Немного SSH

Мы профессиональная команда, которая на рынке работает уже более 2 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

Наши контакты:

Telegram:

https://t.me/stuff_men

E-mail:

stuffmen@protonmail.com

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Передача файлов на сервер иногда может утомлять. Не смотря на то, что mc умеет делать соединение по ssh, копировать большие файлы будет очень мучительно, так как fish модуль mc для работы с ssh как с виртуальной fs работает очень медленно. И чтобы в графическом режиме копировать не из специальной программы, а из любой, привычной. Например, мы можем предоставить доступ к удалённой файловой системе через ssh так, что все локальные приложения за малым исключением не будут ничего подозревать. Собственно, пример моего скрипта, который монтирует desunote. Параметры sshfs, которые могут оказаться важными: Если вы много работаете с данными от рута, то можно нужно сделать idmap: Работает она следующим образом: В моём случае idmap не нужен, так как имена пользователей локальное и удалённое совпадают. Заметим, комфортно работать получается только если у нас есть ssh-ключик см. Некоторые приложения хотят иметь управляющий терминал. Их следует запускать с опцией -t: Допустим, мы хотим сделать запрос к программе удалённо, а потом её вывод поместить в локальный файл ssh user 8. Делаем цепочку, чтобы положить stdin на Так сказать, scp для бедных. Скажу честно, до последнего времени не знал и не использовал. В более-менее крупной компании часто оказывается, что имена серверов выглядят так: И пользователь там не равен локальному. То есть логиниться надо так: Каждый раз печатать — туннельных синдромов не напасёшься. В малых компаниях проблема обратная — никто не думает о DNS, и обращение на сервер выглядит так: Короче, но всё равно напрягает. Ещё большая драма, если у нас есть нестандартный порт, и, например, первая версия ssh привет цискам. Тогда всё выглядит так: Про драму с scp даже рассказывать не хочется. Собственно, немножко я проспойлерил эту часть в примере конфига выше. ForwardX11 — это как раз оно. Графические приложения в юникс обычно используют X-сервер wayland в пути, но всё ещё не готов. Это означает, что приложение запускается и подключается к X-серверу для рисования. Иными словами, если у вас есть голый сервер без гуя и есть локальный x-сервер в котором вы работаете , то вы можете дать возможность приложениям с сервера рисовать у вас на рабочем столе. Обычно подключение к удалённом X-серверу — не самая безопасная и тривиальная вещь. SSH позволяет упростить этот процесс и сделать его совсем безопасным. А возможность жать трафик позволяет ещё и обойтись меньшим трафиком то есть уменьшить утилизацию канала, то есть уменьшить ping точнее, latency , то есть уменьшить лаги. В примере выше названия компании вымышленные я подключаюсь к серверу ооо-рога-и-копыта. Вместо этого мы подключаемся к серверу по ssh, а дальше запускаем там команду rdesktop: Заметим, тщательно зашифрованное и неотличимое от обычного ssh-трафика. Когда я оказываюсь в очередной гостинице кафе, конференции , то местный wifi чаще всего оказывается ужасным — закрытые порты, неизвестно какой уровень безопасности. Да и доверия к чужим точкам доступа не особо много это не паранойя, я вполне наблюдал как уводят пароли и куки с помощью банального ноутбука, раздающего 3G всем желающим с названием близлежащей кафешки и пишущего интересное в процессе. Особые проблемы доставляют закрытые порты. То джаббер прикроют, то IMAP, то ещё что-нибудь. Обычный VPN pptp, l2tp, openvpn в таких ситуациях не работает — его просто не пропускают. Получив запрос, он отправляет его через открытое соединение на сервер, сервер устанавливает соединение согласно запросу и все данные передаёт обратно ssh-клиенту. А тот отвечает обратившемуся. И указать IP-адрес прокси. В случае с ssh это чаще всего localhost так вы не отдадите свой канал чужим людям. Подключение в режиме sock-proxy выглядит так: В силу того, что