12 تدبيرا لينكس اباتشي الخلية LAMP الويب PHP جذر خادم آمن
وزادت وتيرة القرصنة بشكل كبير في الاشهر الاخيرة. خاصة ويمكن الحصول على الكثير من البيانات من قبل الخارقة على خوادم الشبكة. حتى أخذت PSN سوني ميزة الإختراق من الضعف لم يتم إصلاحها في خادم الويب اباتشي. لذلك انا هنا رفع التدابير التي يمكن أن تمتلك خادم قليلا أكثر أمنا ضد هجمات من الخارج. بالطبع، هذا أيضا لا يوفر حماية بنسبة 100٪، ولكن من الأفضل لجعل الأشرار اللعبة قليلا أكثر صعوبة. بعض التدابير تتطلب سوى تثبيت الحد الأدنى من والصيانة. آخرون في حاجة الى الكثير من الوقت ومعرفة من بي إتش بي للقبض. يجب أن تدفع دائما الانتباه إلى نسبة التكاليف والمنافع في اختيار التدابير الأمنية. ليس هناك من معنى لحماية صغيرة، موقع خاص مثل بنك الاحتياطي الفيدرالي. ومع ذلك، بعض التغييرات المحددة في النظام لديها بالفعل كبير يعني المزيد من الأمن. والتي يجب أن تعالج حتى قبل فوات الاوان ....
جميع النصائح وCodesnips الرجوع إلى مربع ديبيان الحالية.
الأول جدار الحماية - منع كل شيء مرة واحدة
معظم توزيعات لينكس في المنشآت الافتراضية الخاصة بهم فتح أي منافذ على الخارج التي ليست ضرورية تماما. ويمكن هذا الوضع يتغير بسرعة، ولكن، حتى عندما يكون الخادم
حول اللعب ومحاولة أشياء. فجأة، وحتى وسائل الاعلام الخادم هو الاستماع على شبكة الإنترنت أو قاعدة البيانات
يقبل الاتصالات من الإنترنت. ولذلك، فإنه ليس من الخطأ أن يضبطوا أنفسهم، ووضع على جدار حماية مقيدة للغاية الذي يحظر بشكل أساسي مرة واحدة كل الاتصالات من خارج ويسمح فقط (الذاتي) مركبات مختارة. لحسن الحظ، ويتم ذلك بسرعة مع IPTABLES. بهذه الطريقة يمكن للمرء أن لم تعد توفر الخدمات لجعل الوصول إلى العالم بأن ليس لديهم عمل هناك. للأسف، كنت تدفع القليل من الراحة - لا بد من ضبط جدار الحماية في كل مرة عندما كنت ترغب في تقديم خدمات جديدة. ومع ذلك، فإن جهد صغير وكبير الفوائد.
# أنا! / / حذف باش الجداول الموجودة # [إيبتبلس-F # حظر كافة الاتصالات الواردة IPTABLES-P INPUT DROP IPTABLES-P FORWARD # إسقاط جميع المنتهية ولايته تسمح IPTABLES-P OUTPUT اعقد # SSH تسمح IPTABLES-A INPUT-J-P تقبل TCP - dport 22 # السماح HTTP IPTABLES-A INPUT-J-P تقبل برنامج التعاون الفني - dport 80 خدمة أخرى # (UDP) تسمح، على سبيل المثال، لعبة خادم IPTABLES-A INPUT-J-P تقبل برنامج التعاون الفني - dport 4534 # كل شيء من المضيف المحلي . تسمح (قد يكون هذا الوصول بحرية الخادم نفسه في خدمتها، على سبيل المثال، PHP # على قاعدة البيانات المحلية IPTABLES-A INPUT-J-S تقبل 127.0.0.1 اتصالات # أنشئت بالفعل في كل ميناء يقبل # (مطلوب لبعض الشياطين) [إيبتبلس - مدخل م دولة - دولة المنشأ، ذات الصلة ي اعقد
هذا قليل العمود الفقري يمكن أن نستمر ببساطة لتوسيع وإضافة خدمات خاصة بهم. عند العمل على جدار الحماية، يجب عليك ان تجعل دائما الأحكام في القضية التي يؤمن بها نفسك. وخاصة بالنسبة للخدمة المناطق النائية التي لم يكن لديك الوصول المادي، وهو أمر مزعج جدا أن يخسر بواسطة جدار حماية فشل قاعدة وصول الخاصة بهم. من أجل تجنب هذه المشكلة للخروج من الطريق، يمكنك ترك العمل للبدء في جدار الحماية فقط مؤقتا وظيفة كرون ان يعيد جدار الحماية كل بضع دقائق أو إعادة تشغيل الخادم. يتم اختبار النظام في وقت لاحق ويحبها، وسيتم إلغاء تنشيط cronjob والقواعد الجديدة ما زالت نشطة بشكل دائم.
