Немного SSH

===============

_______________

Наши контакты (Telegram):

>>>Купить через телеграм (ЖМИ СЮДА)<<<

>>>НАПИСАТЬ ОПЕРАТОРУ В ТЕЛЕГРАМ (ЖМИ СЮДА)<<<

ВНИМАНИЕ !!! ВАЖНО !!!

В Телеграм переходить только по ССЫЛКАМ что выше, в поиске НАС НЕТ там только фейки !!!

Чтобы телеграм открылся он у вас должен быть установлен!

_______________

===============

Немного SSH

Использование смарт-карт

Log in , please. How to become an author. NET Knowledge Base. Log in Sign up. Памятка пользователям ssh Configuring Linux , System administration , Server Administration abstract: В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые не боятся шелла. Предупреждение: пост очень объёмный, но для удобства использования я решил не резать его на части. Ключ состоит из открытой и закрытой части. Половинки сравниваются я утрирую и если всё ок — пускают. Важно: авторизуется не только клиент на сервере, но и сервер по отношению к клиенту то есть у сервера есть свой собственный ключ. Генерация ключа Свой ключ можно сгенерировать с помощью команды ssh-keygen. Если не задать параметры, то он сохранит всё так, как надо. Ключ можно закрыть паролем. Этот пароль в обычных графических интерфейсах спрашивается один раз и сохраняется некоторое время. Если пароль указать пустым, он спрашиваться при использовании не будет. Восстановить забытый пароль невозможно. Сменить пароль на ключ можно с помощью команды ssh-keygen -p. Структура ключа если на вопрос про расположение ответили по-умолчанию. Его копируют на сервера, куда нужно получить доступ. Его нельзя никому показывать. Обратите внимание, права на файл не должны давать возможность писать в этот файл посторонним пользователям, иначе ssh его не примет. В ключе последнее поле — user machine. Оно не имеет никакого отношения к авторизации и служит только для удобства определения где чей ключ. Заметим, это поле может быть поменяно или даже удалено без нарушения структуры ключа. Если вы знаете пароль пользователя, то процесс можно упростить. Команда ssh-copy-id user server позволяет скопировать ключ не редактируя файлы вручную. Ключ сервера Первый раз, когда вы заходите на сервер, ssh вас спрашивает, доверяете ли вы ключу. Если отвечаете нет, соединение закрывается. Узнать, где какой ключ нельзя ибо несекьюрно. Если ключ сервера поменялся например, сервер переустановили , ssh вопит от подделке ключа. Обратите внимание, если сервер не трогали, а ssh вопит, значит вы не на тот сервер ломитесь например, в сети появился ещё один компьютер с тем же IP, особо этим страдают всякие локальные сети с Удалить известный ключ сервера можно командой ssh-keygen -R server. При этом нужно удалить ещё и ключ IP они хранятся раздельно : ssh-keygen -R Их можно: а скопировать со старого сервера на новый. Пароля при этом задавать не надо то есть пустой. Ключ с паролем ssh-сервер использовать не сможет. Заметим, если вы сервера клонируете например, в виртуалках , то ssh-ключи сервера нужно обязательно перегенерировать. Копирование файлов Передача файлов на сервер иногда может утомлять. Помимо возни с sftp и прочими странными вещами, ssh предоставляет нам команду scp , которая осуществляет копирование файла через ssh-сессию. Возможность копировать здорово. И чтобы в графическом режиме копировать не из специальной программы, а из любой, привычной. Например, мы можем предоставить доступ к удалённой файловой системе через ssh так, что все локальные приложения за малым исключением не будут ничего подозревать. Использование: установить пакет sshfs сам притащит за собой fuse. Собственно, пример моего скрипта, который монтирует desunote. В моём случае idmap не нужен, так как имена пользователей локальное и удалённое совпадают. Заметим, комфортно работать получается только если у нас есть ssh-ключик см. Удалённое исполнение кода ssh может выполнить команду на удалённом сервере и тут же закрыть соединение. Некоторые приложения хотят иметь управляющий терминал. Так сказать, scp для бедных. Алиасы Скажу честно, до последнего времени не знал и не использовал. Оказались очень