Secure Shell (SSH) on salausverkkoprotokolla, jota käytetään salattuun yhteyteen asiakkaan ja palvelimen välillä. Ssh-asiakas luo suojatun yhteyden etäkoneen SSH-palvelimeen. Salattua yhteyttä voidaan käyttää komentojen suorittamiseen palvelimella, X11-tunnelointiin, portin edelleenlähettämiseen ja muihin.

SSH-asiakkaita on saatavana sekä ilmaiseksi että kaupallisesti, ja OpenSSH on eniten käytetty asiakas. Se on saatavana kaikilla tärkeimmillä alustoilla, kuten Linux, OpenBSD, Windows, macOS ja muut.

, selitämme kuinka OpenSSH-komentoriviasiakasohjelmaa ( ssh ) käytetään etäkoneeseen kirjautumiseen ja komentojen suorittamiseen tai muiden toimintojen suorittamiseen.

OpenSSH-asiakasohjelman asentaminen

OpenSSH-asiakasohjelman nimi on ssh ja siihen voidaan kutsua päätelaite. OpenSSH-asiakaspaketti tarjoaa myös muita SSH-apuohjelmia, kuten scp ja sftp , jotka asennetaan ssh komennon rinnalle.

OpenSSH Client -ohjelman asentaminen Linuxiin

OpenSSH-asiakas on esiasennettu useimpiin Linux-jakeluihin oletuksena. Jos järjestelmässäsi ei ole ssh-asiakasohjelmaa asennettuna, voit asentaa sen käyttämällä jakelun paketinhallintaa.

OpenSSH: n asentaminen Ubuntuun ja Debianiin

sudo apt update sudo apt install openssh-client

OpenSSH: n asentaminen CentOS: iin ja Fedoraan

sudo dnf install openssh-clients

OpenSSH Client -sovelluksen asentaminen Windows 10: ään

Useimmat Windows-käyttäjät käyttävät Puttyä yhteyden muodostamiseen etälaitteeseen SSH: n kautta. Windows 10: n uusimmat versiot sisältävät kuitenkin OpenSSH-asiakkaan ja palvelimen. Molemmat paketit voidaan asentaa GUI: n tai PowerShellin kautta.

Löydä OpenSSH-paketin tarkka nimi kirjoittamalla seuraava komento:

Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'

Komennon pitäisi palauttaa jotain tällaista:

Name: OpenSSH.Client~~~~0.0.1.0 State: NotPresent Name: OpenSSH.Server~~~~0.0.1.0 State: NotPresent

Kun tiedät paketin nimen, asenna se suorittamalla:

Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Menestyksen tuloksena näyttää seuraavalta:

Path: Online: True RestartNeeded: False

OpenSSH Client -sovelluksen asentaminen macOS: iin

macOS toimitetaan OpenSSH-asiakasohjelman kanssa oletuksena asennettuna.

Kuinka käyttää ssh komentoa

Seuraavat vaatimukset on täytettävä, jotta etäkoneeseen voidaan kirjautua sisään SSH: n kautta:

• SSH-palvelimen on oltava käynnissä etäkoneella. SSH-portin on oltava auki etäkoneen palomuurissa.Olet tiedossa etätilin käyttäjänimi ja salasana. Tilillä on oltava oikeat käyttöoikeudet etäkirjautumiseen.

ssh komennon ssh on seuraava:

ssh:HOST

Jos haluat käyttää ssh komentoa, avaa pääte tai PowerShell ja kirjoita ssh ja ssh nimi:

ssh ssh.linuxize.com

Kun muodostat yhteyden etälaitteeseen SSH: n kautta ensimmäistä kertaa, näet alla olevan kaltaisen viestin.

The authenticity of host 'ssh.linuxize.com (192.168.121.111)' can't be established. ECDSA key fingerprint is SHA256:Vybt22mVXuNuB5unE++yowF7lgA/9/2bLSiO3qmYWBY. Are you sure you want to continue connecting (yes/no)?

Jokaisella isäntäkoneella on ainutlaatuinen sormenjälki, joka on tallennettu ~/.ssh/known_hosts tiedostoon.

Kirjoita yes tallentaaksesi etä sormenjälki, ja sinua pyydetään antamaan salasanasi.

Warning: Permanently added 'ssh.linuxize.com' (ECDSA) to the list of known hosts. [email protected]'s password:

Kun olet kirjoittanut salasanan, kirjaudut sisään etäkoneeseen.

Kun käyttäjänimeä ei ole annettu, ssh komento käyttää nykyistä järjestelmän kirjautumistunnusta.

Jos haluat kirjautua sisään eri käyttäjänä, määritä käyttäjänimi ja isäntä seuraavassa muodossa:

ssh username@hostname

Käyttäjätunnus voidaan määrittää myös -l vaihtoehdolla:

ssh -l username hostname

Oletuksena, kun porttia ei anneta, SSH-asiakas yrittää muodostaa yhteyden portin 22 etäpalvelimeen. Joillakin palvelimilla järjestelmänvalvojat muuttavat oletus SSH-porttia lisätäkseen ylimääräisen suojauskerroksen palvelimelle vähentämällä automatisoidut hyökkäykset.

