Ssh edition 2
2 likes400 views
ssh edition 2 ssh نسخه ۲ http://unixmen.ir/%da%a9%d8%aa%d8%a7%d8%a8-%d9%85%d8%b1%d8%ac%d8%b9-ssh-%d9%88%db%8c%d8%b1%d8%a7%db%8c%d8%b4-%d8%af%d9%88%d9%85-%d9%86%d9%88%d8%b4%d8%aa%d9%87-%db%8c%d8%a7%d8%b4%d8%a7%d8%b1-%d8%a7%d8%b3%d9%85%d8%b9/
![۱کلید ایجاد (rsa
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/tecmint/.ssh/id_rsa): [Press enter key]
Created directory '/home/tecmint/.ssh'.
Enter passphrase (empty for no passphrase): [Press enter key]
Enter same passphrase again: [Press enter key]
Your identification has been saved in /home/tecmint/.ssh/id_rsa.
Your public key has been saved in /home/tecmint/.ssh/id_rsa.pub.
The key fingerprint is:
5f:ad:40:00:8a:d1:9b:99:b3:b0:f8:08:99:c3:ed:d3 tecmint@tecmint.com
The key's randomart image is:
+--[ RSA 2048]----+
| ..oooE.++|
| o. o.o |
| .. . |
| o . . o|
| S . . + |
| . . . o|
| . o o ..|
| + + |
| +. |
+-----------------+](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-81-320.jpg)
![فولدر ایجاد.sshمقصد سرور در.
ssh sheena@192.168.0.11 mkdir -p .ssh
The authenticity of host '192.168.0.11 (192.168.0.11)' can't be established.
RSA key fingerprint is 45:0e:28:11:d6:81:62:16:04:3f:db:38:02:la:22:4e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.11' (ECDSA) to the list of known hosts.
sheena@192.168.0.11's password: [Enter Your Password Here]](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-83-320.jpg)
![عمومی کلید ارسال
$ cat .ssh/id_rsa.pub | ssh sheena@192.168.0.11
'cat >> .ssh/authorized_keys'
● sheena@192.168.1.2's password: [Enter Your
Password Here]](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-85-320.jpg)
![ست باید باشد نشده ست درست دسترسی سطح اگر مواقع بعضی در
شود
$ ssh sheena@192.168.0.11 "chmod 700 .ssh; chmod 640
.ssh/authorized_keys"
sheena@192.168.0.11's password: [Enter Your Password Here]](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-87-320.jpg)
![NAME
ssh-copy-id - install your public key in a remote machine's authorized_keys
SYNOPSIS
ssh-copy-id [-i [identity_file]] [user@]machine
DESCRIPTION
ssh-copy-id is a script that uses ssh to log into a remote machine and append the indicated identity file to that machine's
~/.ssh/authorized_keys file.
If the -i option is given then the identity file (defaults to ~/.ssh/id_rsa.pub) is used, regardless of whether there are any keys
in your ssh-agent. Otherwise, if this:](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-92-320.jpg)
![sftp
sftp root@yashar
Once you are connected:
sftp> lcd /tmp [change local directory to /tmp]
sftp> cd /etc [change remote directory to /etc]
sftp> get motd [download /etc/motd to /tmp/motd]
sftp> ? [view summary help]
sftp> bye [terminate connection]
ls /tmp/motd [prove you got the file]](https://image.slidesharecdn.com/ssh-161227115848/85/Ssh-edition-2-94-320.jpg)
Ssh edition 2
- 2. In the name of god Biography : My name is : yashar esmaildokht I am Gnu/Linux Sys/net/sec Admin & Oracle Dba my tel : 09141100257 my resume :http://www.nofa.ir/Resume-royaflash.aspx website : ● http://unixmen.ir ● http://oraclegeek.ir ● http://webmom.ir my nick name : royaflash
- 3. هستیم شاهد را مقاله این دوم نسخه اکنونهم. ●امنیتی مباحث شده سعی دوم نسخه درsshاضافه شود
- 4. نکته: سایت وب در مقاله اینhttp://unixmen.irقابل باشدمی دانلود.
- 6. به تقدیم: ●خدا شتافت یاریم به که بود او تنها هایم سختی در که چرا ●اویم مدیون که را محبت و انسانیت داد یاد و کرد تقدیم زندگی به مرا که چرا مادرم. ●پدرم اویم مدیون و بود من حامی همیشه روحش که آزاد افزاری نرم جنبش وحامیان سورس اپن جامعه بشریت را هایش دانسته میکند منتشر و میخواند که او و ●هیچ دیگر و جهانی صلح امید به و(: ●
- 25. ●دايركتوري زير در پروتكل اين هاي الگوريتم و پيكربندي هاي فايل سرويس اين نصب با//etc/sshقرار كه ميگيرنداست شده داده توضيح زير در آنها مهمترين: ● sshd _config ● ssh _config ● ssh _host_key ● ssh _host_dsa_key ● ssh _host_rsa_key ● moduli ● توسط شده ايجاد هاي فايل مهترينSSH
- 26. : sshd_configسرويس فايل اين با است دايركتوري اين فايل مهمترين فايل اين.SSHتنظيمات كنيم مي پيكربندي را. فايل اينglobalشود مي اعمال يوزرها همه به و بوده. : ssh_configكلينتهاي فايل اين باSSHهمه به كنيم اعمال تغييراتي فايل اين در اگر گيرند مي قرار پيكربندي مورد. شود مي اعمال يوزرها. : ssh _host_keyكليد فايل اينSSHكند نمي استفاده نگاري رمز براي خاصي الگوريتم از باشدكه مي يك ورژن. ssh _host_dsa_key ssh _host_rsa_key كليدهاي ها فايل اينSSHورژن2الگوريتمهاي از كه باشند ميrsaوdsaكند مي استفاده نگاري رمز براي. :modulاطلعاتdhگيرد مي قرار فايل اين در شود مي اسفاده طرفين بين كليدها معاوضه در كه.
