SSH, OPENSSH-SERVER, SCP, ключи шифрования. Использование туннеля через другой шелл

Полезные советы

SSH (англ. Secure SHell - «безопасная оболочка») - сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли.

OpenSSH (открытая безопасная оболочка) - набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH.

В установке никаких сложностей нет:

sudo apt-get install openssh-server

и можно подключаться к серверу:

ssh 10.10.10.4

Вводим логин и пароль учетной записи, имеющейся на сервере, и мы внутри.

для отсоединения:

exit

scp - утилита для передачи файлов по ssh.

Копируем файл на сервер 10.10.10.4 через 22ой порт:

scp -P 22 /home/virtdiver/test.txt Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:/home/it/test.txt

Копируем файл с сервера 10.10.10.4 через 22ой порт:

scp -P 22 Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:/home/it/test.txt /home/virtdiver/test.txt

копируем папку test на сервер 10.10.10.4 через 22ой порт:

scp -P 22 -r /home/virtdiver/test Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:/home/it

Копируем папку test с сервера 10.10.10.4 через 22ой порт:

scp -P 22 -r Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:/home/it/test /home/virtdiver

Если возникнет необходимость передавать файл, содержащий пробелы в названии, то путь нужно поместить в кавычки, и экранировать пробелы слешем (\). В примере ниже передается файл с именем "filename with space.txt" (За эту информацию спасибо zbl ):

scp -P 22 " Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:/home/it/filename\ with\ space.txt" "/home/virtdiver/ filename\ with\ space.txt"

Генерация SSH ключей

В первую очередь, нужно создать пару ключей, если их ещё нет. По умолчанию ключи хранятся в домашней директории пользователя, /home/имя пользователя/.ssh/id_rsa и id_rsa.pub. Ключи должны генериться на клиенте именно в той учетке, из которой будете заходить на сервер по ssh. Меняем пользователя на нужного (если необходимо):

sudo su postgres

Генерируем ключи:

ssh-keygen

путь можно оставить по умолчанию, просто жмем Enter;

вводим пароль, если нужно, если не нужно, жмем Enter.

Пара ключей готова. Мне авторизация при помощи ключей нужна была для автоматического слива бэкапа базы данных с двух серверов на третий посредством scp, для специально созданного пользователя postgres, поэтому пароль я оставил пустым.

scp ~/.ssh/id_rsa.pub Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4:.ssh/authorized_keys2

Проверяем:

ssh 10.10.10.4

Наблюдаем, что пароль не запросился.

Для других ключи генерятся аналогично, но ключ теперь копировать на сервер не надо, необходимо дописать существующий на ssh-сервере, данными из сгенерированного:

cat ~/.ssh/id_rsa.pub | ssh Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .4 "cat >> .ssh/authorized_keys2"

В итоге имеем доступ без пароля на 10.10.10.4 с авторизацией, использующей ключи шифрования, для пользователя postgres с обоих серверов.

А теперь о том, из-за чего я убил целый час. Если сгенерировать ключик под windows с помощью PuTTYgen и аналогично добавить его на сервер, то через putty с этим ключем мы зайдем на сервак, а с линукса с этим же ключем - нет, так как у putty и openssh разные форматы. Если файл ключа создан в putty и нужно сконвертировать в формат openssh то ставим:

sudo apt-get install putty-tools

И конвертируем:

puttygen -O private-openssh /home/virtdiver/putty/priv_key.ppk -o /home/virtdiver/putty/priv_key

где priv_key.ppk - файл формата putty , priv_key - получаемый файл ключа в формате openssh.

И обратная процедура, из формата openssh в формат putty:

puttygen /home/virtdiver/putty/priv_key -o /home/virtdiver/putty/priv_key.ppk

Для соединения с удаленным хостом без ввода пароля, можно использовать так называемый Public key (публичный ключ). Нужно добавить запись о публичном ключе в файл ~/.ssh/authorized_keys на удаленном хосте. В данном случае для подключения используются ключи сгенерированные на стороне-клиенте. В cygwin создать /home директорию и.csh в ней, можно с помощью

# mkdir -p /home/USER/.ssh

Используя ssh-keygen, генерируем пару ключей. ~/.ssh/id_dsa -приватный ключ, ~/.ssh/id_dsa.pub -публичный ключ.
Копируем только публичный ключ на сервер и добавляем его в файл ~/.ssh/authorized_keys2 , ~/ -домашняя директория.