Voit muodostaa yhteyden muihin kuin oletusportteihin määrittämällä portti -p vaihtoehdolla:

ssh -p 5522 username@hostname

ssh -v username@hostname

Käytä -vv tai -vvv -vv -vvv .

ssh komento hyväksyy useita vaihtoehtoja.

Täydellinen luettelo kaikista vaihtoehdoista on ssh man -sivulla kirjoittamalla man ssh terminaaliin.

SSH-määritystiedosto

OpenSSH-asiakas lukee käyttäjäkohtaisessa määritystiedostossa ( ~/.ssh/config ) asetetut asetukset. Tähän tiedostoon voit tallentaa erilaisia ​​SSH-asetuksia jokaiselle etälaitteelle, johon yhdistät.

SSH-kokoonpanonäyte näytetään alla:

Host dev HostName dev.linuxize.com User mike Port 4422

Kun vetoat ssh-asiakasohjelmaan kirjoittamalla ssh dev , komento lukee ~/.ssh/config tiedoston ja käyttää dev-isäntälle määritettyjä yhteydetietoja. Tässä esimerkissä ssh dev vastaa seuraavaa:

ssh -p 4422 [email protected]

Lisätietoja on SSH-konfigurointitiedoston artikkelissa.

Julkisen avaimen todennus

SSH-protokolla tukee erilaisia ​​todennusmekanismeja.

Julkiseen avaimeen perustuva todennusmekanismi antaa sinun kirjautua sisään etäpalvelimeen kirjoittamatta salasanaasi.

Tämä menetelmä toimii luomalla pari salausavaimia, joita käytetään todennukseen. Yksityinen avain tallennetaan asiakaslaitteeseen ja julkinen avain siirretään jokaiselle etäpalvelimelle, johon haluat kirjautua sisään. Etäpalvelin on määritettävä hyväksymään avaimen todennus.

ssh-keygen -t rsa -b 4096 -C "[email protected]"

Sinua pyydetään kirjoittamaan turvallinen salasana. Haluatko käyttää tunnuslausea, se on sinun tehtäväsi.

Kun sinulla on avainpari, kopioi julkinen avain etäpalvelimelle:

ssh-copy-id username@hostname

Syötä etäkäyttäjän salasana, ja julkinen avain lisätään etäkäyttäjän lupaa_avaintiedostoon.

Kun avain on ladattu, voit kirjautua sisään etäpalvelimeen kysymättä salasanaa.

Asettamalla avainpohjainen todennus voit yksinkertaistaa kirjautumisprosessia ja lisätä palvelimen yleistä tietoturvaa.

Portin uudelleenohjaus

SSH-tunnelointi tai SSH-portin edelleenlähetys on menetelmä salatun SSH-yhteyden luomiseksi asiakkaan ja palvelinkoneen välille, jonka kautta palveluportit voidaan välittää.

SSH-välitys on hyödyllinen siirtäessä verkkotietoja palveluista, jotka käyttävät salaamatonta protokollaa, kuten VNC tai FTP, pääsyä maantieteellisesti rajoitettuun sisältöön tai ohittamalla välipalomuurit. Periaatteessa voit välittää mitä tahansa TCP-porttia ja tunnistaa liikenteen turvallisen SSH-yhteyden kautta.

SSH-porttien edelleenlähetyksiä on kolmen tyyppisiä:

Paikallinen satamahuolinta

Paikallisen portin edelleenlähetys antaa sinun välittää yhteyden asiakasisäntästä SSH-palvelimen isäntään ja sitten kohde isäntäporttiin.

Luodaksesi paikallisen portin edelleenlähetys -L asetus ssh asiakkaalle:

ssh -L LOCAL_PORT:DESTINATION_HOST:DESTINATION_PORT -N -f username@hostname

-F-asetus käskee ssh komennon ajaa taustalla ja -N olematta suorittavan etäkomentoa.

Etäportin edelleenlähetys

Etäsataman huolinta on päinvastainen kuin paikallisen sataman edelleenlähetys. Se välittää portin palvelinpalvelimesta asiakasisäntäkoneelle ja sitten kohdeisäntäporttiin.

-L asetus käskee ssh : n luomaan etäportin edelleenlähetyksen:

ssh -R REMOTE_PORT:DESTINATION:DESTINATION_PORT -N -f username@hostname

Dynaaminen portin edelleenlähetys

Dynaaminen portin edelleenlähetys luo SOCKS-välityspalvelimen, joka mahdollistaa tiedonsiirron useiden porttien välillä.

Dynaamisen portin edelleenlähetyksen (SOCKS) luomiseksi välitä -D asetus ssh-asiakkaalle:

ssh -D LOCAL_PORT -N -f username@hostname

Tarkempia tietoja ja vaiheittaiset ohjeet on artikkelissa SSH-tunneloinnin määrittäminen (portin edelleenlähetys).

johtopäätös

Voit muodostaa yhteyden etäpalvelimeen SSH: n kautta käyttämällä ssh komentoa, jota seuraa etä käyttäjänimi ja isäntänimi ( ssh username@hostname ).

ssh komennon käytön ssh on välttämätöntä etäpalvelimen hallintaa varten.

SSH-pääte