- 48. ●اینکه باSSHمناسبی حل راه تواندمی موارد از بسیاری مورد در اما ،کرد نخواهد حل را مشکلت تمامی از عبارتند موارد این از برخی باشد: . ● ●شبکه در ها داده انتقال و کدگذاری برای امن کارساز کارخواه پروتکل یک. / ●، عبور کلمه وسیله به کاربران هویت تعیینhost ،public keyاز استفاده یا وKerberos،PGPیا و PAM ●مانند شبکه ناامن های برنامه کردن امن قابلیتTelnet ،FTPپروتکل اساس بر که برنامهای هر کل در و TCP/IPاست شده بنا. ●نهایی کاربر استفاده در تغییر هیچ بدون)End Userبیشتر روی بر سازی پیاده قابلیت و شده پیاده ( دارد را ها عامل سیستم.
- 49. پروتکل هایقابلیتSSH دهدمی قرار ما اختیار در را فراوانی هایقابلیت کلینت و سرور بین امن اتصال یک داشتن اختیار در مطمئنا کاربردهای کاربردترین پر از برخی به اینجا در کهSSHمختلف متدهای طریق از کاربران تائید کنیممی اشاره: ● ●اتصالت برای امن تونل ایجادTCP/IPمانند امنی غیر اتصالت همچنین وIMPAPبا کامل سازگاری ضمن فایروال. ●خودکار انتقال)forwardاتصالت. ( ●کمک با کاربران خارجی تائید امکانKerberos and SecurID. ●امن فایل انتقال.
- 50. انگلیسی به امن کپی: )Secure Copyیا (SCPکامپیوتری فایلهای امن انتقال برای راهی پروتکل هه پای بر که استSSHکندمی عمل. ● ●ارتباط که کامپیوتری دو بین است لزم اوقات گاهیSSHبدل و رد فایلی دارند هم با سرور یک از استفاده لل مث دارد وجود اینکار برای مختلفی راههای شود. .HTTPیاFTPکه کندمی آسان را اینکار امن کپی پروتکل است دسترس قابل سیستم دو هر برای. . ● ●هاست یک درون به محلی سیستم از کپی برای لل مث:
- 51. ● scp SourceFile user@host:directory/TargetFile شودمی آغاز انتقال عمل بودن صحیح صورت در که شودمی درخواست پسورد سپس. ● ●خود محلی سیستم به هاست از کپی برای و: ● ● scp user@host:/directory/SourceFile TargetFile ● ●سرور اگر که باشید داشته توجهSSHاستاندارد پورت از غیر پورتی روی بر شماSSHشماره)۲۲عمل ( سوییچ توسط آنرا ،کندمیPلل مث ،کنید مشخص: - ● ● scp -P 2222 user@host:directory/SourceFile TargetFile
- 52. انگلیسی به آرسینک: )rsyncشبه هایعاملسیستم برای شبکه پروتکل یک همچنین و افزارنرم یک نام ( منظور به برنامه این است است موجود ویندوز مایکروسافت برای هم هاییپورت یونیکس. ( ) در اطلعات حجم کمترین که صورتی به ،دیگر مکانی به مکان یک از هادایرکتوری و هافایل سازیهمگام استفاده لزوم صورت در دلتا انکودینگ از آرسینک کار این برای شودمی استفاده ،شود منتقل شبکه. با و شده رمزنگاری صورت به را شبکه در اطلعات انتقال عمل تواندمی آرسینک همچنین کندمی. از استفادهSSHاز استفاده با رمزنگاری عمل همچنین دهد انجام.SSLاز استفاده با تواندمی هم Stunnelاین ندارند را آن مشابه هایبرنامه دیگر و دارد وجود آرسینک در که قابلیتی پذیرد صورت. کار این که گیردمی صورت طرف هر در اطلعات انتقال بار یک تنها با هاداده سازییکسان عمل که است است قادر آرسینک شودمی شبکه در کوتاه پیام صدها ارسال از حاصل تاخیر رفتن بین از باعث. و سازیفشرده از خود اختیار به تواندمی کاربر که کند کپی یا داده نمایش را دایرکتوری یک محتوای شماره پورت روی بر ،شودمی اجرا دیمن حالت در که وقتی آرسینک کند استفاده هم بازگشتی قابلیت. ۸۷۳نام به مخصوص بومی پروتکل یک از استفاده با را هافایل و دهدمی گوش هادرخواست به نسخه الپیجی پروانه تحت آرسینک دهدمی انجام آرسینک پروتکل. « »۳یک و شودمی منتشر است آزاد افزارنرم.