# ssh-keygen -t dsa -N "" # cat ~/.ssh/id_dsa.pub | ssh you@host-server "cat - >> ~/.ssh/authorized_keys2"

Используя Windows клиент с ssh.com

Коммерческую версию клиента, можно скачать с официального сайта: ssh.com . Ключи сгенерированные с помощью ssh.com клиента нужно переконвертировать в формат OpenSSH сервера, это делается с помощью ssh-keygen.

Создать пару ключей с помощью ssh.com клиента: Settings - User Authentication - Generate New....
Тип ключа DSA; Длина ключа 2048.

Использовать можно как DSA, так и RSA алгоритм. Имейте в виду, сгенерированные нами ключи не защищены паролем, а это определенная минус для безопасности.

Использование putty для Windows

Tunneling - Создание защищенного SSH туннеля

SSH туннелирование позволяет делать форвардинг портов (перенаправление) через SSH туннель, обеспечивая прохождение трафика через заблокированые порты (работает только на TCP).

SSH Туннель создается из слушающего сокета на определенном порту localhost . Затем все принятые на локальном хосте/порту соединения перенаправляются через SSH на удаленный хост/порт.

# ssh -L localport:desthost:destport user@gate # Хост назначения будет представлять из себя локальный порт # ssh -R destport:desthost:localport user@gate # Локальный порт будет проброшен на указанный порт удаленного хоста # ssh -X user@gate # Принудительный форвардинг Х сеанса

Прямой форвардинг на шлюз

Предположим, нам нужно получить доступ к CVS (порт 2401) и http (порт 80), запущенных на удаленном хочте. Ниже вы видите простой пример реализации, мы подключаем к локальному порту 2401, соответствующий порт удаленного хоста, а для доступа к удаленному порту 80 используем локальный порт 8080. Единожды открыв ssh сессию, все соответствующие сервисы удаленного хоста, будут доступны на локальных портах.

# ssh -L 2401:localhost:2401 -L 8080:localhost:80 user@gate

Форвардинг портов Netbios и удаленного рабочего стола

Имеем Windows SMB сервер за шлюзом, и отсутствие ssh. Необходимо получить доступ к расшаренным SMB папкам и удаленному рабочему столу.

# ssh -L 139:smbserver:139 -L 3388:smbserver:3389 user@gate

The smb share can now be accessed with \\127.0.0.1\, but only if the local share is disabled, because the local share is listening on port 139 .
It is possible to keep the local share enabled, for this we need to create a new virtual device with a new IP address for the tunnel, the smb share will be connected over this address. Furthermore the local RDP is already listening on 3389 , so we choose 3388. For this example let"s use a virtual IP of 10.1.1.1.

With putty use Source port=10.1.1.1:139. It is possible to create multiple loop devices and tunnel. On Windows 2000, only putty worked for me. On Windows Vista also forward the port 445 in addition to the port 139. Also on Vista the patch KB942624 prevents the port 445 to be forwarded, so I had to uninstall this path in Vista.
With the ssh.com client, disable "Allow local connections only". Since ssh.com will bind to all addresses, only a single share can be connected.

Now create the loopback interface with IP 10.1.1.1:

# System->Control Panel->Add Hardware # Yes, Hardware is already connected # Add a new hardware device (at bottom).
# Install the hardware that I manually select # Network adapters # Microsoft , Microsoft Loopback Adapter.
Configure the IP address of the fake device to 10.1.1.1 mask 255.255.255.0, no gateway.
advanced->WINS, Enable LMHosts Lookup; Disable NetBIOS over TCP/IP.
# Enable Client for Microsoft Networks. # Disable File and Printer Sharing for Microsoft Networks.

