SSH, pli ol sekura ŝelo

SSH (Sekura Ŝelo) estas protokolo, kiu helpas nin sekure aliri malproksimajn komputilojn, baze kiel faras Telnet, sed uzante ĉifradajn algoritmojn, kiuj helpas nin konservi nian ligon sekura, precipe se ni volas aliri komputilojn, kiuj plenumas iun gravan funkcion ene de organizo.

Ĝenerale por aliri ni devas doni nian uzantnomon kaj la adreson de la komputilo, por ke la SSH-servilo petu al ni la aliran pasvorton:

ssh usuario@equiporemoto

Ekde la momento, kiam la kliento komencas la unuan konekton inter la fora komputilo kaj ni, la informo jam vojaĝas sekure, malebligante iun akiri niajn alirajn atestilojn al tiu komputilo, tamen SSH estas tre adaptebla protokolo, kiu ofertas al ni multajn eblecojn.

SCP

La unua el ĉi tiuj estas povi transdoni dosierojn inter la kliento kaj la fora komputilo, sen la bezono munti FTP aŭ NFS-servilon, simple uzante SCP (Secure CoPy), kiun plej multaj SSH-serviloj efektivigas:

scp archivo.tar.gz usuario@equiporemoto:/home/usuario
scp usuario@equiporemoto:/var/log/messages messages.txt

SSH-Tunelado

Ĉi tiu funkcio estas tre utila, ĉar ĝi permesas al ni sendi kaj ricevi informojn, kiuj ne nepre estas ŝelaj komandoj inter la kliento kaj la fora komputilo, ekzemple ordinara foliumado. Se vi ne divenas, kian uzon ĉi tio povas havi, pensu pri la jenaj: vi bezonas aliri paĝon, sed la loko, kie vi estas, havas fajromuron efektivigitan, kiu blokas ĝuste tiun paĝon, do ni povas fari "tuneladon" per fora komputilo, kiu ne havas menciitajn serurojn kaj trarigardas menciitan paĝon per nia SSH-sesio:

ssh -D 8888 usuario@equiporemoto

Unufoje konektita, nia SSH-kliento 'aŭskultas' ĉe la haveno 8888 kiel prokura servilo, por ke ni povu agordi nian retumilon kaj ĉia trafiko transdoniĝas per la SSH-sesio.

SSH-Tunelo

Alia ekzemplo, kiu okazas al mi, estas kiam, pro iu geografia limigo, ni ne povas aliri retservon de kie ni estas, kiam ni faras la tunelon, diris ke retservo detektas la IP de nia fora servilo kiel fonto, ne nia IP de nia kliento. Ĉi tio iom egalas al VPN-oj (Virtuala Privata Reto)

Inversa SSH

Se ial ni bezonas aliri komputilon malantaŭ malantaŭa fajroŝirmilo kaj ĝi ne permesas al ni redirekti SSH-trafikon al ĝi, ni povas fari 'inversan SSH', tiel ke tiu komputilo konektas al alia SSH-servilo, ĉe kiu ni ankaŭ povas konektiĝi, por aliri la ekipaĵon malantaŭ la fajroŝirmilo. Ekzemplo, kiu venas al mi en la kapon, estas kiam ni volas helpi amikon, kiu tute ne scias kiel agordi alidirektilon sur sia modemo, sed ni bezonas aliri lian komputilon malproksime:

Amiko -> Modemo -> SSH-Servilo <- Pri Ni

La sekvindaj paŝoj estas relative tre simplaj:

Amiko
ssh -R 9999:localhost:22 usuario@servidorssh

ni
ssh usuario@servidorssh
Fojo en la SSH-servilo, ni povas konekti kun la teamo de nia amiko per
ssh amigo@localhost -p 9999

Kiel vi vidas, la tuta magio kuŝas en la parametro -R, kiu diras al la intera servilo, ke ĉe la haveno 9999 la komputilo de nia amiko nun aŭskultas kiel servilo.