- 53. پنجره سیستمXپنجره سیستم معمول که)Xکه آن فعلی اصلی نسخه براساس یا۱۱،استX11نیز هایقابلیت اساس که است شبکه تحت پروتکل و ایرایانه افزارینرم سیستم یک شودمی نامیده( گرافیکی کاربری هایرابط)GUIفراهم شبکه تحت هایرایانه برای را پیشرفته ورودی هایدستگاه و ( یعن کندمی ایجاد افزاریسخت انتزاع لیه یک سیستم این کندمی.aاز ایمجموعه از افزارهانرم سایر ی بر را هابرنامه از مجدد استفاده امکان و افزارسخت از استقلل که کنندمی استفاده عمومی دستورهای که ایرایانه هر رویXگرددمی موجب ،باشد کرده سازیپیاده را. ● ●ماساچوست دانشگاه در ایکس پروژه)MITسال در و (۱۹۸۴یعنی فعلی نسخه شد آغاز) .X۱۱در (۱۹۸۷ بنیاد یافت انتشار.X.OrgیپروژهXیعنی ،آن کنونی مرجع سازیپیاده و کندمی هدایت راX.Org Serverگواهی تحت و بازمتن و آزاد افزارنرم یک عنوان به ،MITدسترس در مشابهی آزاد هایگواهی و است. ● ●
- 54. هاپنجره حرکت و نمایش کندمی فراهم را کاربر گرافیکی واسط ابتدایی یا پایه ساختار تنها ،ایکس: خود به تواندمی ایکس که شکلی ،این بنابر ماوس و کیبرد طریق از ارتباط برقراری و صفحه روی. هایرابط توانندمی مختلف پنجره مدیر هایبرنامه است دیگر هایبرنامه به وابسته شدیدا بگیرد. ایلیه در و برنامه یک عنوان به بلکه نیست عاملسیستم از بخشی ایکس کنند ایجاد متفاوتی کامل. شودمی اجرا عاملسیستم خود از بالتر. ● ●به است شده طراحی ایرایانه شبکه در کار برای کامل ایکس ،قبلی پنجره هایپروتکل خلف بر. در است شبکه بر مبتنی ارتباطی ،مستقیم ارتباط جای به نمایش صفحه با ایکس ارتباط ،دیگر عبارت. تفاوت شودمی دیده که جایی با تواندمی شودمی اجرا برنامه که جایی است شفاف شبکه ،ایکس: باشد داشته.
- 55. طراحی روی بر که ایستبرنامه اکس سرور کندمی استفاده دهندهسرویس گیرندهسرویس مدل یک از اکس. - هاکلینت از را ها درخواست اکس سرور شودمی نصب است کیبورد و نمایشگر دارای که کامپیوتری. کندمی رسم خروجی هایدستگاه دیگر یا نمایش صفحه روی بر را آنها ،پردازش از پس ،کرده دریافت. ( ) برای را آنها ،کرده دریافت ورودی هایدستگاه دیگر و کیبورد و ماوس از را اطلعات اکس سرور همچنین و آفیسلیبره ،فایرفاکس مثل کاربردی هایبرنامه همان حقیقت در هاکلینت کندمی ارسال هاکلینت… . مختصات با ایپنجره لطفا مانند هاییدرخواست کلینت یک هستند» .XوYرسم نمایش صفحه در را روی بر را پنجره سپس و گرفته را هادرخواست این اکس سرور کندمی ارسال اکس سرور برای را کنید. « سپس و کرده دریافت ماوس از را اطلعات اکس سرور ،دیگر مثالی عنوان به کندمی رسم نمایش صفحه. مختصات در ماوس دادن حرکت درحال در کاربر مانند هاییپیام»XوYارسال هاکلینت برای را است« کندمی. برنامه دو این بنابراین گیردمی صورت شبکه هایپروتکل طریق از اکس سرور و هاکلینت بین ارتباط. شوند نصب مختلف هایعاملسیستم با حتی ،مختلف هایکامپیوتر روی بر توانندمی.
- 56. هاقابلیت و هدف ●X Windowشبکه روی بر پیشرفته ورودی هایدستگاه و گرافیکی کاربری هایرابط برای معماری از مستقل سیستم یک سازدمی فراهم کلینت هایبرنامه طریق از را زمانیاشتراک رایانه یک محاسباتی توان گذاریاشتراک امکان که است. دارد کاربری ورودی دستگاه گونه هر طریق از را نمایشگر با تعامل قابلیت شبکه تحت پایانه یک از استفاده با کاربر هر. افزارهاینرم از عمومی پشتیبانی به توجه باXاز معمول ،مکینتاش و لینوکس ،یونیکس هایعاملسیستم درXبرای زمانی اشتراک به نیاز که صورتی در حتی ،گرددمی استفاده شخصی هایرایانه روی بر کلینت افزارهاینرم اجرای نباشد . ●Xرا لمسی صفحات و گراشاره هایدستگاه کنترل اعمال ،کیبرد مدیریت و رایانه نمایشگرهای برای سازیپنجره امکان مجموعه یک که است ساده اما کامل نمایش و تعامل حلراه یک خود استاندارد توزیع در سیستم این کندمی فراهم. و یونیکس مشابه هایسیستم در گرافیکی کاربر هایرابط ساختن برای پروتکل پشته و استاندارد ابزارOpenVMSرا است شده سازی شبیه نیز مدرن عاملهایسیستم از بسیاری در امروزه حال عین در و کندمی فراهم .