I HAD to reboot for this to work. Now connect to the smb share with \\10.1.1.1 and remote desktop to 10.1.1.1:3388.

Debug

If it is not working:

Are the ports forwarded: netstat -an? Look at 0.0.0.0:139 or 10.1.1.1:139
Does telnet 10.1.1.1 139 connect?
You need the checkbox "Local ports accept connections from other hosts".
Is "File and Printer Sharing for Microsoft Networks" disabled on the loopback interface?

Подключение двух клиентов, сидящих за NAT

Есть две машины, находящиеся за NAT шлюзом, клиенту cliadmin нужно подключится к клиенту cliuser, оба имеют доступ к Linux-шлюзу по ssh. Поскольку будут использованы порты, выше 1024, root доступ не понадобится. На шлюзе мы используем порт 2022.

На клиенте cliuser:

# ssh -R 2022:localhost:22 user@gate # Форвардинг порта клиента 22, на порт 2022, шлюза

На клиенте cliadmin:

# ssh -L 3022:localhost:2022 admin@gate # Форвардинг порта клиента 3022, на порт 2022 шлюза

Теперь администратор может напрямую подключится к cliuser:

# ssh -p 3022 admin@localhost # local:3022 -> gate:2022 -> client:22

Подключение к рабочему столу, расположенному за NAT

Предположим нужно получить доступ к Windows клиенту с VNC слушающем на 5900 порту. От клмента cliwin на шлюз:

# ssh -R 15900:localhost:5900 user@gate

От клиента cliadmin:

# ssh -L 5900:localhost:15900 admin@gate

Теперь админ может напрямую подключится к клиентскому VNC:

# vncconnect -display:0 localhost

Dig a multi-hop ssh tunnel

Предположим, вы не можете получить прямой доступ к ssh, только через промежуточные хосты(например из-за проблем с маршрутизацией), но получить соединение клиент-сервер вам необходимо, к примеру что-бы скопировать файлы через SCP или пробросить порт для SMB.. Сделать это можно, организовав туннель из цепочки хостов.
Допустим нам нужно перебросить ssh порт клиента к серверу, в два скачка. Когда туннель будет создан, будет возможно прямое подключение клиент - сервер.

Создание туннеля в одной оболочке

клиент -> хост1 -> хост2 -> сервер and dig tunnel 5678

Клиент> # ssh -L5678:localhost:5678 host1 # 5678 произвольный порт для туннеля хост_1> # ssh -L5678:localhost:5678 host2 # звено 5678 с хохта1 на хост2 хост_2> # ssh -L5678:localhost:22 server # и тцннель на порт 22 сервера

Использование туннеля через другой шелл

клиент -> сервер использующий туннель 5678

# ssh -p 5678 localhost # прямое подключение клиент - сервер # scp -P 5678 myfile localhost:/tmp/ # Копируем файлы напрямую # rsync -e "ssh -p 5678" myfile localhost:/tmp/ # или так-же напрямую синхронизируем файлы

ПРЕДУПРЕЖДЕНИЕ: SCP-370 - это чрезвычайно заразная меметическая инфекция. Ещё не было зафиксировано случаев заражения сотрудников при чтении данной статьи, но в качестве меры предосторожности этот документ разрешено читать только в контролируемом помещении с установленными механизмами уничтожения читающего при проявлении первых симптомов. Устное распространение любой информации о SCP-370 является основанием для немедленного уничтожения.

Особые условия содержания: Сам SCP-370 вмурован в небольшой брус твёрдого свинца и хранится внутри прочного стального ящика со стенками полуметровой толщины и без возможности его открыть. Ни при каких условиях нельзя изымать объект из ящика или свинцового бруса. Если SCP-370 будет полностью или частично изъят, ослеплённым сотрудникам будет поручено найти его с помощью металлоискателя, после чего будет использован электромагнит, чтобы переместить объект в небольшую форму, заполненную расплавленным свинцом. Как только свинец затвердеет, получившийся брус будет возвращён в стальной ящик, а ящик - в хранилище содержания.