удобными. В более-менее крупной компании часто оказывается, что имена серверов выглядят так: spb-MX-i3. И пользователь там не равен локальному. Каждый раз печатать — туннельных синдромов не напасёшься. В малых компаниях проблема обратная — никто не думает о DNS, и обращение на сервер выглядит так: ssh root Короче, но всё равно напрягает. Ещё большая драма, если у нас есть нестандартный порт, и, например, первая версия ssh привет цискам. Про драму с scp даже рассказывать не хочется. Есть путь короче. Вот пример конфига: Host ric Hostname ооо-рога-и-копыта. Проброс X-сервера Собственно, немножко я проспойлерил эту часть в примере конфига выше. ForwardX11 — это как раз оно. Теория: Графические приложения в юникс обычно используют X-сервер wayland в пути, но всё ещё не готов. Это означает, что приложение запускается и подключается к X-серверу для рисования. Иными словами, если у вас есть голый сервер без гуя и есть локальный x-сервер в котором вы работаете , то вы можете дать возможность приложениям с сервера рисовать у вас на рабочем столе. Обычно подключение к удалённом X-серверу — не самая безопасная и тривиальная вещь. SSH позволяет упростить этот процесс и сделать его совсем безопасным. А возможность жать трафик позволяет ещё и обойтись меньшим трафиком то есть уменьшить утилизацию канала, то есть уменьшить ping точнее, latency , то есть уменьшить лаги. Ключики: -X — проброс X-сервера. В примере выше названия компании вымышленные я подключаюсь к серверу ооо-рога-и-копыта. Безопасность microsoft при работе в сети мы все хорошо знаем , так что выставлять наружу голый RDP неуютно. Вместо этого мы подключаемся к серверу по ssh, а дальше запускаем там команду rdesktop: ssh ric rdesktop -k en-us Заметим, тщательно зашифрованное и неотличимое от обычного ssh-трафика. Socks-proxy Когда я оказываюсь в очередной гостинице кафе, конференции , то местный wifi чаще всего оказывается ужасным — закрытые порты, неизвестно какой уровень безопасности. Да и доверия к чужим точкам доступа не особо много это не паранойя, я вполне наблюдал как уводят пароли и куки с помощью банального ноутбука, раздающего 3G всем желающим с названием близлежащей кафешки и пишущего интересное в процессе. Особые проблемы доставляют закрытые порты. То джаббер прикроют, то IMAP, то ещё что-нибудь. Обычный VPN pptp, l2tp, openvpn в таких ситуациях не работает — его просто не пропускают. Решением служит socks-proxy режим работы ssh. Его принцип: ssh-клиент подключается к серверу и слушает локально. Получив запрос, он отправляет его через открытое соединение на сервер, сервер устанавливает соединение согласно запросу и все данные передаёт обратно ssh-клиенту. А тот отвечает обратившемуся. И указать IP-адрес прокси. В случае с ssh это чаще всего localhost так вы не отдадите свой канал чужим людям. Подключение в режиме sock-proxy выглядит так: ssh -D user server В силу того, что чужие wifi чаще всего не только фиговые, но и лагливые, то бывает неплохо включить опцию -C сжимать трафик. Получается почти что opera turbo только картинки не жмёт. В реальном сёрфинге по http жмёт примерно в раза читай — если вам выпало несчастье в 64кбит, то вы будете мегабайтные страницы открывать не по две минуты, а секунд за Фигово, но всё ж лучше. Но главное: никаких украденных кук и подслушанных сессий. Я не зря сказал про закрытые порты. Решение — повесить сервер на й порт. Для понимания ситуации все примеры ниже будут ссылаться на вот эту схему: Комментарии: Две серые сети. Задача : у нас локально запущено приложение, нам нужно дать возможность другому пользователю за пределами нашей сети посмотреть на него. Решение: проброс локального порта Итоговая конфигурация: запросы на 8. Важно: если мы хотим использовать адрес 8. Наше приложение не совместимо с сервером другая битность, ОС, злой админ, запрещающий и накладывающий лимиты и т. Итоговая конфигурация: запросы на наш серый IP-адрес Усложним задачу: теперь нам хочется показать коллеге приложение, запущенное на localhost на сервере с адресом Решение сложно: ssh -L Мы говорим ssh перенаправлять