Hướng dẫn sử dụng SSH của bạn

SSH là giao thức mạng hoạt động trong bảng điều khiển. Ứng dụng khách SSH thường được sử dụng nhất là PuTTy. Hình ảnh dưới đây cho thấy một phiên SSH được thiết lập. Nó rất dễ sử dụng và nhanh chóng. Hầu hết IT Professional quản lý toàn bộ mạng thông qua SSH vì tính bảo mật và truy cập nhanh / dễ dàng để thực hiện các tác vụ quản trị và quản lý trên máy chủ. Toàn bộ phiên trong SSH được mã hóa - Các giao thức chính cho SSH là SSH1 / SSH-1 và SSH2 / SSH-2. SSH-2 là phiên bản thứ hai, an toàn hơn sau đó là SSH-1. Một hệ điều hành Linux có một tiện ích tích hợp được gọi là Terminal để truy cập console và một máy tính Windows yêu cầu một SSH Client (ví dụ như PuTTy).

Truy cập máy chủ từ xa bằng SSH

Để truy cập máy chủ / máy từ xa bằng SSH, bạn cần phải có các thông tin sau:

a) PuTTy (Ứng dụng SSH miễn phí)
b) Tên người dùng máy chủ SSH
c) Mật khẩu máy chủ SSH
d) Cổng SSH thường là 22 nhưng kể từ 22 là mặc định, nó phải được thay đổi thành một cổng khác để tránh các cuộc tấn công vào cổng này.

Trong một máy Linux, tên người dùng root là quản trị viên theo mặc định và chứa tất cả các quyền quản trị.

Trong Terminal, lệnh sau sẽ bắt đầu một kết nối đến máy chủ.

ssh [email protected]
trong đó, root là tên người dùng và 192.168.1.1 là địa chỉ máy chủ

Đây là cách thiết bị đầu cuối trông như thế nào:

Các lệnh của bạn sẽ được gõ sau ký hiệu $ . Để được trợ giúp với bất kỳ lệnh nào trong terminal / putty, hãy sử dụng cú pháp:

người đàn ông ssh
người đàn ông lệnh

người đàn ông, theo sau là bất kỳ lệnh nào sẽ trả về hướng dẫn lệnh trên màn hình

Vì vậy, những gì tôi sẽ làm bây giờ, là SSH bằng cách sử dụng PuTTy vào hệ điều hành Debian của tôi chạy trên VMWare.

Nhưng trước khi tôi làm điều đó, tôi cần phải kích hoạt SSH bằng cách đăng nhập vào máy ảo Debian của tôi - Nếu bạn vừa mua một máy chủ từ một công ty hosting, thì bạn có thể yêu cầu họ kích hoạt SSH cho bạn.

Để bật ssh, hãy sử dụng
sudo /etc/init.d/ssh khởi động lại

Kể từ khi tôi đang sử dụng Ubuntu, và ssh đã không được cài đặt, vì vậy
Để cài đặt ssh, hãy sử dụng các lệnh này
sudo apt-get cài đặt openssh-client
sudo apt-get cài đặt openssh-server

Và, đây là những gì tôi đã có, đăng nhập vào SSH qua PuTTy:

Bây giờ đây là những gì nó cần để thiết lập SSH và thiết lập một phiên thông qua PuTTy - Dưới đây, tôi sẽ giải quyết một số tính năng nâng cao cơ bản sẽ dần dần bắt đầu cung cấp cho bạn một cái nhìn lớn hơn về toàn bộ kịch bản.

Tệp cấu hình ssh mặc định được đặt tại: / etc / ssh / sshd_config
Để xem tập tin cấu hình sử dụng: cat / etc / ssh / sshd_config
Để chỉnh sửa việc sử dụng tập tin cấu hình: vi / etc / ssh / sshd_config hoặc nano / etc / ssh / sshd_config

Sau khi chỉnh sửa bất kỳ tệp nào, hãy sử dụng CTRL + X và nhấn phím Y để lưu và thoát nó (trình chỉnh sửa nano)

Cổng SSH có thể được thay đổi từ tệp cấu hình, cổng mặc định là 22. Các lệnh cơ bản, cat, vi và nano cũng sẽ hoạt động với các công cụ khác. Để tìm hiểu thêm về các lệnh cụ thể, hãy sử dụng Google Tìm kiếm.