Указанный ящик содержится в специально оборудованном хранилище в Зоне ██. SCP-370 не требует какого-либо обслуживания, все его исследования запрещены. Желание открыть хранилище, чтобы исследовать объект или по любой иной причине, является симптомом заражения SCP-370. Все сотрудники, выказывающие этот или любые другие симптомы, должны быть немедленно изолированы и, если симптомы будут проявляться и дальше, уничтожены.

Разрушимость SCP-370 не установлена. Не проводилось никаких исследований в этом направлении, будущие исследования запрещены из-за высокого риска заражения вовлечённого персонала.

Во всех взаимодействиях с SCP-370 или с потенциально заразными данными об объекте предпочтительно использовать сотрудников класса D с сильными садистскими наклонностями или склонностью к насилию.

С любой Зоной Фонда, выказывающей признаки инфекции SCP-370, должны быть прерваны все прямые контакты. Они должны быть восстановлены через один (1) год после последнего случая заражения SCP-370.

Все сотрудники, назначенные на SCP-370 и выказывающие внезапное улучшение общего состояния, должны быть изолированы и лишены сна. Если какой-либо сотрудник продолжит выказывать симптомы «счастья», несмотря на эту меру, он должен быть уничтожен.

Описание: SCP-370 - это ключ. Материал, форма, размер и общий вид объекта неизвестен. Знание этих параметров является основным распространителем инфекции SCP-370, поэтому все отчёты, которые могли содержать подобную информацию, были уничтожены без просмотра.

Болезнь, вызываемая SCP-370, имеет три различных набора симптомов, которые обозначены как SCP-370-a, b и c. Форма инфекции, проявляющаяся у заражённого субъекта, определяется, судя по всему, по их типу личности.

SCP-370-a проявляется чаще всего у лиц, которых их окружение характеризует как эгоистов или трусов. Это наиболее распространённое проявление. Субъекты, страдающие от SCP-370-a, не выказывают симптомов заражения. Однако эти лица совершат самоубийство сразу же, когда им представится шанс сделать это с наименьшими страданиями (например, жертвы SCP-370-a прыгали с высоты или стреляли себе в голову из огнестрельного оружия, но не резали вены и не вешались).

В момент, когда сердце субъекта перестаёт биться, заражённое тело начинается ярко светиться и подвергаться неизвестной трансформации. Подробное знание о трансформации является распространителем инфекции, как и прямой зрительный контакт с испускаемым светом. После трансформации никогда не обнаруживалось никаких следов или частей тела субъекта.

Большинство субъектов SCP-370-b обычно можно описать как альтруистов-экстравертов, однако аналогичное проявление SCP-370-b наблюдается и у людей с ярко выраженными садистскими наклонностями или склонностью к насилию. Заражённые SCP-370-b первоначально становятся очень спокойными. Эта стадия длится несколько секунд, после чего следует внезапное неспровоцированное нападение на ближайшего к заражённому человека, которое выливается в серию убийств без разбора. Люди, убитые заражённым субъектом, начнут ярко светиться и подвергаться неизвестной трансформации, по-видимому, такой же, как и у самоубийц, или схожей с ней.

Первоначально заражённый опасен не больше, чем обычный жестокий человек, однако после того, как он убьёт примерно двух (2) или трёх (3) человек, его тело начнёт испускать жёлтый свет. По всей видимости, этот свет вызывает у жертв заражённого симпатический нервный отклик, мешающий им сопротивляться нападению. После приблизительно пяти (5) или шести (6) успешных убийств интенсивность света утраивается, а любой прямой кожный контакт с заражённым становится смертельным. Также с этого момента любой зрительный контакт с субъектом становится фактором заражения.