- 57. Ssh -x user@ip ssh -X <host> <Xcommand>
- 65. سازی فعال نحوهsshسیسکو در
- 71. DSHمخففDistributed Shellباشدمی . دستورات اجرای برای مفهوم این حقیقت در استفاده مورد سرور چندین در اجرا برای مشحص میگیرد قرار. هایتوزیع در نصب ادامه در ماdebian baseو redhat baseدید خواهیم را سورس از کامپایل و.
- 72. $ sudo apt-get install dsh compile from source before install libdshconfig : # wget http://www.netfort.gr.jp/~dancer/software/downloads/libdshconfig-0.20.10.cvs.1.tar.gz ● # tar xfz libdshconfig*.tar.gz ● # cd libdshconfig-* ● # ./configure ; make ● # make install
- 73. Then compile dsh and install. # wget http://www.netfort.gr.jp/~dancer/software/downloads/dsh- 0.22.0.tar.gz ● # tar xfz dsh-0.22.0.tar.gz ● # cd dsh-* ● # ./configure ; make ● # make install
- 74. main configuration file “/etc/dsh/dsh.conf” (For Debian) “/usr/local/etc/dsh.conf” (for Red Hat) کانفیق فایل در ما هرچیز از قبلrshبه راsshمیدهیم تعغییر. remoteshell =rsh remoteshell =ssh
- 75. میکنیم اضافه را هاماشین بعدی مرحله در: /etc/dsh/machines.list (for Debian). Red hat base : “machines.list” in “/usr/local/etc/ ها بیس ردهت درmachines.listکنیممی ایجاد شده گفته مسیر در. باشدمی شدن اضافه قابل زیر موارد نکته. : Hostname, IP Address, or FQDN نکته۲این آموزش شود انجام تنظیماتی و ، شود انتقال مقصد در عمومی کلید هست لزم رمز دادن بدون ارتباط برای. : شد خواهد مطرح بحث ادامه در روش.
- 76. Smp In “/etc/dsh/machines.list” or “/usr/local/etc/machines.list” file : 172.16.25.125 172.16.25.126 اینجا در ما نمونه برای:uptimeکنیممی بررسی را ها سرور بودن. $ dsh –aM –c uptime
- 77. Sample Output : 172.16.25.125: 05:11:58 up 40 days, 51 min, 0 users, load average: 0.00, 0.01, 0.05 172.16.25.126: 05:11:47 up 13 days, 38 min, 0 users, load average: 0.00, 0.01, 0.05
- 78. دستور این بر شرحی حال: --all | -a Add all machines found in /etc/dsh/machines.list to the list of machines that the specified command is executed. “–M” option, which says to return the “machine name” (specified in “/etc/dsh/machines.list“) along with the output of the uptime command. (Very useful for sorting when running a command on a number of machines.) --show-machine-names | -M Prepends machine names on the standard output. Useful to be used in conjunction with the --concurrent-shell option so that the output is slightly more parsable. -c The “–c” option stands for “command to be executed” in this case, “uptime“.
- 79. دهیم انجام ها سرور برای بندی گروه ما که دارد وجود امکان این. میکنیم کار این به اقدام زیر مسیر در منظور این برای. /etc/dsh/groups/ فولدر ها بیس هت رد درgroupsمیکنیم ایجاد زیر مسیر در. “/usr/local/etc/” پارامتر از بندی گروه از استفاده برای-gمیکنیم استفاده. $ dsh –M –g cluster –c w
- 80. رمز دادن بدون شدن وصل است زیر شرح به ما هاینمونه: SSH Client : 192.168.0.12 ( Fedora 21 ) SSH Remote Host : 192.168.0.11 ( CentOS 7 )
- 81. ۱کلید ایجاد (rsa $ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/tecmint/.ssh/id_rsa): [Press enter key] Created directory '/home/tecmint/.ssh'. Enter passphrase (empty for no passphrase): [Press enter key] Enter same passphrase again: [Press enter key] Your identification has been saved in /home/tecmint/.ssh/id_rsa. Your public key has been saved in /home/tecmint/.ssh/id_rsa.pub. The key fingerprint is: 5f:ad:40:00:8a:d1:9b:99:b3:b0:f8:08:99:c3:ed:d3 tecmint@tecmint.com The key's randomart image is: +--[ RSA 2048]----+ | ..oooE.++| | o. o.o | | .. . | | o . . o| | S . . + | | . . . o| | . o o ..| | + + | | +. | +-----------------+
- 83. فولدر ایجاد.sshمقصد سرور در. ssh sheena@192.168.0.11 mkdir -p .ssh The authenticity of host '192.168.0.11 (192.168.0.11)' can't be established. RSA key fingerprint is 45:0e:28:11:d6:81:62:16:04:3f:db:38:02:la:22:4e. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.0.11' (ECDSA) to the list of known hosts. sheena@192.168.0.11's password: [Enter Your Password Here]
- 85. عمومی کلید ارسال $ cat .ssh/id_rsa.pub | ssh sheena@192.168.0.11 'cat >> .ssh/authorized_keys' ● sheena@192.168.1.2's password: [Enter Your Password Here]
- 87. ست باید باشد نشده ست درست دسترسی سطح اگر مواقع بعضی در شود $ ssh sheena@192.168.0.11 "chmod 700 .ssh; chmod 640 .ssh/authorized_keys" sheena@192.168.0.11's password: [Enter Your Password Here]
- 89. عبور رمز درخواست بدون شدن وصل حال $ ssh sheena@192.168.0.11
