cả các quyền quản trị.

Trong Terminal, lệnh sau sẽ bắt đầu kết nối với máy chủ.

ssh root@192.168.1.1
trong đó, root là tên người dùng và 192.168.1.1 là địa chỉ máy chủ

Đây là cách thiết bị đầu cuối trông như thế nào:

Các lệnh của bạn sẽ được nhập sau ký hiệu $ . Để được trợ giúp với bất kỳ lệnh nào trong terminal / putty, hãy sử dụng cú pháp:

người đàn ông ssh
lệnh đàn ông

người đàn ông, theo sau bởi bất kỳ lệnh nào sẽ trả về hướng dẫn lệnh trên màn hình

Vì vậy, những gì tôi sẽ làm bây giờ, là SSH sử dụng PuTTy vào hệ điều hành Debian chạy trên VMWare của tôi.

Nhưng trước khi làm điều đó, tôi cần bật SSH bằng cách đăng nhập vào VM Debian của mình - Nếu bạn vừa mua một máy chủ từ một công ty lưu trữ, thì bạn có thể yêu cầu họ bật SSH cho bạn.

Để bật ssh, hãy sử dụng
sudo /etc/init.d/ssh khởi động lại

Vì tôi đang sử dụng Ubuntu và ssh chưa được cài đặt, vì vậy
Để cài đặt ssh, hãy sử dụng các lệnh này
sudo apt-get install openssh-client
sudo apt-get install openssh-server

Và đây là những gì tôi có, đã đăng nhập vào SSH qua PuTTy:

Bây giờ đây là những gì cần thiết để thiết lập SSH và thiết lập phiên thông qua PuTTy - Dưới đây, tôi sẽ đề cập đến một số tính năng nâng cao cơ bản sẽ bắt đầu từ từ để bạn có cái nhìn rõ hơn về toàn bộ tình huống.

Tệp cấu hình ssh mặc định được đặt tại: / etc / ssh / sshd_config
Để xem tệp cấu hình, hãy sử dụng: cat / etc / ssh / sshd_config
Để chỉnh sửa tệp cấu hình, hãy sử dụng: vi / etc / ssh / sshd_config hoặc là nano / etc / ssh / sshd_config

Sau khi chỉnh sửa bất kỳ tệp nào, hãy sử dụng CTRL + X và nhấn phím Y để lưu và thoát khỏi nó (trình soạn thảo nano)

Cổng SSH có thể được thay đổi từ tệp cấu hình, cổng mặc định là 22. Các lệnh cơ bản, cat, vi và nano cũng sẽ hoạt động cho các nội dung khác. Để tìm hiểu thêm về các lệnh cụ thể, sử dụng Google Tìm kiếm.

Nếu bạn thực hiện bất kỳ thay đổi nào đối với bất kỳ tệp cấu hình nào, thì dịch vụ đó cần phải khởi động lại. Tiến xa hơn, giả sử bây giờ chúng tôi muốn thay đổi cổng của mình, vì vậy những gì chúng tôi sẽ làm là chỉnh sửa tệp sshd_config và tôi sẽ sử dụng

nano / etc / ssh / sshd_config

Bạn phải đăng nhập với tư cách quản trị viên hoặc sử dụng sudo nano / etc / ssh / sshd_config để chỉnh sửa tệp. Sau khi nó đã được chỉnh sửa, hãy khởi động lại dịch vụ ssh, sudo /etc/init.d/ssh khởi động lại

Nếu bạn đang thay đổi một cổng, hãy đảm bảo cho phép cổng đó trong IPTABLES của bạn, nếu bạn đang sử dụng tường lửa mặc định.

Truy vấn iptables để xác nhận xem cổng có đang mở hay không
iptables -nL | grep 5000

Có một số chỉ thị trong tệp cấu hình, như đã thảo luận trước đó, có hai giao thức cho SSH (1 & 2). Nếu nó được đặt thành 1, hãy thay đổi nó thành 2.

Dưới đây là một chút về tệp cấu hình của tôi:

# Tệp cấu hình được tạo gói
# Xem trang sshd_config (5) để biết chi tiết

# Cổng, IP và giao thức nào chúng tôi lắng nghe
Cổng 5000 thay thế số 22 bằng cổng
# Sử dụng các tùy chọn này để hạn chế giao diện / giao thức sshd sẽ liên kết với
#ListenAddress ::
#ListenAddress 0.0.0.0
Giao thức 2 đã thay thế giao thức 1 bằng 2

đừng quên khởi động lại dịch vụ sau khi thực hiện các thay đổi

Root là quản trị viên và bạn nên vô hiệu hóa nó, nếu không, nếu bạn mở các kết nối từ xa, bạn có thể trở thành đối tượng của một cuộc tấn công brute force hoặc các lỗ hổng ssh khác - máy chủ Linux, là hộp được yêu thích nhất bởi tin tặc, chỉ thị LoginGraceTime , thiết lập giới hạn thời gian để người dùng đăng nhập và xác thực, nếu người dùng không đăng nhập, thì kết nối sẽ đóng - để mặc định.