لمعرفة الخدمات التي هي مجرد الاستماع حول إلى الخادم الخاص بك، يمكنك استخدام NETSTAT:
# للحصول على مآخذ TCP: NETSTAT-LPN | GREP TCP وبالمثل # لUDP: NETSTAT-LPN | GREP UDP
لاختبار إذا كان جدار الحماية يعمل حقا، يمكنك تفحص المنفذ الخادم الخاص بك من كمبيوتر آخر. عملت كل شيء وأنه ينبغي أن يؤدي إلى الموانئ فقط بل أن تكون مفتوحة:
# للحصول على برنامج التعاون الفني: نمب-P1-65 535 meinserver.de # للحصول على UDP: نمب-SU-P1-65 535 meinserver.de
ثان سه تسجيلات حظر
على الخادم جذر الخاصة لديك كامل SSH الوصول. هذا مفيد جدا، كما يمكنك من أي عميل SSH إلى الأوقات الخادم فقط للعمل على ذلك. الجانب السلبي من هذا هو أن مسار يمكن لأي شخص الذي للأسف أخذ بطريقة أو بأخرى على كلمات السر الخاصة بهم. انها أكثر أمانا للسماح تسجيلات SSH فقط مع ملف مفتاح صالح. لذلك، يتم تعطيل المفتاح العمومي من العميل إلى الخادم وتسجيلات تفاعلية نسخ عن طريق إدخال كلمة السر.
# على العميل، إنشاء مفتاح العام إذا # المحدد عند إنشاء كلمة مرور، يحتاج المرء إلى سجل # ملف في وقت لاحق، والمفتاح وكلمة السر. وإلا # هناك حاجة فقط على مفتاح. سه، كجن-T RSA # نسخ مفتاح ولدت لخادم سه-نسخة معرف-I ~ /. SSH / id_rsa.pub root@meinserver.de # ضبط الآن sshd_config على الخادم / الخ / SSH / . . لا PasswordAuthentication . . # ثم تبدأ مرة أخرى RearBBpos / الخ / init.d / SSH إعادة تشغيل
حتى هنا ينبغي للمرء أن اتخاذ الاحتياطات اللازمة لعدم استبعادها حتى لو كان هناك شيء لا يعمل.
المفتاح العمومي على عصا USB مع كلمة السر المقابلة في رأسك يجعل من الأصعب بكثير على الأشرار لتحصل على صدفة.