- 91. نکته: درdebianبه اقدام میتوان زیر دستور با ها بیس کرد کار این. ssh-copy-id
- 92. NAME ssh-copy-id - install your public key in a remote machine's authorized_keys SYNOPSIS ssh-copy-id [-i [identity_file]] [user@]machine DESCRIPTION ssh-copy-id is a script that uses ssh to log into a remote machine and append the indicated identity file to that machine's ~/.ssh/authorized_keys file. If the -i option is given then the identity file (defaults to ~/.ssh/id_rsa.pub) is used, regardless of whether there are any keys in your ssh-agent. Otherwise, if this:
- 93. ssh-add -L provides any output, it uses that in preference to the identity file. If the -i option is used, or the ssh-add produced no output, then it uses the contents of the identity file. Once it has one or more fingerprints (by whatever means) it uses ssh to append them to ~/.ssh/authorized_keys on the remote machine (creating the file, and directory, if necessary.) NOTES This program does not modify the permissions of any pre-existing files or directories. Therefore, if the remote sshd has StrictModes set in its configuration, then the user's home, ~/.ssh folder, and ~/.ssh/authorized_keys file may need to have group writability disabled manually, e.g. via chmod go-w ~ ~/.ssh ~/.ssh/authorized_keys on the remote machine. SEE ALSO ssh(1), ssh-agent(1), sshd(8)
- 94. sftp sftp root@yashar Once you are connected: sftp> lcd /tmp [change local directory to /tmp] sftp> cd /etc [change remote directory to /etc] sftp> get motd [download /etc/motd to /tmp/motd] sftp> ? [view summary help] sftp> bye [terminate connection] ls /tmp/motd [prove you got the file]
- 97. Sample
- 98. Sample Host *.example.org User eouser ForwardX11 yes Host *.sub.example.com User suser Host *.example.com User ecuser Host* ForwardX11 no Set the user for each si defaulting to the loca user for unlisted sites. Do not forward X connections by defaul except to hosts at example.org.
- 99. Securing VNC VNC lacks any sort of useful transport security. If VNC servers are placed on a private network, SSH can provide that security. ssh -L 5900:<vnchost>:5900 <gateway> vncviewer localhost
- 101. بستر در سیستم فایل مانت برای ساختار یکsshیک که میباشد. ساخت توانمی را امن ارتباط. پرداخت خواهیم آن سازیپیاده نحوه به ادامه در.
- 102. بواسطه سیستم فایل مانت و انتقال برای است ساختاری مفهوم این شد گفته که همانطور.ssh. بسته باید ابتدا درsshfsکرد نصب را. بیس دبیان در: sudo apt-get install sshfs لینوکس آرچ در: sudo pacman -S sshfs fuse بیس ردهت در: sudo yum install fuse-sshfs
- 103. کنیم مانت چطور: sshfs user@server /path/to/mountpoint sshfs user@server /path/to/mountpoint options باید که داشت نظر در باید را نکته اینmont pointکنیم ایجاد را. sudo mkdir /mnt/server1 sudo sshfs root@192.168.1.142:/ /mnt/server1/ ● ## OR use ssh key based login ## ● sudo sshfs -o IdentityFile=~/.ssh/keyfile /mnt/server1/ نیست آخری روش به نیازی رمز بدون اتصال شد گفته لل قب که ساختاری با نکته. . :
- 104. باشد یکسان هافایل مالک باید موارد بعضی در ارتباط برای نکته. : sudo gpasswd -a "$USER" fuse ●Adding user group fuse یا sshfs -o idmap=user root@192.168.1.142:/ $HOME/server1
- 105. نحوه حالumount: sudo umount /mnt/server1 ## OR ## fusermount -u /mnt/server1
- 106. فایل در مفهوم این باید همیشگی کردن فعال برایfstabگیرد قرار. sshfs#$root@192.168.1.142:/ /mnt/server1 fuse defaults,idmap=user,allow_other,reconnect,_netdev,users,IdentityFile=/path/ to/.ssh/keyfile 0 0 vivek@server1.cyberciti.biz:/project/www/ /mnt/server1 fuse.sshfs noauto,x- systemd.automount,_netdev,users,idmap=user,IdentityFile=/home/vivek/.ss h/id_rsa,allow_other,reconnect 0 0
- 107. root@192.168.1.142 : Remote server with sshd ● fuse : File system type. ● idmap=user : Only translate UID of connecting user. ● allow_other : Allow access to other users. ● reconnect : Reconnect to server. ● _netdev : The filesystem resides on a device that requires network access (used to prevent the system from attempting to mount these filesystems until the network has been enabled on the system). ● users : Allow every user to mount and unmount the filesystem. ● IdentityFile=/path/to/.ssh/keyfile - SSH key file. ● ●
- 108. به شدن وصلsshنصب بدون مرورگر طریق از) افزونه(
- 109. نام به داریم ابزاری ماShell In A Boxبدون اتصال برایstartکردنsshdو پرداخت خواهیم آن بررسی به ادامه در مرورگر طریق از فقط. .