локальные запросы с нашего адреса на localhost сервера Б и сразу после подключения запустить ssh то есть клиента ssh на сервере Б с опцией слушать на localhost и передавать запросы на сервер Порт выбран произвольно, главное, чтобы совпадал в первом вызове и во втором. Реверс-сокс-прокси Если предыдущий пример вам показался простым и очевидным, то попробуйте догадаться, что сделает этот пример: ssh -D -R Трафик полностью зашифрован и неотличим от любого другого трафика SSH. Туннелирование Если к этому моменту попа отдела безопасности не сияет лысиной, а ssh всё ещё не внесён в список врагов безопасности номер один, вот вам окончательный убийца всего и вся: туннелирование IP или даже ethernet. В самых радикальных случаях это позволяет туннелировать dhcp, заниматься удалённым arp-спуфингом, делать wake up on lan и прочие безобразия второго уровня. Подробнее описано тут: www. Легко понять, что в таких условиях невозможно никаким DPI deep packet inspection отловить подобные туннели — либо ssh разрешён читай — делай что хочешь , либо ssh запрещён и можно смело из такой компании идиотов увольняться не ощущая ни малейшего сожаления. OpenSSH позволяет использовать сервера в качестве плацдарма для подключения к другим серверам, даже если эти сервера недоверенные и могут злоупотреблять чем хотят. Для начала о простом пробросе авторизации. Повторю картинку: Допустим, мы хотим подключиться к серверу Но копировать его на 8. Опция ssh -A пробрасывает авторизацию на удалённый сервер. Вызов выглядит так: ssh -A user 8. В большинстве случаев это прокатывает. Однако, если сервер совсем дурной, то root сервера может использовать сокет для имперсонализации, когда мы подключены. Главным достоинством этого метода является полная независимость от доверенности промежуточного сервера. Если данные оконечного сервера подделаны, то подпись не сойдётся. Если данные не подделаны, то сессия устанавливается в защищённом режиме, так что перехватывать нечего. Эту клёвую настройку я не знал, и раскопал её redrampage. Опции эти появились недавно, так что пользователи centos в пролёте. Выглядит это так циферки для картинки выше :. Повторю важную мысль: сервер 8. Запретить — да, может. Но если разрешил — пропустит через себя без расшифровки или модификации. Финал Разумеется, в посте про туннели должен быть туннель, а в любой успешной статье — секретный ингредиент всеобщей популярности. Specify the reason of the downvote so the author could improve the post. Popular right now. Audio over Bluetooth: most detailed information about profiles, codecs, and devices Blog mentioned only Orphographic mistakes Punctuation mistakes Indents Text without paragraphs Too short sentences Usage of emojis Too much formatting Pictures Links Оформление кода Рекламный характер. Payment system. Similar posts. Очень полезная статья. По содержанию похожа на эту , только текст другой. Некоторые вещи реально очень круто, спасибо! Алиасы уже завтра начну применять. По крайней мере я у себя прописал так. Правда я не знал про алиасы на уровне ssh. А вы пробовали автокомплит в ssh? Набираю ssh re дополняет до redmine. Спасибо за контент. По поводу немного оффтопика. Имхо VPN лучше чем socks, и openvpn эту проблему решает отлично с port-share. Так что лично у меня для браузера порт отдает страничку, а для openvpn туннель. Честно говоря, я сам не пробовал, но в теории должно быть. Почему ssh лучше, чем openvpn? Ну, в первую очередь потому, что dpi с большой вероятностью его таки пропустит иначе все админы порвут все возможные места за поломанный ssh. Главным же аргументом является минимализм. Ну, как минимум тем, что не нужно вносить изменения в конфигурацию всего софта. По идее с т. Ну и порт шаринг из коробки. Вроде ssh не умеет. Порт шаринг — ssh не умеет. На порту может жить апач и openvpn. С точки зрения DPI возможно разницы и нет, а может и есть. Спасибо за статью, туннели очень внятно и приятно освещены, большой труд. Он же, по man-у, только для ssh v1, который нынче принудительно включать надо. Или есть подводные камни? Автор