ثالث SSH Bruteforcing منع denyhosts
إذا النصيحة ليس من العملي (2) وأنت لا تتخلى عن راحة كلمة السر القائم على تسجيلات أردت، يمكنك على الأقل منع معدلات كلمة المرور الآلي من المهاجمين على الخادم. وهناك الكثير من السير على شبكة الانترنت كل يوم تتطلع الى القيام بأي شيء أكثر من أن خوادم SSH ومحاولة الخروج في مختلف كلمات السر الخاصة بك. مع كلمة مرور آمنة بشكل معقول ليست مشكلة كبيرة، ولكن هناك شعور أفضل، وليس حتى لو كان ذلك ممكنا. وبالإضافة إلى ذلك، لأنه يحمي أيضا مستخدميها، وإذا كان هناك في حسابات الخادم والمستخدم. هنا، لا يمكنك الاعتماد على المستخدمين لاستخدام كلمات مرور آمنة. denyhosts باستمرار استعراض وتسجيلات SSH على تأمين المستخدم لفترة من الوقت الذي دخلت كلمة المرور الخاصة بهم وكرر بشكل غير صحيح. والملكية الفكرية للمستخدمين الانتقال مؤقتا الى / الخ / hosts.deny، بحيث لم يعد لديهم إمكانية الحصول على أمر ممكن. هذا SSH Bruteforcing لمهمة طويلة جدا وليس واعدا جدا.
الرابطة بين الحصول على تثبيت denyhosts Denyhosts # يعمل مباشرة بعد التثبيت. يمكن أن يكون # وفي تناغم الملف / etc / denyhosts.conf غرامة
4 استخدام القوائم السوداء لحجب البرامج المتكاملة مشكلة معروفة
ويحتفظ في القوائم السوداء الإنترنت المختلفة، والتي قائمة على عدد كبير من خوادم الجنائية / المفروم / مزعجة / الاحتيالية. ويمكن ادخال هذه القوائم الملكية الفكرية مباشرة في جدار الحماية، حتى من يعرف هذا ليس لأجهزة الكمبيوتر موثوق به لا يمكن الاتصال على الإطلاق إلى الخادم الخاص بها. حتى تتمكن من الحد من كمية الرسائل غير المرغوب فيها على الخادم الخاصة بها بشكل كبير واحد او كيدي النصي الأخرى قفل خارج، وذلك لأن وكيله الروسي توقف فجأة عن العمل. كيف نفعل ذلك لقد كنت في مقال آخر بلوق وصفت سبيل المثال من القائمة السوداء من Infiltrated.net.
5 لا تستخدم بروتوكول نقل الملفات للعمل على خادم
FTP هي من بقايا أوقات أفضل عندما كانت الإنترنت قرية صغيرة لا يزال موثوق. مدراء العديد من المواقع لا تزال تستخدم FTP لنقل الملفات إلى الخادم أو للعمل على موقع الويب الخاص بها. لسوء الحظ، هذا غير مؤكد جدا، منذ FTP تنقل كل البيانات غير المضمونة. ويمكن قراءة كلمات السر والبيانات من دون أي مشاكل عند كل مرحلة، بين الملقمات والعملاء. أكثر أمانا للذهاب مع سشفس. يسمح لك لتحميل دليل عن طريق SSH على نظام الملقم البعيد ملف محلي. يمكنك العمل بعد ذلك على الخادم كما لو كان على الكمبيوتر المحلي. كل الوصول إلى الملفات على الملفات الموجودة على الخادم شفافة تماما، حتى تتمكن من فتح مع برنامج الرسومات المحلية لتحرير صورة على الخادم مباشرة، ثم حفظ. مزيد من الراحة والأمان من دون بذل الكثير من الجهد.
# تثبيت سشفس الرابطة بين الحصول على تثبيت سشفس # إنشاء mountpoint على نظام الملفات المحلية MKDIR / الإعلام / MYSERVER خادم # لتحميل ملف النظام المحلي سشفس www-data@mein-server.de :/ فار / على شبكة الاتصالات العالمية / وسائل الإعلام / MYSERVER الآن # الدليل هو / فار / على شبكة الاتصالات العالمية في خدمة بلدي المحلية تحت / وسائل الإعلام / MYSERVER متاح
6 تثبيت التحديثات
وهناك نظام السوبر آمنة لا تساعد إذا كان النظام في حد ذاته معيب ويمكن استغلال نقطة ضعف معروفة. في معظم الحالات، وإغلاق هذه الثغرات الأمنية بسرعة، ولكن غالبا ما ينسى تحديثات منتظمة مشرف للنظام لجعل. ما إذا كان يجب تمكين التحديثات التلقائية على خوادم لينكس أم لا هي مسألة مثيرة للجدل. وبعض أبدا القيام به، لأنه بطبيعة الحال مع الكثير من سوء الحظ قد يكون أن التحديثات جعل النظام غير صالحة للاستعمال. هذا ما حدث لي في أكثر من 10 سنوات من العمل على نظم ديبيان، لكن أبدا وأنا أقدر مزايا التحديثات في الوقت المناسب وبصورة منتظمة، والكثير أعلى من المخاطر الناجمة عن ذلك.