- 110. نصبshell in a box: ها بیس دبیان در: $ sudo apt-get install openssl shellinabox ها بیس ردهت در $ sudo yum install openssl shellinabox کانفیق فایل مسیر: /etc/default/shellinabox /etc/sysconfig/shellinaboxd
- 111. # TCP port that shellinboxd's webserver listens on SHELLINABOX_PORT=443 # specify the IP address of a destination SSH server SHELLINABOX_ARGS="--o-beep -s /:SSH:192.168.1.7" # if you want to restrict access to shellinaboxd from localhost only SHELLINABOX_ARGS="--o-beep -s /:SSH:192.168.1.7 --localhost-only"
- 112. شخصی گواهینامه ایجادsslاختیاری( ) $ su (change to the root) ● # cd /var/lib/shellinabox ● # openssl genrsa -des3 -out server.key 1024 ● # openssl req -new -key server.key -out server.csr ● # cp server.key server.key.org ● # openssl rsa -in server.key.org -out server.key ● # openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ● # cat server.crt server.key > certificate.pem
- 113. کردن فعال. $ sudo service shellinabox start ● In redhat base : $ sudo systemctl enable shellinaboxd.service $ sudo systemctl start shellinaboxd.service ● Test : netstat -nap | grep shellinabox
- 116. در امنیتssh
- 117. مختلف انواع اندازي راه و نصب هنگام در معمول طور به اوليه تنظيمات ،كامپيوتري هاي سيستم روي نرمافزاري محصولت و نصب باعث که ميشود اعمال سازنده شرکت توسط شده ارائه منظور به ،بنابراين ميگردد كامپيوتري سيستمهاي ناامن تنظيمات. امن ،موجود پذيريهاي آسيب از استفاده سوء و نفوذ از ممانعت سيستم از استفاده و اندازي راه در مراحل ترين اساسي جزء سازی ميباشد کامپيوتري اي
- 118. دهنده سرويس امن پیکربنديSSH دهنده سرويس پيکربندي فايلSSHدر/etc/ssh/sshd_confاين در تغيير هر از پس دارد قرار.سرويس بايد ،فايلSSHمجدد راهاندازي را شوند اعمال ،تغييرات تا کنيد. ،پيشفرض طور بهSSHپورت روي22نرمافزارهاي از مهاجمان ميدهد گوش ارتباطات به.آيا که ببينند تا ميکنند استفاده پورت پويشگر سرويس ،ميزبانهاSSHبهتر نه يا ميکنند اجرا را.پورت که استSSHاز بزرگتر عددي به۱۰۲۴پورت پويشگرهاي بيشتر زيرا ،شود داده تغيير( شامل(nmapنميکنند پويش را باليي پورتهاي ،پيشفرض طور به. کنيد مجدد اندازي راه را سرويس بايد ،سپس.
- 119. پروتکل دانستن مجاز2برايSSH پروتکلSSHشماره پروتکل و دارد نسخه دو2پروتکل است امنتر بسيار.2خطرات معرض درميان در فردي مانند زيادي) - -Man-in-the- Middleدر و کنيد ويرايش را پيکربندي فايل دارد قرار. . (پروتکل بودن فعال صورت1کنيد حذف را آن ،.
- 120. سفارشي نشان يک ايجادSSH سرويس به که کاربري هر ميخواهيد که صورتي درSSHرا ويژهاي پيغام ،ميشود متصل شماسفارشي پيغام يک ميتوانيد ،کند شاهده SSHمانند متني فايل يک ميتوان سادگي به کنيد ايجاد( .(/etc/sshd_banner.txtداد قرار آن در را دلخواه متنی پیغام و کرده ايجاد Printmotd yes برابر خط اين اگرyesمسیر در و طراحي پیامي توان مي باشد/etc/motdاتصال موقع در تا داد قرار دهد نمايش را آن
- 121. طريق از سيستم به ورود براي خاص کاربران دانستن مجاز تنهاSSH توسط سيستم به ورود اجازه نبايدrootطريق ازSSHباليي امنيتي ريسک کار اين زيرا ،شود دادهدسترسي ،مهاجم يک که صورتي در دارد. عنوان به سيستم بهrootبسيار صدمات ،آورد دست به راميشود موجب را معمولي کاربر يک عنوان به دسترسي به نسبت بيشتري. سرويسدهندهSSHکرد پيکربندي طوري بايد راکاربران کهrootصورت در شوند وارد آن به نتوانند.yesبه را آن مقدار ،متغير بودن noو تغييردهيدکنيد ندازي ا راه ل مجددا را سرويس. مصنوعي محلي کاربر يک که است منطقي)Dummy(نداشته شما سيستم روي حقي هيچ که کنيد ايجادبه ورود براي کاربر آن از و باشدSSHاستفاده سوء مورد کاربري حساب اگر ،صورت اين در کنيد.نميشود وارد سيستم به زيادي صدمه ،گيرد قرار استفاده.کاربران از ليستي ميخواهيد که صورتي در طريق از بتوانند آنها فقط که باشيد داشتهSSHواردفايل در را آنها نام ميتوانيد ،شوندsshd_configهاي نام با کاربراني اينکه براي ل مثل نماييد وارد. کاربريdasa ،anzeوkimyطريق از بتوانندSSH،فايل انتهاي در ،شوند واردکنيد اضافه
- 122. AuthorizedkeysFiles .ssh/authorized_keys هويت احراض جهت فايل اينkeybaseدايركتوري روي بر كه گيرد مي قرار استفاده مورد Homeلينوكس كلينت هركند مي مشخص را فايل اين مسير خط اين دارد قرار. .
