SSH es un protocolo de red que funciona en una consola. El cliente SSH más utilizado es PuTTy. La siguiente imagen muestra una sesión SSH establecida. Es fácil de usar y rápido. La mayoría de los profesionales de TI administran toda la red únicamente a través de SSH debido a la seguridad y el acceso rápido / fácil para realizar tareas administrativas y de gestión en el servidor. Toda la sesión en SSH está cifrada: los protocolos principales para SSH son SSH1 / SSH-1 y SSH2 / SSH-2. SSH-2 es el último, más seguro que SSH-1. Un sistema operativo Linux tiene una utilidad incorporada llamada Terminal para acceder a la consola y una máquina con Windows requiere un cliente SSH (por ejemplo, PuTTy).
Acceso a un host remoto mediante SSH
Para acceder a un host / máquina remotos usando SSH, necesitará lo siguiente:
a) PuTTy (cliente SSH gratuito)
b) Nombre de usuario del servidor SSH
c) Contraseña del servidor SSH
d) Puerto SSH que suele ser 22, pero dado que 22 es el predeterminado, debe cambiarse a un puerto diferente para evitar ataques a este puerto.
En una máquina Linux, el nombre de usuario root es el administrador de forma predeterminada y contiene todos los derechos administrativos.
En Terminal, el siguiente comando iniciará una conexión con el servidor.
ssh root@192.168.1.1
donde root es el nombre de usuario y 192.168.1.1 es la dirección de host
Así es como se ve la terminal:
Sus comandos se escribirán después de la $ símbolo . Para obtener ayuda con cualquier comando en terminal / putty, use la sintaxis:
hombre ssh
comando de hombre
man, seguido de cualquier comando devolverá la guía de comandos en pantalla
Entonces, lo que voy a hacer ahora es SSH usando PuTTy en mi sistema operativo Debian que se ejecuta en VMWare.
Pero antes de hacer eso, necesito habilitar SSH iniciando sesión en mi VM Debian. Si acaba de comprar un servidor de una empresa de alojamiento, puede solicitarles que habiliten SSH para usted.
Para habilitar ssh, use
sudo /etc/init.d/ssh restart
Como estoy usando Ubuntu y ssh no estaba instalado, entonces
Para instalar ssh use estos comandos
sudo apt-get install openssh-client
sudo apt-get install openssh-server
Y esto es lo que tengo, inicié sesión en SSH a través de PuTTy:
Ahora, esto es lo que se necesita para configurar SSH y establecer una sesión a través de PuTTy. A continuación, abordaré algunas características avanzadas básicas que poco a poco comenzarán a brindarle una mejor vista de todo el escenario.
El archivo de configuración predeterminado de ssh se encuentra en: / etc / ssh / sshd_config
Para ver el archivo de configuración, utilice: cat / etc / ssh / sshd_config
Para editar el archivo de configuración, use: vi / etc / ssh / sshd_config o nano / etc / ssh / sshd_config
Después de editar cualquier archivo, use CTRL + X y presione la tecla Y para guardar y salir (editor nano)
El puerto SSH se puede cambiar desde el archivo de configuración, el puerto predeterminado es 22. Los comandos básicos, cat, vi y nano también funcionarán para otras cosas. Para obtener más información sobre los comandos específicamente, utilizar la búsqueda de Google.
Si realiza algún cambio en cualquier archivo de configuración, entonces se requiere un reinicio para ese servicio. Continuando, supongamos que ahora deseamos cambiar nuestro puerto, así que lo que vamos a hacer es editar el archivo sshd_config, y yo usaría
nano / etc / ssh / sshd_config
Debe iniciar sesión como administrador o utilizar sudo nano / etc / ssh / sshd_config para editar el archivo. Después de que se haya editado, reinicie el servicio ssh, sudo /etc/init.d/ssh restart
Si está cambiando un puerto, asegúrese de permitirlo en sus IPTABLES, si está usando el firewall predeterminado.
iptables -I ENTRADA -p tcp –dport 5000 -j ACEPTAR/etc/rc.d/init.d/iptables guardar
Consulta las iptables para confirmar si el puerto está abierto
iptables -nL | grep 5000
Hay varias directivas en el archivo de configuración, como se discutió anteriormente, hay dos protocolos para SSH (1 y 2). Si está configurado en 1, cámbielo a 2.
A continuación se muestra un poco de mi archivo de configuración:
# Archivo de configuración generado por paquete
# Consulte la página de manual de sshd_config (5) para obtener más detalles
# Qué puertos, IP y protocolos escuchamos
Puerto 5000 reemplazó el número 22 con el puerto
# Utilice estas opciones para restringir a qué interfaces / protocolos se enlazará sshd
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocolo 2 reemplazó el protocolo 1 con 2
no olvide reiniciar el servicio después de realizar cambios
Root es el administrador, y se recomienda que debe estar deshabilitado; de lo contrario, si está abierto a conexiones remotas, puede convertirse en sujeto de un ataque de fuerza bruta u otras vulnerabilidades ssh: los servidores Linux son las cajas más queridas por los piratas informáticos, la directiva Iniciar sesiónGraceTime , establece un límite de tiempo para que el usuario inicie sesión y se autentique, si el usuario no lo hace, entonces la conexión se cierra; déjelo en el valor predeterminado.