# بتحديث هذا الخط في كرونتاب / / الخ، وساعة النظام كل يوم في الساعة 6 صباحا 0 6 جذر *** الرابطة بين الحصول على التحديث && الرابطة بين الحصول على ترقية ذ
عملت هذه طريقة سريعة وقذرة بالنسبة لي حتى الآن دائما جيدة. ولقد قرأت مؤخرا أن في مستودع ديبيان وحزمة وغير المراقب، وجود ترقيات أن يحل المشكلة وربما أكثر أناقة، لكني لم تم اختبارها.
حتى مع هذه التحديثات نظام vollautomtischen أنها ليست تماما ورطتها. إذا تم تسليم عملية تحديث النواة، لديك لتشغيل النظام مرة أخرى من جهة، وإلا فإن التغييرات لن تكون نشطة.
إذا كان لنا أن استخدام طرف ثالث رمز PHP على الخادم، مثل CMS المصدر المفتوح أو منتدى، هو بطبيعة الحال ضرورية للغاية، ورمز هذا مع الإصدارات الجديدة حتى الآن. مطلوب منذ ديبيان لا يتم تحديث التغييرات على تلك الطلبات وفقا لقواعد تغطية هذا العمل اليدوي. أفضل وسيلة لقراءة القوائم البريدية الخاصة بك مع المنتجات المماثلة من أجل أن يصل دائما إلى تاريخ.
7 PHP مع open_basedir سجن
الخارقة كثير استنادا إلى حقيقة أن يستخدم ثغرة في قانون PHP للوصول إلى الملفات الموجودة في ملف الوصول إلى النظام التي لا تنتمي إلى الموقع، ولكن النظام نفسه هو لماذا يجب أن حبس PHP بحيث يقرأ فقط في دلائل معينة على وجه التحديد والكتابة المسموح به. لهذا، فإن php.ini وخيار التكوين open_basedir. PHP لديه خيار لوضع وصول سمح فقط إلى الدلائل هناك. ملفات مثل باسود / / وما هي بعيدة المنال. استضافة مواقع متعددة على ملقم واحد يجب تعيين open_basedir في كل تكوين المضيف الظاهري على كل جانب.
# php.ini والعالمية من خلال: # / Etc/php5/apache2/php.ini open_basedir = / فار / على شبكة الاتصالات العالمية / :/ تمة / # لكل موقع في التكوين VirtualHost: php_value open_basedir / فار / على شبكة الاتصالات العالمية / موقع / :/ تمة /
من المهم أن تنظر في ما إذا كان قد تم إضافة جميع المواقع إلى مخطوطات وعادة ما تحتاج إلى الوصول، وإلا قد يكون من أنك وظائف المعاقين والمشروعة لتطبيق PHP.