чужие wifi чаще всего не только фиговые, но и лагливые, то бывает неплохо включить опцию -C сжимать трафик. Получается почти что opera turbo только картинки не жмёт. В реальном сёрфинге по http жмёт примерно в раза читай — если вам выпало несчастье в 64кбит, то вы будете мегабайтные страницы открывать не по две минуты, а секунд за Фигово, но всё ж лучше. Я не зря сказал про закрытые порты. Решение — повесить сервер на й порт. Вот так выглядит мой конфиг: Для понимания ситуации все примеры ниже будут ссылаться на вот эту схему: Наше приложение не совместимо с сервером другая битность, ОС, злой админ, запрещающий и накладывающий лимиты и т. Разумеется, туннели можно перенаправлять. Мы говорим ssh перенаправлять локальные запросы с нашего адреса на localhost сервера Б и сразу после подключения запустить ssh то есть клиента ssh на сервере Б с опцией слушать на localhost и передавать запросы на сервер Порт выбран произвольно, главное, чтобы совпадал в первом вызове и во втором. Если предыдущий пример вам показался простым и очевидным, то попробуйте догадаться, что сделает этот пример: Трафик полностью зашифрован и неотличим от любого другого трафика SSH. Если к этому моменту попа отдела безопасности не сияет лысиной, а ssh всё ещё не внесён в список врагов безопасности номер один, вот вам окончательный убийца всего и вся: В самых радикальных случаях это позволяет туннелировать dhcp, заниматься удалённым arp-спуфингом, делать wake up on lan и прочие безобразия второго уровня. Легко понять, что в таких условиях невозможно никаким DPI deep packet inspection отловить подобные туннели — либо ssh разрешён читай — делай что хочешь , либо ssh запрещён и можно смело из такой компании идиотов увольняться не ощущая ни малейшего сожаления. OpenSSH позволяет использовать сервера в качестве плацдарма для подключения к другим серверам, даже если эти сервера недоверенные и могут злоупотреблять чем хотят. Для начала о простом пробросе авторизации. Допустим, мы хотим подключиться к серверу Но копировать его на 8. В большинстве случаев это прокатывает. Однако, если сервер совсем дурной, то root сервера может использовать сокет для имперсонализации, когда мы подключены. Главным достоинством этого метода является полная независимость от доверенности промежуточного сервера. Если данные оконечного сервера подделаны, то подпись не сойдётся. Если данные не подделаны, то сессия устанавливается в защищённом режиме, так что перехватывать нечего. Настройка завязана на две возможности ssh: Опции эти появились недавно, так что пользователи centos в пролёте. Выглядит это так циферки для картинки выше: Ну а подключение тривиально: Запретить — да, может. Но если разрешил — пропустит через себя без расшифровки или модификации. Разумеется, в посте про туннели должен быть туннель, а в любой успешной статье — секретный ингредиент всеобщей популярности. Posted by admin Вкл Thursday, 7 March Копирование файлов Передача файлов на сервер иногда может утомлять. Удалённое исполнение кода ssh может выполнить команду на удалённом сервере и тут же закрыть соединение. Алиасы Скажу честно, до последнего времени не знал и не использовал. Host ric Hostname ооо-рога-и-копыта. Проброс X-сервера Собственно, немножко я проспойлерил эту часть в примере конфига выше. Socks-proxy Когда я оказываюсь в очередной гостинице кафе, конференции , то местный wifi чаще всего оказывается ужасным — закрытые порты, неизвестно какой уровень безопасности. Реверс-сокс-прокси Если предыдущий пример вам показался простым и очевидным, то попробуйте догадаться, что сделает этот пример: Туннелирование Если к этому моменту попа отдела безопасности не сияет лысиной, а ssh всё ещё не внесён в список врагов безопасности номер один, вот вам окончательный убийца всего и вся: Host raep HostName Финал Разумеется, в посте про туннели должен быть туннель, а в любой успешной статье — секретный ингредиент всеобщей популярности. Добавить комментарий Ваше имя.

Немного SSH

Немного о безопасности SSH