Nếu bạn thực hiện bất kỳ thay đổi nào đối với bất kỳ tệp cấu hình nào, thì bắt buộc phải khởi động lại cho dịch vụ đó. Di chuyển xa hơn, giả sử bây giờ chúng ta muốn thay đổi cổng của mình, vì vậy những gì chúng ta sẽ làm là chỉnh sửa tệp sshd_config và tôi sẽ sử dụng

nano / etc / ssh / sshd_config

Bạn phải đăng nhập với tư cách quản trị viên hoặc sử dụng sudo nano / etc / ssh / sshd_config để chỉnh sửa tệp. Sau khi nó đã được chỉnh sửa, khởi động lại dịch vụ ssh, sudo /etc/init.d/ssh restart

Nếu bạn đang thay đổi một cổng, hãy chắc chắn cho phép nó trong IPTABLES của bạn, nếu bạn đang sử dụng tường lửa mặc định.

iptables -I INPUT -p tcp –dport 5000 -j ACCEPT
/etc/rc.d/init.d/iptables save

Truy vấn iptables để xác nhận xem cổng có mở hay không
iptables -nL | grep 5000

Có một số chỉ thị trong tệp cấu hình, như đã thảo luận ở trên, có hai giao thức cho SSH (1 & 2). Nếu được đặt thành 1, hãy đổi thành 2.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Dưới đây là một chút tệp cấu hình của tôi:

# Tệp cấu hình được tạo gói
# Xem manpage sshd_config (5) để biết chi tiết

# Cổng, IP và giao thức nào chúng tôi lắng nghe
Cổng 5000 thay thế số 22 bằng cổng
# Sử dụng các tùy chọn này để hạn chế giao diện / giao thức nào sshd sẽ liên kết với
#ListenAddress ::
#ListenAddress 0.0.0.0
Giao thức 2 thay thế giao thức 1 bằng 2

đừng quên khởi động lại dịch vụ sau khi thực hiện thay đổi

Root là quản trị viên và bạn nên tắt nó, nếu không, nếu bạn mở kết nối từ xa, bạn có thể trở thành chủ đề của cuộc tấn công bạo lực hoặc các lỗ hổng ssh khác - máy chủ Linux, là các hộp được người thân yêu nhất, chỉ thị LoginGraceTime, thiết lập giới hạn thời gian để người dùng đăng nhập và xác thực, nếu người dùng không, thì kết nối sẽ đóng - để mặc định đó.

# Xác thực:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

Một tính năng cực kỳ thú vị, là xác thực khóa (PubkeyAuthentication) - Tính năng này cho phép bạn thiết lập xác thực dựa trên khóa duy nhất, như chúng ta thấy với các máy chủ Amazon EC3. Bạn chỉ có thể truy cập máy chủ bằng khóa riêng của mình, nó rất an toàn. Để làm việc này, bạn cần phải tạo một cặp khóa và thêm khóa riêng đó vào máy từ xa của mình và thêm khóa công khai vào máy chủ để có thể truy cập khóa đó bằng khóa đó.

PubkeyAuthentication yes
AuthorizedKeysFile .ssh / authorized_keys
RSAAuthentication yes
PasswordAuthentication no

Điều này sẽ từ chối bất kỳ mật khẩu nào và sẽ chỉ cho phép người dùng truy cập bằng khóa.

Trong một mạng lưới chuyên nghiệp, bạn thường sẽ thông báo cho người dùng của bạn những gì họ được phép làm và những gì không, và bất kỳ thông tin cần thiết nào khác

Tệp cấu hình để chỉnh sửa cho biểu ngữ là: / etc / motd
Để mở tập tin trong trình soạn thảo, gõ: nano / etc / motd hoặc sudo / etc / motd

Chỉnh sửa tệp, giống như bạn sẽ làm trong notepad.

