ССХ је мрежни протокол који ради у конзоли. Најчешће коришћени ССХ клијент је ПуТТи. Слика испод приказује успостављену ССХ сесију. Једноставан је за употребу и брз. Већина ИТ професионалаца управља целокупном мрежом искључиво путем ССХ-а због сигурности и брзог / лаког приступа за извршавање административних и управљачких задатака на серверу. Читава сесија у ССХ је шифрована - главни протоколи за ССХ су ССХ1 / ССХ-1 и ССХ2 / ССХ-2. ССХ-2 је други, сигурнији од ССХ-1. Линук ОС има уграђени услужни програм под називом Терминал за приступ конзоли, а Виндовс машина захтева ССХ клијента (нпр. ПуТТи).
Приступ удаљеном хосту помоћу ССХ-а
Да бисте приступили удаљеном хосту / машини помоћу ССХ-а, мораћете да имате следеће:
до) ПуТТи (бесплатни ССХ клијент)
б) Корисничко име ССХ сервера
ц) Лозинка ССХ сервера
г) ССХ порт што је обично 22, али пошто је 22 подразумевано, требало би га променити у други порт да би се избегли напади на овај порт.
У Линук машини, роот корисничко име је администратор подразумевано и садржи сва административна права.
У терминалу ће следећа команда иницирати везу са сервером.
ссх роот@192.168.1.1
где је роот корисничко име, а 192.168.1.1 адреса хоста
Овако изгледа терминал:
Ваше наредбе ће бити откуцане након симбол $ . За помоћ са било којом наредбом у терминалу / кит-у користите синтаксу:
ман ссх
команда човека
ман, праћен било којом наредбом, вратит ће се наредбе на екрану
Дакле, оно што ћу сада да урадим је да ССХ користи ПуТТи у мом Дебиан ОС-у који ради на ВМВаре-у.
Али пре него што то учиним, морам да омогућим ССХ пријављивањем на мој мој ВМ Дебиан - Ако сте управо купили сервер од компаније за хостинг, можете затражити да омогуће ССХ за вас.
Да бисте омогућили ссх, користите
судо /етц/инит.д/ссх рестарт
Пошто користим Убунту, а ссх није инсталиран, тако да
Да бисте инсталирали ссх, користите ове наредбе
судо апт-гет инсталл опенссх-цлиент
судо апт-гет инсталл опенссх-сервер
И, ево шта имам, пријављен на ССХ преко ПуТТи-а:
Сада је ово потребно за подешавање ССХ-а и успостављање сесије путем ПуТТи-а - У наставку ћу се позабавити неким основним напредним функцијама које ће полако почети да вам пружају бољи увид у цео сценарио.
Подразумевана датотека за конфигурацију ссх налази се на: / етц / ссх / ссхд_цонфиг
Да бисте погледали конфигурациону датотеку, користите: мачка / етц / ссх / ссхд_цонфиг
Да бисте уредили конфигурациону датотеку: ви / етц / ссх / ссхд_цонфиг или нано / етц / ссх / ссхд_цонфиг
Након уређивања било које датотеке, користите ЦТРЛ + Кс и притисните И тастер да бисте га сачували и напустили (нано едитор)
ССХ порт се може променити из конфигурационе датотеке, подразумевани порт је 22. Основне наредбе, цат, ви и нано ће радити и за друге ствари. Да бисте сазнали више о наредбама посебно, користите Гоогле претрагу.
Ако направите било какве промене у било којој конфигурационој датотеци, потребно је поновно покретање за ту услугу. Идемо даље, претпоставимо да сада желимо да променимо порт, тако да ћемо уредити датотеку ссхд_цонфиг и ја бих користио
нано / етц / ссх / ссхд_цонфиг
Морате бити пријављени као администратор или користите судо нано / етц / ссх / ссхд_цонфиг да бисте уредили датотеку. Након што је уређен, поново покрените ссх услугу, судо /етц/инит.д/ссх рестарт
Ако мењате порт, обавезно га дозволите у својим ИПТАБЛЕСАМА ако користите подразумевани заштитни зид.
иптаблес -И ИНПУТ -п тцп –дпорт 5000 -ј ПРИХВАТИ/етц/рц.д/инит.д/иптаблес саве
Затражите иптаблес да бисте потврдили да ли је порт отворен
иптаблес -нЛ | греп 5000
У конфигурационој датотеци постоји неколико директива, као што је претходно речено, постоје два протокола за ССХ (1 и 2). Ако је постављено на 1, промените га на 2.
Испод је део моје конфигурационе датотеке:
# Конфигурациона датотека генерисана пакетом
# Погледајте детаље на страници ссхд_цонфиг (5)
# Које портове, ИП-ове и протоколе слушамо
Лука 5000 заменио број 22 луком
# Помоћу ових опција ограничите на које ће се интерфејсе / протоколе везати ссхд
#ЛистенАддресс ::
#ЛистенАддресс 0.0.0.0
Протокол 2 је протокол 1 заменио са 2
не заборавите да поново покренете услугу након уношења промена
Роот је администратор и препоручује се да мора бити онемогућен, јер у супротном, ако сте отворени за даљинске везе, можете постати предмет грубе силе или других ссх рањивости - Линук сервери су хакери најомиљенији боксови, директиву ЛогинГрацеТиме , поставља временско ограничење за корисника да се пријави и потврди идентитет, ако се корисник не, онда се веза прекида - оставите то према подразумеваним вредностима.