8 إنشاء المواقع الخاصة بك لمستخدمي ماي
استخدام الخاص بك PHP-الخلية تطبيق، يجب إنشاء تماما للمستخدم Apllikation الخلية الخاصة وتحت أي ظرف من الظروف استخدام المستخدم الجذر طلبات الخلية. يجب عليك أيضا تقييد حقوق المستخدم حتى الآن أن يتم السماح العمليات فقط حقا، الأمر الذي يتطلب PHP السيناريو. إنشاء الجدول والجدول DROP شائعة كما هو الحال في حقن SQL وتستخدم في معظم تطبيقات PHP أبدا مطلوب. فهي تستضيف مواقع متعددة مع قواعد بيانات متعددة على ملقم، يجب إنشاء قواعد البيانات الخاصة بك لجميع المستخدمين. وهكذا، وبعد الهجوم الناجح، لمهاجم لديه فقط الحصول على واحدة من قواعد البيانات وليس مباشرة على الإطلاق. إذا كنت لا ترغب في محاولة لسطر الأوامر لإدارة حسابات المستخدمين الخلية، وظائف إدارة المستخدم أيضا من السهل جدا مع بريس تحت عنوان "حقوق" التبويب.
9 رسائل الخطأ PHP قبالة
رسائل الخطأ PHP يمكن للمهاجم تكشف الكثير عن الخادم الخاص بك: بنية الدليل، وهياكل قاعدة البيانات، وأخطاء التكوين، وما إلى ذلك انها تبدو كذلك بالنسبة للمستخدم غير محترف للغاية. لهذا السبب ينبغي أن تكون على خادم الويب مباشرة، قم دائما بإيقاف لأنك مجرد الذهاب الى ما زالوا يرون في السجلات.
# php.ini والعالمية من خلال: # / Etc/php5/apache2/php.ini display_errors = إيقاف # لكل موقع في التكوين VirtualHost: php_flag display_errors معطلة # رسائل الخطأ قراءتها على أي حال: القط / var/log/apache2/error.log | GREP PHP
10 هدف لحد حقن SQL مع ModSecurity
حقن SQL هي الطريقة الأكثر استخداما من الهجوم على خوادم الشبكة. الوصول إليها مباشرة من خلال التطبيق على شبكة الإنترنت وتجتمع مستعرض للقيام بها. هنا تنتقل بواسطة متغيرات المستخدم بنيت استعلامات SQL إرسالها إلى امتيازات المستخدم قاعدة البيانات كل من قاعدة البيانات الخاصة به في وحذف قراءة أو تحريرها. حماية حقيقية حقيقي ضد حقن SQL موجود فقط إذا تم كتابة شفرة PHP في الموقع فيما يتعلق بهذه الهجمات. كل متغير من إدخال المستخدم، والتي يمكن ان تحصل في استعلام SQL، لا بد من اختباره وهرب. PHP يوفر real_mysql_escape_string وظيفة ().
إذا كنت غير متأكد إذا كان رمز نظيفة، ويمكن للاباتشي mod_security مساعدة في درء كمية كبيرة من هذه الهجمات على أي حال. استعراض mod_security ثابت جميع الطلبات إلى خادم ويب ويستجيب لنمط ما قبل والتي يمكن أن يتم حظر العديد من هجمات حقن SQL. لسوء الحظ، لا تعمل إلا بشكل جيد مع الجهد اليدوي mod_security. بعد كثير من الأحيان mod_security تركيب جديد كتل مطلوب أيضا (العادية) وظائف من برامجك، بحيث أحد لديه أي خيار آخر، والتطبيق الكامل لاختبار التثبيت مرة أخرى. عندها فقط يمكن للمرء معرفة ما إذا كان mod_security قد لا تريد حتى حجب الوظائف. إذا كان الأمر كذلك، ثم لائحة التصفية، بحيث يتم تعديله بحيث تختفي إيجابية كاذبة.
معقد الى حد ما من تكوين mod_security ويقع خارج نطاق هذا المقال، ولكن هناك طن من الدروس الجيدة على mod_security الإنترنت.
11th رقم الشيك - أباتشي لا يعرف من هو
هذا ليس حقا وسيلة فعالة ضد الإختراق، فإنه يجعل النصوص التلقائية التي تبحث عن الإصدارات الخادم، ولكن أثقل قليلا. عادة ما تكون نقاط أباتشي لصفحات مع رسائل الخطأ (على سبيل المثال 404 غير موجود) التوقيع عليه الخادم.