- 123. UsePam yes or no سرويسSSHامنيتي مكانيزم دو توسط تواند ميPamوtcp_wrapperمي باعث گزينه اين كردن فعال شود مي كنترل. اختيار تحت سرويس اين امنيتي كنترل شودPamدهيم قرار پيكربندي مورد را زير فايل بايد صورت اين در كه بگيرد قرار. /etc/security/access.confمكانيزم با بخواهيم اگر وtcp_wrapperفايل بايد بگيرد قرار كنترل مورد /etc/host.allowكنيم راكانفيگ . كدام بفهميم بخواهيم اگر دهيم قرار مطالعه مورد را آنها راهنماي بايد حتما فايل دو اين با كردن كار جهت مهم نكته. : توسط سرويسtcp_wrapperكنيم مي استفاده دستورات اين از شود مي كنترل. #whereis sshd #ldd /usr/sbin/sshd دستورlddاين دهد.خروجي مي نشان را كند مي استفاده آن از سرويس يك كه هائي ماژول تمامي تمام لیست دستورهاي ماژلsshd، خروجي در شده داده نشان ماژول سومین .دهد مي نشان را ماژولlibwarrp.soكه سرويسي هر .استتوسط يعني باشد داشته را ماژول اينtcp_wrapperكنترل .میشود
- 124. عمومي کليد از استفاده با اصالت تصديقDSAیاrsa اصالت تصديق براي گذرواژهها و ورود نامهاي از استفاده جاي به،SSHعمومي کليدهاي از ميتوانDSAامکان اين که باشيد داشته توجه کرد استفاده. اصالت تصديق هم ،همزمان طور به که دارد وجودکليد با هم و ورود نام باDSAعمومي کليد با اصالت تصديق بودن فعال با باشند داشته وجود.،DSA سرويس به ورود براي زيرا ،ميشود ايمن ديکشنري حملت برابر در شما سيستم،SSHو ورود نام بهيک بايد ،عوض در داشت نخواهيد نيازي گذرواژه. کليد جفتDSAو عمومي کليد يک باشيد داشته:سرويس روي را عمومي کليد و ميداريد نگه خود ماشين روي را خصوصي کليد خصوصي کليد يک- . نشست يک به ميخواهيد هنگاميکه ميکنيد کپي دهنده.1SSHرا کليدها سرويسدهنده ،شويد واردوارد پوسته به شما ،مطابقت صورت در و ميکند چک برقرار ارتباط ،مطابقت عدم صورت در ميشويد.نميشود.ايستگاه ، ميشويم متصل سرويسدهنده به آن طريق از که خصوصي ماشين ،زير مثال در) (1و ايستگاه ،دهنده سرويس ماشين2پوشه ،ماشين دو هر ميشود ناميده.homeي صورت در دارند؛ يکسانيپوشه کهhomeسرويس و دهنده سرويس در داشت نخواهد وجود کار اين امکان ،باشند متفاوت گيرنده.کنيد توليد کليد جفت يک ،خود خصوصي ماشين روي ،که است لزم ابتدا. a@A:~> ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/a/.ssh/id_rsa): Created directory '/home/a/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/a/.ssh/id_rsa. Your public key has been saved in /home/a/.ssh/id_rsa.pub. The key fingerprint is: 3e:4f:05:79:3a:9f:96:7c:3b:ad:e9:58:37:bc:37:e4 a@A
- 125. a@A:~> ssh b@B mkdir -p .ssh b@B's password: a@A:~> cat .ssh/id_rsa.pub | ssh b@B 'cat >> .ssh/authorized_keys' b@B's password: فايل بايد اکنونsshd_configکلیدهاي با اصالت تصديق از که کنید پیکربندي طوري راDSA صورت به ، شده مشخص خط که کنید حاصل اطمینان بايد ،کار اين براي .کند استفاده .نباشند توضیح
- 126. KeyRegenerationInterval 1h سرورSSHسرور روي شده توليد كليدهاي ساعت يك هر فرض پيش طور به حملت از تا كند مي مجدد توليد را Capture dataكند جلوگيري الگوريتم يافتن و.