# Аутентикација:
ЛогинГрацеТиме 120
ПермитРоотЛогин бр
СтрицтМодес да
Супер цоол карактеристика је Аутентификација кључа (ПубкеиАутхентицатион) - Ова функција вам омогућава да подесите само аутентификацију засновану на кључу, као што видимо код Амазон ЕЦ3 сервера. До сервера можете да приступите само користећи свој приватни кључ, он је изузетно сигуран. Да би ово функционисало, мораћете да генеришете пар кључева и додате тај приватни кључ на своју удаљену машину и додате јавни кључ серверу тако да му се може приступити помоћу тог кључа.
ПубкеиАутхентицатион да
АутхоризедКеисФиле .ссх / одобрени_кључеви
РСААутхентицатион да
ПассвордАутхентицатион бр
Ово ће одбити било какву лозинку и корисницима ће омогућити приступ само кључем.
У професионалној мрежи обично информишете своје кориснике шта смеју да раде, а шта не, као и све друге потребне информације
Конфигурациона датотека за уређивање банера је: / етц / мотд
Да бисте отворили датотеку у едитору, откуцајте: нано / етц / мотд или судо / етц / мотд
Уредите датотеку, баш као што бисте то урадили у бележници.
Такође можете поставити банер у датотеку и упутити га у / етц / мотд
на пример: нано банер.ткт креираће датотеку баннер.ткт и одмах ће отворити едитор.
Уредите банер и притисните цтрл + к / и да бисте га сачували. Затим га упутите у мотд датотеку користећи
Банер /хоме/усерс/аппуалсцом/баннер.ткт ИЛИ како год, путања до датотеке је.
Баш као банер, и ви можете додати поруку пре упита за пријаву, датотека за уређивање је / етц / иссуе
ССХ тунелирање
ССХ тунелирање вам омогућава да преусмерите саобраћај са ваше локалне машине на удаљену машину. Креиран је путем ССХ протокола и шифрован је. Погледајте чланак о ССХ тунелирање
Графичка сесија преко ССХ тунела
Омогућите графичку / гуи сесију тако што ћете коментарисати следећи редКс11 Прослеђивање да
На крају клијента наредба би била:
ссх -Кс роот@10.10.10.111
Можете покренути програм попут Фирефок-а итд. Помоћу једноставних наредби:
фирефок
Ако се појави грешка на екрану, подесите адресу:
извоз ДИСПЛАИ = ИПаддрессофмацхине: 0.0
ТЦП омотачи
Ако желите да дозволите одабраним хостовима и одбијете неке, то су датотеке које требате уредити
1. /етц/хостс.аллов
2 /етц/хостс.дени
Да дозволи неколико домаћина
ссхд: 10.10.10.111
Да бисте спречили свачије убацивање на ваш сервер, додајте следећи ред у /етц/хостс.дени
ссхд: СВЕ
СЦП - Сигурна копија
СЦП - сигурна копија је услужни програм за пренос датотека. За копирање / пренос датотека преко ссх-а мораћете да користите следећу наредбу.
наредба испод ће копирати мифиле у / хоме / усер2 10.10.10.111
сцп / хоме / усер / мифиле роот@10.10.10.111: / хоме / усер2
синтакса одредишта сцп извора
Да бисте копирали фасциклу
сцп –р / хоме / усер / мифолдер роор@10.10.10.111: / хоме / усер2
Тражење датотека на удаљеној машини
Тражење датотека на удаљеној машини и преглед резултата на вашем систему је врло једноставно. Да бисте претраживали датотеке на удаљеној машини
ссх роот@10.10.10.111 „пронађи / дом / корисник –име‘ * .јпг ’“Команда ће у директоријуму / хоме / усер тражити све датотеке * .јпг, са којима можете да се играте. финд / -наме ће претражити цео / роот директоријум.
ССХ додатна сигурност
иптаблес вам омогућава да поставите временска ограничења. Доле наведене команде блокираће корисника на 120 секунди ако не успе да се потврди идентитет. Можете користити параметар / сецонд / хоур / минуте или / даи у наредби да одредите период ..
Временски ограничена ограничењаиптаблес -А УЛАЗ -п тцп -м стање –син –држава НОВО –дпорт 22 -м ограничење –граничина 120 / секунда –лимит-бурст 1 -ј ПРИХВАТИ
иптаблес -А ИНПУТ -п тцп -м стате –син –стате НЕВ –дпорт 5000 -ј ДРОП
5000 је порт, промените га према вашим подешавањима .
Омогућавање потврде идентитета са одређене ИП адресе
иптаблес -А УЛАЗ -п тцп -м стање –држава НОВО –извор 10.10.10.111 - извештај 22 -ј ПРИХВАТИ
Остале корисне команде
Прикачите екран преко ССХ
ссх -т роот@10.10.10.111 екран –р
Провера брзине преноса ССХ
да | пв | ссх $роот@10.10.10.111 “цат> / дев / нулл”