Bạn cũng có thể đặt biểu ngữ trong một tệp và tham chiếu nó trong / etc / motd

ví dụ: nano banner.txt sẽ tạo tệp tin banner.txt và ngay lập tức mở trình chỉnh sửa.

Chỉnh sửa biểu ngữ và ctrl + x / y để lưu. Sau đó, tham khảo nó trong tập tin motd sử dụng

Banner /home/users/appualscom/banner.txt HOẶC bất cứ điều gì, đường dẫn tệp là.

Cũng giống như biểu ngữ, bạn cũng có thể thêm thông báo trước dấu nhắc đăng nhập, tệp để chỉnh sửa là / etc / issue

Đường hầm SSH

SSH Tunneling cho phép bạn tạo luồng cho lưu lượng từ máy cục bộ của bạn đến một máy từ xa. Nó được tạo ra thông qua giao thức SSH và được mã hóa. Xem bài viết về SSH Tunneling

Phiên đồ họa qua đường hầm SSH

Bật phiên đồ họa / gui bằng cách bỏ ghi chú dòng sau
X11Chuyển tiếp có

Về phía khách hàng, lệnh sẽ là:
ssh -X [email protected]

Bạn có thể chạy chương trình như firefox, vv bằng cách sử dụng các lệnh đơn giản:
firefox

Nếu bạn gặp lỗi hiển thị, hãy đặt địa chỉ:
xuất khẩu DISPLAY = IPaddressofmachine: 0.0

Trình đóng gói TCP

Nếu bạn muốn cho phép các máy chủ được chọn và từ chối một số, thì đây là những tệp bạn cần chỉnh sửa

1. /etc/hosts.allow
2. /etc/hosts.deny

Để cho phép một vài máy chủ lưu trữ

sshd: 10.10.10.111

Để chặn tất cả mọi người từ sshing vào máy chủ của bạn, hãy thêm dòng sau vào /etc/hosts.deny
sshd: TẤT CẢ

SCP - Bản sao an toàn

SCP - bản sao bảo mật là một tiện ích chuyển tập tin. Bạn sẽ cần phải sử dụng lệnh sau để sao chép / chuyển các tập tin qua ssh.

lệnh dưới đây sẽ sao chép tệp của tôi vào / home / user2 vào ngày 10.10.10.111
scp / home / user / myfile [email protected]: / home / user2
cú pháp đích nguồn scp

Để sao chép một thư mục
scp –r / home / user / myfolder [email protected]: / home / user2

Tìm kiếm tệp trên máy từ xa

Nó rất dễ dàng để tìm kiếm các tập tin trên một máy từ xa và xem đầu ra trên hệ thống của bạn. Để tìm kiếm tệp trên máy từ xa

ssh [email protected] tìm / home / user –name '* .jpg'

Lệnh sẽ tìm trong thư mục / home / user cho tất cả các tệp * .jpg, bạn có thể chơi với nó. find / -name sẽ tìm kiếm toàn bộ thư mục / root.

Bảo mật bổ sung SSH

iptables cho phép bạn thiết lập các giới hạn dựa trên thời gian. Các lệnh dưới đây sẽ chặn người dùng trong 120 giây nếu họ không xác thực. Bạn có thể sử dụng tham số / giây / giờ / phút hoặc / ngày trong lệnh để chỉ định khoảng thời gian ..

Giới hạn dựa trên thời gian
iptables -A INPUT -p tcp -m state –syn –state MỚI –dự án 22-giới hạn - thăng hoa 120 / giây –liên kết 1 -j ACCEPT

iptables -A INPUT -p tcp -m state –syn –state MỚI –dân xuất 5000 -j DROP

5000 là cổng, thay đổi nó theo cài đặt của bạn .

Cho phép xác thực từ một IP cụ thể
iptables -A INPUT -p tcp -m state –state NEW –source 10.10.10.111 –dịch vụ 22 -j ACCEPT

Các lệnh hữu ích khác

Đính kèm màn hình qua SSH
ssh -t [email protected] màn hình –r
Kiểm tra tốc độ truyền SSH
vâng | pv | ssh [email protected] cat> / dev / null