постарался, работу — плюсую, и добавляю в избранное. Побольше бы таких памяток! Автодополнение может не scp, признаемся, а автокомплит. Он, кстати, иногда умнее ssh и умудряется правильно прокидывать имя пользователя отличное от текущего. Более того, если доступ по ключу без пароля, то автокомплит может дополнять пути на удаленной машине то есть в его скриптах написано попытаться пойти на ту машину по ssh. Правда, такое поведение не всегда приемлемо из-за дополнительных тормозов. Kastrulya July 31, at PM 0. Скажите, а возможен проброс x-сервера используя Putty с linux на windows если порты на подключаемом компе закрыты. У меня только в локальной сети получалось. Только вы, наверное, хотели сказать наоборот — с windows на linux. X-сервер там, где рисуется картинка. Было мерзко, рабоче. Подключаюсь с винды к линуксу. Иксы на винде, все входящие соединения блокируются. А в Putty нужно IP X сервера указать. Файлы передавал вообще через onedayfiles. BasilioCat July 31, at PM 0. На самом деле формат файла предусматривает указание глобальных переменных, равно как и относящися к конкретному хосту, примерно так User root PasswordAuthentication yes Host home Hostname myhome. Shark July 31, at AM 0. Чтобы этого не случилось, используйте IdentitiesOnly. Пару часов однажды убил пытаясь настроить подключение к двум хостам с разными ключами. Это, кстати, очень философский вопрос, о том, какие ключи где и как использовать. Я придерживаюсь модели: один терминал — один ключ. Используется для работы с устройства. Мотивация: спиз… т ноутбук хоть у меня там ключ и под паролем , я буду точно знать, какой ключ отзывать и он грепается по hostname в конце ключа. Прекрасно вас понимаю. Но тем не менее, случаи бывают разные. Вот к примеру, на команду разработчиков ключ к GitHub-у клиента был один. Получить доступ к аккаунту, чтобы добавить другой ключ не представлялось возможным. Пришлось этот ключ использовать и остальным членам команды. ИМХО, в данном случае это было вполне оправдано и достаточно секьюрно. По окончании работ заказчик просто удалит ключ, выданный команде для работы и никто больше не получит туда доступа. Но именно это и не представлялось возможным, о чём я написал в комменте выше. Ещё есть MasterMode, который позволяет использовать уже установленное соединение для подключения ещё одной консоли, или использовании scp без авторизации. Активируется параметром -M. Ernillew July 31, at AM 0. Вы бредите. Это всего-лишь временный файл, который автоматически удалится при закрытии подключения. Ernillew July 31, at PM 0. GreyCat July 31, at PM 0. Ну, технически — это не совсем временный файл. Спасибо, теперь буду просто давать ссылку на эту статью, вместо рассказов. Только еще сопру в pdf, чтобы уж в совсем сложных случаях можно было пользоваться. UFO just landed and posted this here. Заходят пользователем на сервер. Имеется в виду тот username, который передаётся. Да, это недостаточно ясно. Можно сказать так: локальный пользователь локальной машины , удаленный пользователь определенного сервера. А вот еще ценная фича: ssh может своими силами делать chroot для пользователя sftp. Или такой хак: в список ключей можно вписать команду которая будет выполнятся на сервере вместо шэла при использовании ключа. Кстати, вы умеете настраивать chroot на sftp для отдельных ssh-учёток? Есть подводные камни: весь путь должен владеться root-ом, шэл — баш либо подобный. Мы не зря используем preseed для установки, а не клонируем готовое. Как ответили ниже, это зависит от опции HashKnownHosts. У меня другой вопрос — почему без нее считается несекьюрно? Это же публичные ключи. Я ее обычно отключаю, поскольку с ней автокомплит по имени хоста перестает работать. Тем, что это самый медленный способ: www. А я просто в запускаемых приложениях Linux Mint дабавил команду монтирования sshfs user host:path path -o reconnect. С нормальным каналом нормальный способ, зато не надо в консолях выкручивать руки. Какой хабраэффект? У меня раздача торрента даёт большую нагрузку, чем отдача статики. За 5 часов 75к хитов. Вообще ни