Stealth ssh, pentru administratorul de sistem

După introducerea parolei pentru accesul la mașina de la distanță, apare o solicitare modificată pentru introducerea comenzilor, care arată astfel:

Aceasta înseamnă că am înregistrat cu succes și lucrăm acum în mediul serverului de la distanță. Acum, fiecare comandă va fi executată pe un server la distanță, cu privilegiile utilizatorului în care ne-am conectat (în acest caz user1).

SCP este o parte integrantă a pachetului OpenSSH. Această comandă vă permite să copiați fișiere sau foldere de la un server la distanță (sau la acesta) utilizând protocolul SSH. Prin utilizarea SSH, SCP este un înlocuitor excelent pentru protocolul FTP nesigur, care este utilizat pe scară largă pe Internet. Nu toată lumea știe că în parolele FTP sunt transmise prin rețea sub formă de text simplu, ceea ce înseamnă că atacatorii le pot intercepta cu ușurință. Deci SCP este o alternativă mult mai sigură. Cel mai simplu exemplu de utilizare a SCP arata astfel:

În acest caz, fișierul local.txt va fi copiat pe serverul de la distanță și introdus în user1 al utilizatorului de la domiciliu. În loc de

/ puteți utiliza o altă cale, de exemplu / tmp. / home / public sau orice alt folder în care user1 are permisiunea de scriere.

Pentru a copia un fișier dintr-un server la distanță la un computer local, utilizați o sintaxă SCP diferită:

Fișierul este file.txt. localizat în user1 userului de pe sistemul de la distanță, va fi copiat în folderul local (în care suntem acum).

Merită acordată atenție următoarelor parametri SCP:

-Portul P - utilizați un port non-standard (22 în mod implicit) - această opțiune ar trebui utilizată dacă serverul așteaptă o conexiune la un port non-standard. Acest parametru poate fi util atunci când vă conectați dintr-o rețea protejată de un paravan de protecție. Rularea unui server SSH pe portul 443 (utilizat pentru conexiuni HTTP securizate) este cea mai bună cale de a ocoli restricțiile stabilite de administratorul de rețea.

Interfețe grafice pentru SCP

/. În acest caz, fișierele pot fi copiate ca și cum ar fi localizate local. În mediul MS Windows, există o aplicație WinSCP excelentă. Interfața sa este foarte asemănătoare cu Total Commander. Apropo, există un plug-in pentru Total Commander. permițând conexiunile SCP.

SSH fără parole - generarea cheilor

O pereche de chei este de obicei generată folosind comanda ssh-keygen. Rezultatul acestei comenzi este prezentat mai jos. Este posibilă utilizarea tastelor RSA sau DSA.

Când programul solicită parola pentru tastă, apăsați ENTER. Aceasta va crea o cheie fără o parolă. Rețineți că acest lucru reprezintă un risc de securitate, deoarece acest lucru duce la scăderea securității sistemului la distanță la nivelul de securitate al sistemului dvs. local [un atacator care are acces la o cheie secretă stocată în sistemul dvs. local poate să o utilizeze pentru a accesa un sistem la distanță. trans.]. Deci, faceți-o la propria dvs. pericol și risc. Când ssh-keygen își termină activitatea, veți vedea că au fost generate două chei. Cheia secretă este localizată în /home/user1/.ssh/id_rsa. Nu poate fi făcută publică în niciun caz. A doua cheie (publică) este în /home/user1/.ssh/id_rsa.pub. la acesta este posibil să se acorde acces public.

Acum, dacă vrem să accesăm sistemul de la distanță de la computerul nostru local fără a cere o parolă (folosind doar aceste două chei), trebuie să adăugăm informații despre cheia noastră publică în fișierul authorized_keys. localizat în

/.ssh în sistemul de la distanță. Pentru a face acest lucru, puteți utiliza următoarele comenzi:

Rețineți că a treia comandă rulează pe serverul de la distanță. După această procedură, toate acțiunile efectuate pe serverul de la distanță prin SSH nu vor necesita o parolă. Acest lucru va simplifica foarte mult munca noastra cu serverul de la distanta.

Executarea comenzilor într-un sistem la distanță

Acum, că putem introduce sistemul la distanță fără o parolă, de ce să nu executăm mai multe comenzi la distanță? În unele cazuri, acest lucru poate fi util, de exemplu, când trebuie să executăm zilnic o comandă. Anterior, nu am putut automatiza acest proces, deoarece a trebuit să introducem manual parola (sau să o specificăm ca text simplu, care nu este sigur).