Apache/2.2.16 (يونيكس) خادم في www.daniel-ritter.de المنفذ 80
أنه يقضي على أي معتد محتمل سوف تتلقى على الأقل مرة واحدة قبل حوالي خادم ويب eigesetzten ومستوى الإصدار. تم تشغيل خادم التوقيع قبالة بسرعة:
# / Etc/apache2/conf.d/security ServerSignature معطلة
12TH لا تستخدم تعطيل وحدات أباتشي
افتراضيا، وقد حملت أباتشي بعض الوحدات التي يتم أبدا تقريبا اللازمة. في ديبيان يمكنك العثور على وحدات تحميل
كحلقة وصل لينة في / etc/apache2/mods-enabled.
ويمكن إزالة دائما تقريبا:
mod_cgi
تستخدم لتشغيل البرامج النصية CGI. هذه التقنية يعود الى فجر ويب، وكان السلف من لغات البرمجة الحديثة للسماح لمواقع الويب الديناميكية. mod_cgi لا لزوم لها 99٪ من المواقع PHP مع وجود خلل أباتشي هو التكوين ثغرة أمنية محتملة
a2dismod CGI
mod_status
يسمح المتصفحات لقراءة معلومات عن حالة أباتشي. وتقريبا انها لم تستخدم قط لمواقع "عادية"، ويقدم معلومات عن حالة المهاجمين لكن أباتشي.
a2dismod حالة
mod_autoindex
mod_autoindex يضمن يمكن سرد الدلائل على خادم الويب، إذا لم يكن هناك مؤشر صفحة صالح في الدليل المناسب. إذا لم يتم المطلوب هذه الوظيفة، يجب تعطيله، لأنها أشجار الدليل بأكمله على خادم الويب يمكن أن تكون مرئية من الخارج.
a2dismod autoindex
6 أشياء مفيدة يمكنك القيام به مع SSH
SSH هو على الارجح قطعة المفضلة من البرامج. فهو حر، يعطيني حرية، فمن السهل الاستخدام، لكنها قوية جدا. مع سه، يمكنك تشفير الاتصالات. أن يعمل بها الى وسيلة عالمية للغاية لمشكلة تقريبا. في هذا HOWTO صغيرة سوف تظهر 6 الاشياء المفيدة التي قمت - لا يمكن القيام به مع الغطاء الأمني - من دون الكثير من الاجهاد. SSH هو أكثر من "مجرد" صدفة بعيد آمن!
شيء # 1 - قذيفة آمن بعيد
هذا هو الشيء الأكثر وضوحا يمكنك القيام به مع SSH ومعظم مستخدمي لينكس ربما فعلت هذا من قبل: اتصال آمن مع كمبيوتر آخر لإنتاج وإدارتها حول هذا الموضوع.
هذا بسيط جدا:
سه المستخدم @ box_B هذا تصلك B مربع كما هو "المستخدم". ثم يمكنك بأنه "المستخدم" للعمل على B. BOX
أحيانا يحتاج المرء لا جلسة تفاعلية على الكمبيوتر البعيد، ولكن من شأنه أن يتعارض فقط أمر واحد.
سه المستخدم @ box_B الأمر هنا سوف تكون متصلا ب مربع ك "المستخدم" "القيادة" أمر يتم تنفيذه، والنتيجة ينتهي في الانتاج القياسية المحلية وينهي الاتصال.
شيء # 2 - نسخ الملفات بين أجهزة الكمبيوتر بأمان
بارد، ويمكننا أن إدارة الجهاز البعيد مع SSH، ولكن يمكنك أيضا نسخ الملفات باستخدام SSH من جهاز واحد إلى آخر. كان يعمل في الأساس مثل الأمر "حزب المحافظين"، ولكن يطلق عليه اسم "اللجنة الدائمة" - النسخة الآمنة.