о чём. Есть ещё замечательная статья про авторизацию по ключам, там тоже туннель в туннеле… www. GreyCat July 31, at AM 0. После чего типовая схема работы с помощью такого VPN: 1. Вариант с ProxyCommand плох несколькими вещами: 1. Плохо себя ведет с ControlMaster — в зависимости от конфигурации ControlPath мы получаем либо создание отдельного ssh-соединения до публичной машины на каждый конечный хост, либо вообще невозможность работать более, чем с одной разной приватной машиной одновременно зато с одной можно, да, поднимать сессии пачками и все будет ок. Кстати, да, про ControlMaster тоже ничего не увидел в статье, а это, субъективно, одна из самых важных, если не самая важная, настройка в ssh. Почему ControlMaster так важен? Просто чтобы scp -r делать более свободно? Или для медленных каналов? Экономит приличное количество нервов и резко повышает интерактивность использования ssh при некоторых сценариях. Даже на современных машинах с двух сторон и приличных каналах полноценный гигабит, например пользоваться, скажем, комплишеном для выбора файла на той стороне при написании строчки для scp или rsync-over-ssh, крайне некомфортно, когда на каждое нажатие Tab будет происходить реконнект с удаленной стороной, все эти хендшейки, логины, создания терминалов и т. Простите, не понимаю о чём вы. GreyCat August 1, at AM 0. Но вернемся в наше время. У меня есть все хорошо, на сервер я хожу по ключам, использование ключей подтверждается, есть комплишен, сейчас, думаю, как белый человек, воспользуюсь. Комплишен устанавливает новое соединение с server3. Обмен ключами практически в любом случае занимает минимум полсекунды. Поднимаю глаза на окошко, жму дополнительный Enter. Внезапно, для выполнения этого комплишен еще раз переподключается к серверу и я трачу еще минимум секунду и еще одно лишнее чтение окошка и нажатие Enter. Наконец-таки сделав свою задачу, через некоторое время обнаружить, что логи server3 загажены тоннами бессмысленных сообщений о подключениях вида: Aug 1 server3 sshd\\\\\\\\\\\\[\\\\\\\\\\\\]: Accepted publickey for greycat from То же 2. То же 3. Если соединения с server3 нет, то то же. Один пакет туда, один-два с результатом обратно. Даже если окошко выпрыгивало для первого коннекта, то для всех последующих уже точно все будет быстро, как на локальной ФС, и без всяких дозапросов. В логах ровно одно подключение, как и должно быть с точки зрения аккаунтинга: человек подключился, человек поработал, человек отключился. Ну, у меня один ssh-ключ, так что никаких запросов нет. А автокомплит занимает неощутимое время. Засирание логов — может быть, но кого это реально волнует? Какая разница, сколько ключей? Как раз напротив — если уж ключ везде один, то добавлять ключ без ssh-add -c можно фактически в двух случаях: 1. Либо совсем не пользоваться agent forwarding -A 2. Либо когда есть тотальная уверенность в том, что люди, которые могут получить доступ к auth-сокету агента, не воспользуются ключом не по назначению Во всех других случаях, когда есть хоть какая-то толика недоверия к людям, имеющим root на удаленном сервере, я не вижу причин не использовать ssh-add -c — это хотя и надоедливая защита, но действенная. Про время — сейчас вот специально замерил, сколько у меня занимает установление соединения, хендшейки и выполнение 1 минимальной команды на соединении. Лучший получившийся результат с одного относительно мощного сервера на другой аналогичный по линку в одном гигабитном свиче — мс при отключенном окошке подтверждения; типичный результат, к сожалению, в районе минуты — по нелокальным линкам, когда один из компьютеров медленнее другого и т. Для сравнение, худший результат с ControlMaster — 15 мс. В хороших случаях — мс. При более-менее быстрой скорости печати внезапная пауза в секунду ну или даже в 0. Засирание логов волнует, например, примерно каждую вторую IDS. Дайте угадаю — у вас rtt до сервера в районе нескольких секунд? А теперь представьте, что сервер в Америке? Опять же ждать пока разгонится slow-start на LFP при передаче файлов не очень хочется. Да и самому