# Xác thực:
Đăng nhậpGraceTime 120
PermitRootLogin không
Nghiêm ngặt có

Một tính năng tuyệt vời, là Xác thực khóa (PubkeyAuthentication) - Tính năng này cho phép bạn chỉ thiết lập xác thực dựa trên khóa, như chúng ta thấy với các máy chủ Amazon EC3. Bạn chỉ có thể truy cập vào máy chủ bằng khóa riêng của mình, nó có tính bảo mật cao. Để điều này hoạt động, bạn sẽ cần tạo một cặp khóa và thêm khóa riêng tư đó vào máy tính từ xa của mình, đồng thời thêm khóa công khai vào máy chủ để có thể truy cập bằng khóa đó.

PubkeyAuthentication có
AuthorizedKeysFile .ssh / allow_keys
Xác thực RSAA có
PasswordAuthentication không

Thao tác này sẽ từ chối bất kỳ mật khẩu nào và chỉ cho phép người dùng truy cập bằng khóa.

Trong một mạng lưới chuyên nghiệp, bạn thường sẽ thông báo cho người dùng của mình những gì họ được phép làm và những gì không được phép và bất kỳ thông tin cần thiết nào khác

Tệp cấu hình để chỉnh sửa cho biểu ngữ là: / etc / motd
Để mở tệp trong trình chỉnh sửa, hãy nhập: nano / etc / motd hoặc là sudo / etc / motd

Chỉnh sửa tệp, giống như bạn làm trong notepad.

Bạn cũng có thể đặt biểu ngữ trong một tệp và tham chiếu nó trong / etc / motd

ví dụ: nano banner.txt sẽ tạo một tệp banner.txt và ngay lập tức mở trình chỉnh sửa.

Chỉnh sửa biểu ngữ và ctrl + x / y để lưu biểu ngữ. Sau đó, tham chiếu nó trong tệp motd bằng cách sử dụng

Banner /home/users/appualscom/banner.txt HOẶC bất cứ thứ gì, đường dẫn tệp là.

Cũng giống như biểu ngữ, bạn cũng có thể thêm thông báo trước lời nhắc đăng nhập, tệp để chỉnh sửa là / etc / issue

SSH Tunneling

SSH Tunneling cho phép bạn truyền lưu lượng truy cập từ máy cục bộ của bạn đến một máy từ xa. Nó được tạo ra thông qua các giao thức SSH và được mã hóa. Kiểm tra bài viết trên SSH Tunneling

Phiên đồ họa qua đường hầm SSH

Về phía khách hàng, lệnh sẽ là:
ssh -X root@10.10.10.111

Bạn có thể chạy chương trình như firefox, v.v. bằng cách sử dụng các lệnh đơn giản:
firefox

Nếu bạn gặp lỗi hiển thị, hãy đặt địa chỉ:
xuất DISPLAY = IPaddressofmachine: 0.0

TCP Wrappers

Nếu bạn muốn cho phép các máy chủ đã chọn và từ chối một số máy chủ, thì đây là những tệp bạn cần chỉnh sửa

1. /etc/hosts.allow
2. /etc/hosts.deny

Để cho phép một vài máy chủ

sshd: 10.10.10.111

Để chặn mọi người nói chuyện vào máy chủ của bạn, hãy thêm dòng sau vào /etc/hosts.deny
sshd: TẤT CẢ

SCP - Bản sao Bảo mật

SCP - bản sao an toàn là một tiện ích truyền tệp. Bạn sẽ cần sử dụng lệnh sau để sao chép / chuyển tệp qua ssh.

lệnh bên dưới sẽ sao chép myfile vào / home / user2 trên 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
cú pháp đích mã nguồn scp

Để sao chép một thư mục
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2

Tìm kiếm tệp trên máy từ xa

Rất dễ dàng để tìm kiếm các tệp trên một máy từ xa và xem kết quả đầu ra trên hệ thống của bạn. Để tìm kiếm tệp trên máy từ xa

Lệnh sẽ tìm kiếm trong thư mục / home / user cho tất cả các tệp * .jpg, bạn có thể chơi với nó. find / -name sẽ tìm kiếm toàn bộ thư mục / root.

Bảo mật bổ sung SSH

iptables cho phép bạn đặt giới hạn dựa trên thời gian. Các lệnh dưới đây sẽ chặn người dùng trong 120 giây nếu họ không xác thực được. Bạn có thể sử dụng tham số / giây / giờ / phút hoặc / ngày trong lệnh để chỉ định khoảng thời gian ..

iptables -A INPUT -p tcp -m state –syn –state MỚI –dport 5000 -j DROP

5000 là cổng, hãy thay đổi nó theo cài đặt của bạn .

Cho phép xác thực từ một IP cụ thể
iptables -A INPUT -p tcp -m state –state MỚI –source 10.10.10.111 –dport 22 -j CHẤP NHẬN

Các lệnh hữu ích khác

Đính kèm màn hình qua SSH
ssh -t root@10.10.10.111 màn hình –r
Kiểm tra tốc độ truyền SSH
có | pv | ssh $root@10.10.10.111 “cat> / dev / null”