# Autenticación:
Iniciar sesiónGraceTime 120
PermitRootLogin no
StrictModes sí
Una característica genial es la Autenticación de clave (PubkeyAuthentication) - Esta función le permite configurar solo la autenticación basada en claves, como vemos con los servidores Amazon EC3. Solo puede acceder al servidor usando su clave privada, es altamente seguro. Para que esto funcione, necesitaría generar un par de claves y agregar esa clave privada a su máquina remota, y agregar la clave pública al servidor para que se pueda acceder a ella usando esa clave.
PubkeyAuthentication sí
AuthorizedKeysFile .ssh / Authorized_keys
RSAAuthentication sí
Autenticación de contraseña no
Esto negará cualquier contraseña y solo permitirá a los usuarios acceder con una clave.
En una red profesional, normalmente estaría informando a sus usuarios qué pueden hacer y qué no, y cualquier otra información necesaria.
El archivo de configuración para editar para banners es: / etc / motd
Para abrir el archivo en el editor, escriba: nano / etc / motd o sudo / etc / motd
Edite el archivo, tal como lo haría en el bloc de notas.
También puede colocar el banner en un archivo y hacer referencia a él en / etc / motd
p.ej: nano banner.txt creará un archivo banner.txt e inmediatamente abrirá el editor.
Edite el banner y ctrl + x / y para guardarlo. Luego, haga referencia a él en el archivo motd usando
Banner /home/users/appualscom/banner.txt O lo que sea, la ruta del archivo.
Al igual que el banner, también puede agregar un mensaje antes de la solicitud de inicio de sesión, el archivo para editar es / etc / issue
Túneles SSH
La tunelización SSH le permite tunelizar el tráfico desde su máquina local a una máquina remota. Se crea mediante protocolos SSH y está encriptado. Consulte el artículo sobre Túneles SSH
Sesión gráfica sobre túnel SSH
Habilite la sesión gráfica / gui descomentando la siguiente líneaX11Forwarding sí
En el extremo del cliente, el comando sería:
ssh -X root@10.10.10.111
Puede ejecutar programas como Firefox, etc. utilizando comandos simples:
Firefox
Si obtiene un error de visualización, configure la dirección:
exportar DISPLAY = IPaddressofmachine: 0.0
Envoltorios TCP
Si desea permitir hosts seleccionados y rechazar algunos, estos son los archivos que necesita editar
1. /etc/hosts.allow
2. /etc/hosts.deny
Para permitir algunos hosts
sshd: 10.10.10.111
Para evitar que todos accedan a su servidor, agregue la siguiente línea en /etc/hosts.deny
sshd: TODOS
SCP - Copia segura
SCP: la copia segura es una utilidad de transferencia de archivos. Deberá usar el siguiente comando para copiar / transferir archivos a través de ssh.
comando a continuación copiará myfile a / home / user2 en 10.10.10.111
scp / home / user / myfile root@10.10.10.111: / home / user2
sintaxis de destino de origen de scp
Para copiar una carpeta
scp –r / home / user / myfolder roor@10.10.10.111: / home / user2
Búsqueda de archivos en una máquina remota
Es muy fácil buscar archivos en una máquina remota y ver la salida en su sistema. Para buscar archivos en una máquina remota
ssh root@10.10.10.111 'buscar / inicio / usuario –nombre '* .jpg''El comando buscará en el directorio / home / user todos los archivos * .jpg, puedes jugar con él. find / -name buscará en todo el directorio / root.
Seguridad adicional SSH
iptables le permite establecer limitaciones basadas en el tiempo. Los siguientes comandos bloquearán al usuario durante 120 segundos si no se autentica. Puede utilizar el parámetro / segundo / hora / minuto o / día en el comando para especificar el período.
Límites basados en el tiempoiptables -A INPUT -p tcp -m estado -syn -state NUEVO -dport 22 -m límite -limit 120 / second -limit-burst 1 -j ACCEPT
iptables -A INPUT -p tcp -m estado –syn –state NUEVO –dport 5000 -j DROP
5000 es el puerto, cámbielo según su configuración .
Permitir la autenticación desde una IP específica
iptables -A INPUT -p tcp -m estado –state NEW –source 10.10.10.111 –dport 22 -j ACCEPT
Otros comandos útiles
Adjuntar una pantalla a través de SSH
ssh -t root@10.10.10.111 pantalla –r
Comprobación de la velocidad de transferencia SSH
si | pv | ssh $root@10.10.10.111 'gato> / dev / null'
