所以你认为你对OpenSSH了如指掌?在16个专家提示和技巧中测试你的技能,从识别猴子在中间的攻击,公路战士的安全到附加远程屏幕会话。跟随倒数进入最佳OpenSSH命令!
SSH提示#16-14:检测MITM攻击
当您登录到首次远程计算机时,如果你想接受远程主机的公钥问。那么在赫克你怎么知道你是否应该或不?如果有人犯下一个成功的猴子在这方面的中间人攻击,并提出你用假键,以便他们可以劫持会话,窃取你所有的秘密,你应该怎么知道呢?您可知道,因为新的密钥对创建时就同时创建一个独特的指纹和randomart图像:
$ ssh-keygen -t rsa -C newserver -f .ssh/newkey
生成公钥/私钥对。
输入密码(空为无密码):
再次输入相同的密码:
你的标识符已经保存在的.ssh /则newkey。
你的公钥已经保存在的.ssh / newkey.pub。
关键指纹:
44:90:8C:62:6E:53:3B:D8:1A:67:34:2F:94:02:E4:87 NEWSERVER
关键的随机艺术图像是:
+ - [RSA 2048] ---- +
| OO +的.o。|
|。= B o, |
| E X +。|
|B B .. |
|。*○S |
|。|
||
||
||
+ ----------------- +
SSH提示#16:检索SSH密钥的指纹和随机图像
如果你复制这个时,你创建新的加密密钥,然后你可以获取一个密钥的指纹和随机艺术图像随时比较,并确保他们没有改变:
$的ssh - 凯基-lvf键名
SSH提示#15:查看在known_hosts中所有的指纹和randomart图片
你可以看到他们都在你的的〜/ .ssh / known_hosts中文件:
$的ssh - 凯基-lvf的〜/ .ssh / known_hosts中
SSH提示#14:验证服务器密钥
您可以通过配置查看任何一台电脑你记录的指纹和randomart在/ etc您的客户端计算机上/ SSH / ssh_config中。简单地取消对VisualHostKey选项并将其设置为yes:
VisualHostKey是
然后登录到任何远程计算机来测试它:
$ SSH用户@主机2
主机密钥指纹是66:a1:2a:23:4d:5c:8b:58:e7:ef:2f:e5:49:3b:3d:32
+ 256 (ECDSA)——+
||
||
|。O操作。|
| + =…|
|。+ o。年代|
|○○OO |
|。+。+ + |
|。Ø..ËÔ|
|的.o +。|
+ ----------------- +
user@host2的密码:
显然,您需要一种安全的方法来为您想要登录的计算机获取指纹和随机图像的验证副本。比如手动发送的打印副本、加密的电子邮件、scpcommand、安全的ftp、通过电话阅读……成功的MITM攻击的风险很小,但是如果您能够找到一种相对轻松的验证方法,它将是一种廉价的保险。
SSH提示#13:附加到远程GNU屏幕会话
您可以通过SSH远程附上GNU屏幕会话;在这个例子中,我们将打开一个主机1 GNU屏幕会话,并且从主机2连接到它。首先打开,然后分离host1上的屏幕会话,命名testscreen:
主机1〜$屏幕-S testscreen
然后从您的分离屏幕会议与键盘组合键Ctrl + A + d:
[从3829.testscreen脱离]
您可以验证它仍然存在与此命令:
主机1〜$屏幕-ls
有一个屏幕:
3941.testscreen (03/18/2012 12:43:42 PM)(分离)
1插座在/ var /运行/屏幕/ S-host1的。
然后,从主机2重新连接到您的屏幕会话:
主机1〜$的ssh -t特里@ uberpc屏幕-r testscreen
你不必命名屏幕如果只有一个会话。
SSH尖端#12:启动远程屏幕会话
如果您没有运行的屏幕会话怎么办?不用担心,因为你可以远程发射:
host1 ~ $ ssh -t user@host2 /usr/bin/screen -xRR
SSH提示#11:SSHFS比NFS更好
sshfs的比NFS与多台机器单用户更好的。我继续运行,因为它是我工作的一部分总是被测试的东西的计算机的牛群。我就像电脑的漂亮友好的牛群。有些人收集猫王板,我收集计算机。无论如何打开文件一次一个通过SSH会话进行编辑是缓慢的;与SSHFS可以挂载从远程计算机整个目录。首先创建一个目录来安装在您的sshfs的份额:
$ MKDIR REMOTE2
然后,安装你想要这样的任何远程目录:
$ sshfs的用户@ REMOTE2:/ home / user中/文件REMOTE2 /
现在,您可以浏览远程目录就好像它是本地和读取,复制,移动和编辑文件所有你想要的。关于sshfs的整洁的事情是你需要的是对sshd的远程机器上运行,而sshfs的命令安装在您的客户端PC。
SSH尖端#10:登录并在一个步骤中执行的命令
您可以登录并建立您的SSH会话,然后运行命令,但是当你有一个单一的命令来运行,为什么不消除步骤,并且用一个命令做呢?假设你要断电远程计算机;您可以登录并在一个步骤中运行以下命令:
卡拉@地方:〜$ SSH用户@远程主机须藤关机
这适用于任何命令或脚本。(本示例假设您有一个设置了适当限制的sudo用户,因为允许根用户通过SSH登录被认为是一种不安全的做法。)如果您想要运行一个长而复杂的命令,并且不想每次都输入该命令,该怎么办呢?一种方法是将其放在Bash别名中并使用该别名。另一种方法是将您的长而复杂的命令放在一个文本文件中,并按照提示#9运行它。