приятнее потом в чистых логах разбираться, если нужно будет. ICMP можно смело фильтровать по rate, доводя до нефункциональности туннель но сохраняя пинги , DNS-запросы аналогично. Так и ssh, пардон, что на 22, что на — где угодно можно зашейпить, как и в целом трафик по любым портам, по которым нет L7-проксирования. А бывают такие туннели, которые прикидываются валидным http? А то я был в таком месте, где был только выход по му и, насколько я понял, DPI. Здесь могут быть сложности с тем, что в дополнение ко всему содержимое http может фильтроваться и модифицироваться, что для веб-серфинга несущественно, а для обернутого ssh фатально. Portah August 2, at PM 0. Вот ещё инструкция хоть и на английском, но по ней все делал. И выбрался наружу в закрытом учреждении. У fusermount есть полезная опция -z lazy unmount , которая позволяет отключить даже занятый каталог. Некоторые считают, что arcfour RC4 чуть быстрее blowfish, и главное, потребляет меньше ресурсов. А при передаче файлов криптостойкость обычно не так уж важна за это arcfour и не в фаворе, хотя и незаслуженно. Небольшое дополнение насчет fuse. В этом случае при отмонтировании нужно проявить выдержку, чтобы не нажать таб, вызвав тем самым зависание консоли из-за того, что автокомплит пытается читать подмонтированную директорию. Дополню своей заметкой там про удобный ввод парольной фразы и полезняшки в коментах. Nastradamus July 31, at PM 0. А то я делал как-то так: tar -cvf — -C upload. Чтобы проверить, что в домашний каталог можно зайти. Решил проблему такой простой функцией: pastebin. Всегда умело. Stamm July 31, at PM 0. Извините, что не в QA. Как можно выполнить несколько команд. Что-то типо этого: ssh example. Мы когда-то написали для своей команды клиента, который умеет делать магию. Сейчас под GPL и лежит на гитхабе. Надо про него статейку сбацать наверное. Flagman July 31, at PM 0. Статья хорошая, спасибо. Привет от цисок: ip ssh version 2. Есть старые циски которых еще полно, и которые справляются со своими обязанностями и они не умеют v2. DeltaFlight July 31, at PM 0. Замечу, что со временем постоянная смена ключей хостов из-за переналивки задалбывает, и спасает только HashKnownHosts no StrictHostKeyChecking no в конфиге. StealthX August 1, at AM 0. Давно искал многое из этого в доступной форме с примерами. Спасибо большое! Если нужен шустрый автокомплит для scp, то можно запустить один терминал с ssh-сессией, а во втором работать с scp — он будет реюзать существующее подключение. Стало быть, многие имеют рутовый доступ к DNS серверу гугла? Странно, что никто не обратил внимание на сей факт в статье. Да это ясно. Я просто хотел сказать, что не очень удачно подобранный, так как пересекается с действительностью. Но смайлы на хабре не котируются. Дело в том, что приходится каждой программе прописывать настройки socks5, а это утомительно. Есть такая софтина redsocks — умеет заворачивать весь исходящий траф на определенный порт, а на этом порту мы и запускаем ssh -fNL… К софтине правда еще прилагаются несколько правил iptables. ControlMaster — уже упомянули пару раз в комментах. Valery4 September 23, at PM 0. Отличная статья, спасибо! В качестве дополнения — есть ещё замечательня утилита corkscrew доступна в т. В результате фрагмент конфигурации будет выглядеть так: Host home Hostname Compression yes Port ProxyCommand corkscrew webcache. Compression yes Port Заголовок спойлера Привет из Top discussions. Deploying Tarantool Cartridge applications with zero effort Part 2 0. Top posts. Your account Log in Sign up. Language settings. Mobile version. Interface Русский. Save settings.

Немного SSH

20 трюков с SSH: подборка советов и интересных команд на все случаи жизни

Шмаль закладки

Нурофен плюс как прет

Купить гашиш закладкой Бийск

Купить марихуану шишки (бошки) закладкой Сахалинская область

Закладки экстази Китай

Закладки героин в Всеволожске

Купить героин закладкой Падуя

Тор закладки

Немного SSH

Использование смарт-карт

20 трюков с SSH: подборка советов и интересных команд на все случаи жизни

Report Page