Убив в среднем двенадцать (12) человек (субъектам, до заражения проявляющим склонности к насилию, может потребоваться не менее пятидесяти (50) жертв для достижения этой стадии), заражённый резко прекратит проявлять враждебность и войдёт в заключительную стадию заражения SCP-370-b. Субъект поднимет руки к небу и слегка усиленным голосом прокричит «████, забери меня домой!». Похоже, этот крик проходит сквозь звуконепроницаемые стены и наушники, при этом лишь немного приглушаясь. Гарантировано заражение всех людей, услышавших этот крик, за исключением случаев сенсорной глухоты. После крика вокруг заражённого формируется свечение в видимом спектре, а сам заражённый поднимается на пару метров над землёй, после чего [УДАЛЕНО] и исчезает. Как и в случаях с SCP-370-a, не было обнаружено никаких следов пропавших субъектов.

SCP-370-c проявляется у лиц с высоким уровнем интеллекта и аналитическим или созерцательным складом личности, и это самое опасное из трёх проявлений. К сожалению, большинство исследовательского персонала Фонда предрасположены именно к SCP-370-c. Сразу после заражения субъекты закрывают глаза и проводят в среднем 30 секунд в молчании. Если у них спросят, что они делают, заражённые ответят, что «молятся». Все заражённые с этими симптомами должны быть немедленно уничтожены любым доступным способом.

После этого субъекты будут вести себя как обычно, но с существенным возросшим «чувством благополучия». Это состояние сохраняется даже если заражённого поставить в неприятные условия. Похоже, что субъекты владеют заражающим знанием об облике и истинной природе SCP-370, независимо от того, знали ли они что-нибудь подобное раньше. Заражённые будут активно пытаться тайно распространить инфекцию SCP-370, особенно стараясь вызвать проявления SCP-370-a или SCP-370-c. Способы распространения чаще всего включают, но не ограничиваются следующим:
- Упоминание заражающей информации о SCP-370 в случайной беседе.
- Попытки изъять SCP-370 из содержания под видом исследовательских целей или устранения.
- Добавление носителей инфекции SCP-370 в примечания исследователей Фонда или в другие документы, включая данную страницу.
- Попытки распространить заражающий материал в большом масштабе.

Примерно после пятидесяти (50) успешных заражений SCP-370-c входит в финальную стадию. Во время неё воздух вокруг заражённого излучает немного света в видимом спектре, формируя тусклое жёлтое свечение вокруг субъекта. Это свечение вызывает «успокаивающий» парасимпатический отклик у наблюдателей и имеет █% шанс заразить смотрящего за каждую минуту зрительного контакта. Независимо от успешных заражений, в течение приблизительно дня после появления данного излучения пылающий [ДАННЫЕ УДАЛЕНЫ] выжигает метки на любых поверхностях, которых коснётся, или проходит сквозь них, не оставляя никаких следов заражённого лица. После этого события остаётся невидимый участок заражающего пространства, который инфицирует любого проходящего через него. Участки исчезают примерно через семь (7) дней, но в мерах предосторожности следует избегать их две (2) полных недели.

Стало известно, что инфекция SCP-370-c используется некоторыми сотрудниками, чтобы оправдать убийство и пытки других сотрудников Фонда. Лица, ответственные за это, должны быть переведены в класс D, однако из-за сильной угрозы со стороны SCP-370-c вышеуказанные протоколы содержания не будут пересмотрены. – Д-р ███████

Приложение 370-a:

Обстоятельства первоначального получения SCP-370 неизвестны. Объект был обнаружен в развалинах Зоны █, удалённой базы Фонда в восточном ████. Оригиналы введённых протоколов содержания и стальной ящик с SCP-370 были найдены в запечатанном хранилище вместе с трупом, который опознали как д-ра █████, открыто исповедовавшего сатанизм, и личным дневником доктора, который, как оказалось, являлся носителем инфекции SCP-370. Остальная часть Зоны оказалась заброшена, других мёртвых тел не было обнаружено, хотя следы борьбы были видны повсеместно. Другая информация о SCP-370 в хранилище данных Зоны была стёрта или уничтожена, хотя было найдено несколько полезных примечаний о других найденных объектах, особенно о SCP-███.