Ĉi tiuj estas nur iuj ebloj, kiujn SSH ofertas al ni, sed mi invitas vin eksperimenti kun kelkaj pli, ekzemple; ni povas fari neakompanatajn skriptojn per RSA-klavoj, redirekti X-sesiojn (grafika reĝimo) al nia grafika medio, nur por mencii kelkajn.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

21 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Astro diris

    Bonega artikolo, mi fervoras reveni hejmen kaj ekpraktiki ilin.

    1.    adr14n diris

      Multaj dankoj! Ĝi efektive estas mia unua blogaĵo kaj estas tre agrable legi ĉi tiujn komentojn. Saluton!

  2.   Pablo cardozo diris

    Hieraŭ mi demandis ion pri ĉi tiu temo, kaj ĝi estas la sekva.

    Ĉu estas maniero povi scp tutan dosierujon sed konsiderante la daton de la dosieroj? Alivorte, mi havas dosierujon kun multaj dosieroj, kiujn mi elŝutis antaŭ iom da tempo, mi interesiĝas elŝuti nur tion, kio estis alŝutita al tiu dosierujo de certa dato.

    Salutojn kaj multajn dankojn anticipe.

    1.    elav diris

      Vi povas fari ĝin per RSYNC per SSH. 😉

      1.    Giskard diris

        rsync estas la kovrilo de la kruĉo !!! 😀

      2.    Eduardo diris

        Mi rekomendas vin provi unisone, ĝi estas SPECTAKULA, ĝi haveblas en la repos (almenaŭ debian kaj ubuntu)

        http://www.cis.upenn.edu/~bcpierce/unison/

        Mi uzas ĝin por fari ĉiutagajn sekurkopiojn de mia noto al alia komputilo, krom havi sinkronigitajn dosierujojn en malsamaj komputiloj.

        Ĝi estas tre facile uzebla

        Mi esperas, ke ĝi utilas por vi!

        Sukcesoj
        Eduardo

    2.    Maldekstramana diris

      Tio ŝajnas pli ol tasko kiel por rsync, sed mi ne scias ĉu ekzistas parametro por fari tion specife, se ne, eble ĝi devus esti pritraktita de skripto

    3.    adr14n diris

      Kio okazas al mi estas fari ls ordigita laŭ dato, kaj de tie kopiu tiujn, kiujn vi bezonas per simpla scp, ĉar la scp ne havas tiom da funkcioj kiel ili diras, ĝi havas la rsync.

  3.   anonima diris

    Mi atestas, ke la inversa ssh estas luksa, mi uzis ĝin inter mia komputilo kaj alia, kiu estis pli ol 700Km for kaj nulajn problemojn.
    Dankon pro ĉi tiuj artikoloj, ili estas tre valoraj.

  4.   ĉesi diris

    Tiel sala! Haha, mi ne sciis, ke ssh havas tiom da ebloj, mi jam volas lerni kiel starigi ssh-servilon kaj eksperimenti kun ĝiaj kapabloj, nur unu afero, ĉu vi povus klarigi, kion faras ĉiu parametro?

    1.    adr14n diris

      Laŭ la ssh-ulo, la -D estas uzata por specifi loke "dinamikan aplikaĵan plusendilon", kiu kiel mi klarigis en la artikolo, estas uzata por pasigi trafikon tra tunelo ene de la sama SSH-sesio. La -R specifas la foran havenon, kiu estos redirektita al nia loka komputilo per 'plusendado'. Kaj fine la -p specifas al kiu haveno la kliento devas konekti, kiam ĝi ne uzas la norman havenon: 22

  5.   manuelmdn diris

    Bona afero, kiu tuŝas ĉi tiun temon, mi havas demandon pri la ssh-ŝlosiloj, ĉu vi povas generi pli ol unu ŝlosilon por malsamaj servoj? Mi esperas, ke ili faris afiŝon pri administrado de la ssh-ŝlosiloj, mi scias, ke en google ekzistas la respondo., Sed espereble vi infanoj parolos pri ĝi,

    Dankon!

    1.    adr14n diris

      Kiam vi uzas aŭtentikigon per SSL-ŝlosiloj, vi povas eksporti la saman (vian komputilon) al malsamaj servoj kaj same, se via komputilo estas la servilo, vi povas korpigi malsamajn ŝlosilojn de malsamaj komputiloj. Mi ne scias, ĉu mi respondis vian demandon, sed mi komprenis tion. Saluton

  6.   Ludoviko diris

    Mi pensas, ke mi memoras, ke estis maniero tra ssh, kiu permesis al ni lanĉi programon malproksime kaj vidi ĝin en nia komputilo kvazaŭ loka programo.