- 127. با ارتباطipخاص AddressFamily any اين كننده مشخص خط اين مقدار باشد داشته مقدار سه تواند مي خط اين. ورژن چه از كه استIPكند پشتيباني. ●خط اين مقادير: ●: inetكننده مشخصIPورژن4است. ●6 : intكننده مشخصIPورژن6است. ●: anyورژن دو هر از يعنيIPكند پشتيباني ●
- 128. ListenAddress 192.168.1.1 ●SSHتمام با پيشفرض طور بهIPارتباط اجازه و كند مي برقرار ارتباط ها را خاصي شبكه كارت ميتوانيم اينجا در دهد مي همكارت عنوان به اختصاصيSSHبه مربوط خط اين كنيم دهي آدرس.IPورژن4است. ListenAddress :: درIPورژن6دهد مي را همه معني خط اين مقدار
- 129. 2048ServerkeyBits پيش طور به شده توليد رمزنگاري كليدهاي طول فرض1024بهتر بيشتر امنيت براي كه است بيت روي بر است2048شود تنظيم.
- 130. Accept ENV ●سرور كه دهد مي نشان را متغيرهايي عبارت اين SSHاجازهExportدارد را كلينت روي بر آنها كردن.
- 131. X11Forwarding yes سرور به اتصال از بعد تا دهد مي ما به را امكان اينSSHسرور بتوانيم گرافيكي صورت به اتصال از بعد كنيم پيكربندي را.مي اما ، شويم مي مواجه رنگ مشكي صفحه يك با ما ساده گرافيكي محيط يك داراي كه كنيم استفاده دستوراتي از توانيمهستند اي. دستورات مثل. setup , rconf , system config networkگرافيكي كنسول دستورات اين بر را خاصيكنند مي اجرا سرور روي.SSH Tunnelingاز استفاده براي ايمني بسيار روش از باشد مي دور راه گرافيكي ابزارهاي.Tunnelingهاي پروتكل ساير همراه به توان مي بر مبتنيTCP/IPروي بر گزينه اين است بهتر اما كرد استفاده نيزnoشود تنظيم.
- 132. log SyslogFacility AUTHPRIV ميكند مشخص خط اينlogبا كه كاربري هرsshلگين سرور به شود ثبت چگونه كند وارد پسورد يوزر و كرده. LogLevel INFO مقدار دو تواند مي خط اينINFOوDEBUGكه باشد داشته سطوحlogكنند مي مشخص را برداري. ●
- 133. timing LoginGreaceTime 2m كه كندكلينتي مي مشخص زمان اينsessionدارد اختيار در را لگين صفحه و كرده برقرار210یوزر دارد وقت ثانيه بسته لگين صفحه و شده قطع آن كانكشن ندهد صورت اقدامي مدت اين در اگر نمايد لگين سرور به و تايپ را پسورد شود مي. 600ClientAliveInterval 0ClientAliveCountMax حالت يك توان ميIdle TimeOutنگيرد صورت عملياتي و بيافتد اي فاصله آنها كار بين اگر تا كرد ايجاد يوزرها براي باعثLogoutشود مي فعال امكان اين نظر مورد مقادير و خط دو اين كردن اضافه با شود يوزر در.
- 134. HostBasedAuthentication no هاست از يوزر يك باشد فعال ويژگي اين كه وقتي تا هم شبكه در ديگري هاست به تواند مي خودش كند لگين.
- 135. IgnoreRhosts yes ●هاي فايل به نتوانند يوزرها شود مي باعث خط اين بودن فعال.shostsو .rhostsباشند داشته دسترسي. جز به هايي دايركتوري به دسترسي امكان يوزرها فرض پيش حالت در نكته: به توانند مي و دارند را خود اصلي دايركتوري مانند هايي دايركتوري,.....bin,etcعامل سيستم از استفاده با كنند پيدا دسترسي. پايه بر كه هاييchrootيا و هستندمانند ابزاريrsshتوان ميSSHديگر برابر در را كرد ايمن يوزرها.
- 136. آخرین حذف یا نمایشIPبا شده واردSSH آخرین پیغام سرور به شدن وصل هنگام پیشفرض بصورت دهدمی نشان اتصال PrintLastLog yes میتوان کردن فعال غیر برایnoکرد جایگزین را.
- 137. روت با اتصال هنگام میل ارسال در را زیر خطوط اینکار برایroot/.bashrcکنید اضافه. echo 'ALERT - Root Shell Access (' `hostname` ') on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" info@unixmen.ir root_login
- 138. بل کipآنها ساختار و ها یوزر 6MAXAuthTrise يوزري فرض پيش صورت به اگر6،كند وارد اشتباه را پسورد مرتبهsshقطع را او كانكشن و گرفته او از را لگين صفحه كند مي. ساختار میتوانید همچنینlfdیاlogin fail detectبه ناموفق لگین مشخصی تعداد اگر که کنید سازیپیاده.sshرخ داد.Ipتحلیل با که بنویسید اسکریپتی میتوانید اینکار برای شود بلک نظر مد فرد/ .var/log/secureوiptables بلک قابلیت اسکریپت این نمود خواهم عمومی آینده در که امنوشته ساختار این در اسکریپتی کند اینکار به اقدام. . . براساسipساختار منظور این برای همیشگی و موقت بصورت هم باشدمی را دا را آدرس مک و. .csfموجود نیز و آدرس مک براساس بلک پشتیبانی عدم جمله از میباشد هاییمحدودیت دارای ولی باشدمی… . .
- 139. ادامه فورواردینگ پورت بررسی به بعدی های نسخه در پرداخت خواهیم پیشرفته بصورت.