Во время процедур изъятия произошло несколько случаев заражения. Они были устранены с максимальной предосторожностью, было решено, что инфицирование прекратилось. SCP-370 ненадолго был обозначен как «Безопасный». Однако в свете недавнего [ДАННЫЕ УДАЛЕНЫ] восстановлено обозначение «Кетер», а во всех Зонах Фонда была усилена антимеметическая безопасность.

Приложение 370-b:

Журнал д-ра █████ был успешно очищен от меметической инфекции, доступ к нему открыт для санкционированных сотрудников. Меры предосторожности, применяемые при чтении данной статьи, распространяются и на дневник.

SCP-860

Объект №: SCP-860

Особые условия содержания: SCP-860 должен храниться в маленькой деревянной коробке в хранилище в Секторе ██. Сам по себе объект не несет опасности, поэтому применения особых процедур не требуется.

Описание: SCP-860 - темно-синий ключ обычной формы. Через случайные на первый взгляд промежутки времени на лезвии ключа появляется набор чисел, который является координатами в формате UTM. За все время, пока SCP-860 находился в ведении Фонда, числа изменялись три раза, в результате были получены координаты в ██████ (Германия), ██████ (Англия) и координаты Зоны ██.

SCP-860 может войти в любой дверной замок, который необходимо открывать ключом, расположенный в области, на которую указывают данные координаты, и будет действовать подобно ключу, который подходит для этого замка. SCP-860 работает только в том случае, если вставлен в дверной замок, и только если этот замок врезан в дверь; он не будет работать с другими запирающими устройствами.

Если с помощью SCP-860 отпереть и открыть дверь, эта дверь не будет вести туда, куда она обычно открывается. Вместо этого она открывается в небольшой лес, посередине которого проходит просека шириной примерно 80 см, обозначенный как SCP-860-1. Во время каждого наблюдения этой рощи было отмечено присутствие синего тумана.

SCP-860-1

Как только любой человек ступает в SCP-860-1, дверь автоматически закрывается. Изнутри SCP-860-1 дверь будет вделана в бесконечную бетонную стену и заперта. Попытки сотрудников, находившихся снаружи SCP-860-1, выломать дверь, не дали успеха. Попытки выломать дверь изнутри SCP-860-1 привели к [ДАННЫЕ УДАЛЕНЫ]. См. Документ 860-III для дополнительных деталей.

Тропа внутри SCP-860-1 обычно приводит к другой двери, вделанной в другую бесконечную бетонную стену. Эта вторая дверь выходит в то помещение, куда обычно вела дверь, к которой был применен SCP-860.

Сотрудники, проводившие исследования внутри SCP-860-1, сообщали о различных аномалиях. Они более подробно описаны в Документах 860-I-IV.

После событий Исследования IV (описано в Документе 860-IV), исследования с SCP-860 могут проводить лишь сотрудники Уровня 4.

Инцидент 860-██-12: ██.██.████, через ██ дней после Исследования IV, SCP-860 был найден на рабочем столе д-ра ███, в ████ м от его места содержания. Шкафчик, в котором находился объект, не был открыт. Запись камер наблюдения от ██:██ утра показала, что ключ внезапно материализовался на столе. В настоящее время неизвестно, как или почему SCP-860 был перемещен. Инцидент оказал сильное воздействие на д-ра ███. Рекомендуется психологическая экспертиза.

Приложение 370-a:

Приложение 370-b:

SSH, OPENSSH-SERVER, SCP, ключи шифрования. Использование туннеля через другой шелл

Используя Windows клиент с ssh.com

Использование putty для Windows

Tunneling - Создание защищенного SSH туннеля

Прямой форвардинг на шлюз

Форвардинг портов Netbios и удаленного рабочего стола

Debug

Подключение двух клиентов, сидящих за NAT

Подключение к рабочему столу, расположенному за NAT

Dig a multi-hop ssh tunnel

Использование туннеля через другой шелл

Популярные статьи

Последние статьи

Разделы

Страницы

Спецпроекты

Контакты