    Ekzemple, ni povus funkciigi Firefox, ni vidas kaj regas ĝin sur nia loka komputilo sed la procezo funkcias sur la fora komputilo.

    Precipe utila en komputiloj kun malmultaj rimedoj sed bedaŭrinde mi ne regas la aferon kaj mi ne scias kiel agordi la komputilojn por fari tion.

    Ĉu iu scias ion pri ĝi?

    1.    personaro diris

      Por io tia estus oportune uzi VNC kaj vi povas tuneli per SSH.

      1.    x11tete11x diris

        @Staff por mi ne estus oportune uzi VNC .. kun VNC se mi ne malbonas, vi alportas la tutan labortablon ..

        @Luis, kion vi faras, vi simple faras aldonante la parametron "-X" al la ssh (vi devas permesi X-plusendadon en via servilo)

        http://i.imgur.com/NCpfzBL.jpg

      2.    personaro diris

        @ x11tete11x
        Konsiderante tion, kion Luis menciis, mi pensis oferti al li alian alternativon, ĉar:

        1. "Precipe utila en komputiloj kun malmultaj rimedoj ..."

        -Kaze de ununura aplikaĵo, ĝi eble ne konsumas tiom da rimedoj, sed provi malfermi 10 fenestrojn per x-plusendado daŭre igas la sistemon funkcii pli ol havi unu VNC-ekzemplon, ĉar VNC ne "alportas la tutan labortablon"
        -Ferminte la programon ĉe la kliento, ĝi finiĝas same sur la servilo (iu korektas min se mi eraras), dum kun VNC vi povas, ekzemple, lasi la tutan nokton elŝutante torenton kaj ensaluti denove en la matene kaj ĉio daŭrus same kiel mi foriris.
        -VNC estas sistema agnostika protokolo, vi povas aliri ĝin de kliento en Win, Andorid, Mac OSX, ktp. kaj uzu viajn programojn GNU / Linukso, sen devi instali ion krom la VNC-kliento mem.

        Kaj 2. "... bedaŭrinde mi ne regas la aferon kaj mi ne scias kiel agordi la komputilojn por fari tion."

        Estas multe pli facile (Kaj sen risko tajpi ion malbonan kaj rekomenci sen labortablo) instali VNC kaj agordi la SSH-tunelon (Ĝi estas farita per GUI) ol movi la X-agordajn dosierojn.

      3.    Ludoviko diris

        Dankon al vi ambaŭ pro viaj komentoj.

        Mi uzas SSH kune kun SHFS delonge por aliri foran enhavon de mia malgranda servilo sed mi neniam povis funkciigi forajn programojn en grafika medio.

        Mi provos ambaŭ eblojn por vidi kiel ĝi funkcias. Kion mi diris unue ŝajnas pli simpla, ĉar laŭ x11tete11x, vi nur devas aldoni unu parametron.

        Tiam mi vidos, ĉu mi povas trovi simplan manieron agordi VNC, ĉar mi estas iom granda, mi estas Arch-uzanto, do certe estos informoj en la vikio, alia afero estas, ke mi ekscias. Hehehe

        Un saluto.

    2.    adr14n diris

      Oni povas fari ĝin transdonante la parametron -X al la kunsido, sed vi devas agordi vian X-servilon por akcepti konektojn de komputilo en la reto, mi pensas, ke tio estas agordita kun la xhost-ilo. Kiel Staff mencias, VNC ankaŭ estas tre bona eblo

    3.    mario diris

      Ĝi estas X11-plusendado, ĉi tie en ĉi tiu sama retejo estas afiŝo pri tio:
      https://blog.desdelinux.net/x11-forwarding-a-traves-de-ssh/

    4.    Ludoviko diris

      Dankon pro la informaj amikoj.

      Mi diris, mi faros ĝin uzante ambaŭ eblojn por vidi, kiu pli taŭgas por mi.

      Dankon!