Una dintre modalitățile interesante de a utiliza o autentificare fără parolă este de a "notifica de la distanță". Să presupunem că un proces foarte important rulează pe serverul de la distanță, de exemplu, serverul web Apache. Vrem să fim anunțați când sistemul începe să se epuizeze resursele (hard diskul este plin sau încărcarea sistemului este prea mare). În acest caz, putem trimite o notificare prin e-mail. Dar dincolo de asta, putem executa o comandă la distanță care va reda semnalul audio în sistemul nostru local. Pentru aceasta puteți utiliza, de exemplu, o astfel de comandă:

Această comandă, executată de scriptul de pe serverul de la distanță, va face autentificarea fără parolă de user1 pe local_server (pe care funcționează în mod normal) și vom reda fișierul folosind comanda de redare (care este în mod normal disponibilă pe Linux).

Redirecționarea sesiunii X11 (redirecționare X) - pornire la distanță a aplicațiilor grafice

Una dintre cele mai populare caracteristici ale SSH este redirecționarea protocolului X. Aceasta vă permite să rulați aproape orice aplicație X de la distanță! Pentru a face acest lucru, trebuie doar să adăugați opțiunea -X atunci când vă conectați la un server de la distanță:

După aceea, imaginile tuturor aplicațiilor X care rulează vor fi redirecționate către serverul dvs. local X. În fișierul / etc / ssh / ssh_config, puteți activa permanent redirecționarea X11 (indicând ForwardX11 da). Desigur, pentru ca acest parametru să funcționeze, un server SSH la distanță trebuie să suporte și redirecționarea X11. Puteți configura acest lucru editând fișierul / etc / ssh / sshd_config. Cu toate acestea, în majoritatea distribuțiilor Linux, setările necesare sunt deja executate în mod implicit.
Următorul exemplu arată lansarea unei singure comenzi cu redirecționarea X:

În același timp, programul PSI va fi lansat pe serverul de la distanță și imaginea acestuia va fi direcționată către ecranul local.

Desigur, viteza aplicațiilor efectuate de la distanță va depinde în primul rând de viteza conexiunii la rețea. În rețeaua locală, acestea vor funcționa aproape fără întârziere (chiar și lucruri precum Totem, care joacă un film DivX). În cazul unei conexiuni la Internet, o linie DSL va fi suficientă pentru ca aplicații precum Skype sau Thunderbird să funcționeze fără probleme.

SSHFS - montați un dosar la distanță

Lucrul cu fișierele situate pe un server de la distanță prin SSH poate fi incomod, mai ales dacă trebuie să copiați adesea fișiere diferite în ambele direcții. Folosind protocolul de pește în Midnight Commander sau Konqueror este o soluție parțială, dar peștele rulează mai lent decât SSH și adesea încetinește atunci când copiază fișiere. Soluția ideală ar fi să montezi o resursă la distanță și să lucrezi cu ea prin SSH. Și există o astfel de oportunitate, mulțumită sshfs și proiectul de siguranță.

Instalați siguranța și sshfs în Ubuntu [și Debian. ] este foarte simplu:

După aceea, rămâne doar să adăugăm utilizatorul la care vrem să acordăm dreptul de a monta sisteme de fișiere prin SSH către grupul de siguranțe (folosind comanda usermod -G -a fuziune utilizator1 sau editarea manuală a fișierului / etc / grup). De asemenea, este necesar ca modulul de siguranțe să fie încărcat:

După aceea, putem monta dosarul de la distanță utilizând sshfs:

Comanda de mai sus montează folderul / tmp. localizat pe un server la distanță, într-un dosar

După terminarea lucrului cu sistemul la distanță, îl putem dezmembra:

Dacă intenționăm să folosim regulat fuse și sshfs, trebuie să adăugăm siguranța în fișierul / etc / modules. În caz contrar, va trebui să încărcați manual siguranța de fiecare dată.

concluzie

După cum puteți vedea, SSH este un instrument puternic pentru accesul la distanță. Dacă de multe ori trebuie să lucrați cu sistemele UNIX de la distanță, atunci ar trebui să-i stăpâniți funcțiile și să le folosiți în practică. Abilitatea de a lucra cu SSH ajută munca de zi cu zi să fie mai eficientă și mai plăcută.

Mai mult de 8 ore petrecute în căutarea informațiilor pe internet, pentru a înțelege de ce echipa rulează pe PC-ul meu și nu pe telecomandă. După ce am citit acest articol, am introdus ghilimele și totul a mers. )))) Multumesc

A uitat să scriu, și sub Linux, există un ansamblu PuTTY.

Articole similare