SSH提示#9:在文本文件中放置长命令
把你的长命令在一个纯文本文件在你的本地电脑上,然后使用这种方式登录和运行它在远程电脑:
@ carla@remotehost:~$ ssh user@remotehost cat filename.txt
记住,你使用直引号,而不是那些花哨从网页复制和反单引号,不是单引号。
SSH提示#8:复制公钥的简单方法
中的ssh-copy-id命令命令并不像著名的理所应当的,这是一种耻辱,因为它是一个伟大的节省时间。这个漂亮的命令拷贝你的公钥的正确格式的远程主机,并以正确的目录。它甚至有一个安全检查,不会让您错误地复制私钥。指定要复制,这样其中的关键:
$的ssh-copy-id命令-i的.ssh / id_rsa.pub用户@远程
SSH提示#7:给SSH密钥唯一的名称
说到关键的名字,你知不知道你能说出你想要他们什么?这有助于当你给予一些远程计算机,像这样的例子,然后创建私有密钥Web的管理和公共密钥web-admin.pub:
$ ssh-keygen -t rsa -f .ssh/web-admin
SSH提示#6:给SSH密钥信息注释
标注键另一个有用的方法是使用一个评论:
$的ssh - 凯基-t RSA -C “闹局域网网络服务器” -f的.ssh / Web的管理
然后您可以阅读附加在公钥末尾的注释。
SSH提示#5:读取的公钥评论
$少的.ssh / web-admin.pub
将AAAAB3NzaC1yc2EAAAADAQABAAABAQC1
[剪断] KCLAqwTv8rhp LAN网络服务器市中心
SSH尖端#4:记录与特定于服务器的密钥
然后,当你登录时,请用-i开关使用哪个键:
$ ssh -i .ssh/web-admin。酒吧user@webserver
SSH提示#3:Fast easy known_hosts密钥管理
我喜欢这个,因为它是一个很好的时间节省,它保持我的~/。ssh/known_hosts文件整洁:使用ssh-keygen从~/中删除主机密钥。ssh / known_hosts文件中。当远程机器获得新的SSH密钥时,当您尝试登录时,您将收到一个警告,说密钥已经更改。使用这个比手动编辑文件和倒数到正确的行删除要快得多:
$ ssh-keygen -R远程主机名
计算机本应使我们的生活更轻松,而当它们做到这一点时,它是如此可爱。
SSH提示#2:SSH隧道马路战士
当您在酒店和咖啡店的Internet上使用时,一个良好的安全SSH隧道可以使您的在线冒险更加安全。要做到这一点,您需要一个服务器,您可以控制它作为中心节点,以摆脱热点问题。我在家里设置了一个服务器来接受远程SSH登录,然后使用SSH隧道通过它路由流量。这对很多不同的任务都很有用。例如,我可以使用我的普通电子邮件客户端发送电子邮件,而不是麻烦与Web邮件或改变SMTP服务器配置,我的笔记本电脑和家庭服务器之间的所有流量是加密的。首先创建隧道到您的个人服务器:
卡拉@酒店:〜$ SSH -f carla@homeserver.com -L 9999:homeserver.com:25 -N
这是你的移动设备上的端口绑定到9999端口25的远程服务器上。远程端口必须是不管你配置好服务器侦听。然后配置你的邮件客户端使用localhost:9999作为SMTP服务器和你在企业里。我使用的KMail,这让我配置多个SMTP服务器帐户,然后选择我想,当我将消息发送到使用,或简单地改变用鼠标点击默认的哪一个。您可以为任何类型的服务,您通常从大本营使用,并需要获得的,当你在旅途中适应这一点。
#1喜爱的SSH提示:回避傻网限制
明智的假设是,任何公共互联网都是不值得信任的,所以你也可以把你的网上冲浪埋在隧道里。我的第一条SSH技巧让你通过不值得信任的网络,可能有偷窥者,并通过任何障碍,不受限制的web冲浪。就像在提示#2,你需要一个服务器,你控制作为一个安全中继;首先设置一个SSH隧道到这个服务器:
卡拉@酒店:〜$的ssh -D 9999 -Ccarla@homeserver.com
然后将Web浏览器配置为使用端口9999作为SOCKS 5代理。图1显示了这在Firefox中的样子。
一个简单的方法来测试,这是您的家庭或企业网络上。建立通道到相邻PC和浏览一些外部网站。当这个作品回去改变SOCKS端口号打错了。这应该防止你的Web浏览器无法连接到任何网站,你就会知道您设置隧道正确。
如何知道使用哪个端口号?超过1024的端口号不需要root特权,所以在您的笔记本电脑或您在旅行中使用的任何设备上使用这些特权。始终首先检查/etc/services以找到未分配的端口。您要绑定到的远程端口必须是服务器侦听的端口,并且必须有通过您的防火墙到达它的路径。
想学得多,就试试优秀临OpenSSH的迈克尔·斯坦克,和我自己Linux网络食谱有更多关于安全的远程管理包括SSH,OpenVPN的,和远程图形会话,以及配置防火墙。
本文, ”16名最终SSH黑客”最初发表于ITworld。有关最新IT新闻,分析以及如何渡,遵循ITworld上推特和Facebook的。
现在阅读:PostgreSQL中速成班8个奇怪的地方寻找USB接口你从未听说过的10个最好的开源应用程序
这个故事,“16名终极SSH黑客”最初发表ITworld 。