اللجنة الدائمة / الوطن / لي / a_file.txt المستخدم box_B @ منزل :/ / لي / ينسخ هذا المحلية الملف '/ الوطن / لي / a_file.txt "في صندوق ل" الوطن / / لي / a_file.txt "في صندوق B.
كان يعمل في الاتجاه الآخر:
اللجنة الدائمة المستخدم @ box_B :/ الوطن / لي / b_file.txt / الوطن / لي هذا من شأنه أن نسخ ملف "/ الوطن / لي / b_file.txt" من B إلى مربع مربع وعلى الدليل الرئيسي.
لأن "اللجنة الدائمة" شيء من هذا القبيل يسمح للأعمال مثل البدل "حزب المحافظين":
اللجنة الدائمة / فار / السجل / * المستخدم @ box_B :/ الوطن / لي / logsbackup هذا نسخ كافة ملفات السجل من المربع A إلى '/ الوطن / لي / logsbackup "في صندوق B.
شيء # 3 - شجرة دليل على نظام جهاز بعيد في ملف محلي
في بعض الأحيان انها ليست مجرد عدد قليل من الملفات من جهاز كمبيوتر إلى آخر نسخة. لتحميل الدليل البعيد إلى نظام الملفات المحلي هو السوبر مفيدة عندما ترغب في تحرير الملفات عن بعد مع البرامج المحلية. وخير مثال يمكن، على سبيل المثال، والعمل على صفحة ويب على ملقم بعيد. هو ببساطة دليل على الشبكة العالمية على الملقم البعيد إلى نظام الملفات المحلي ومن ثم حفظ وفتح الملفات مع جميع المحررين بارد HTML مثبتة محليا وبرامج الرسومات. تماما كما لو كانت الملفات الموجودة على القرص loaklen. لهذا واحد يحتاج إلى "سشفس". لم يتم تثبيت نظام الملفات FUSE في الكثير من التوزيعات افتراضيا، ولكن تدرج عادة في المستودعات. على دبيان وأوبونتو يمكنك تثبيته من هذا القبيل:
الرابطة بين الحصول على تثبيت سشفس بعد التثبيت يمكنك البدء في استخدامه
MKDIR / كزاز الرضع / b_data سشفس المستخدم @ box_B b_data :/ / كزاز الرضع / b_data
وهذا تركيب الدليل "/ b_data" وفقا للكزاز الرضع / صندوق ب '/ b_data "في نظام الملفات المحلي. الآن يمكنك العمل مع برنامج محلي الملفات عن بعد. عند الانتهاء من ذلك، يمكنك إزالة جبل مرة اخرى:
fusermount-U / كزاز الرضع / b_data إذا كان إلغاء تحميل فشل يجب أن تحقق لمعرفة ما إذا كانت هناك ملفات مفتوحة من أجهزة الكمبيوتر عن بعد أو ما إذا كان لا يزال مع وعاء أو إدارة الملفات في الدليل شنت.
شيء # 4 - لا تخضع للرقابة وتصفح مجهولة الهوية من خلال "مواقع حساسة" من الويب
ويمكن للسياسات الشركة، والحكومات الفاشية، ومقاهي الإنترنت وأنظمة غير ودية والمؤسسات وأماكن جعل وصول آمنة وخاصة على ويب صعبة نوعا ما. يمكن أن الجدران النارية والوكلاء حجب على شبكة الإنترنت، حيث يمكنك تسجيل الدخول التجوال حول تشغيل رجل في داخل المتوسطة الهجوم، أو ببساطة تولد فقط شعورا بالانزعاج. SSH هو الحل لجميع هذه المشاكل. فإنه يوفر فرصة كمؤشر على الشبكة العالمية (الجوارب) للعمل. لأنه يربط ببساطة عن طريق SSH لحسن B BOX موثوق بها وتصفح من خلال هذا الصدد.
(متصفح محلي الموقع <-> وكيل SSH المحلية <-> SSH <- -> صندوق ب <>)
ثم لا يمكن لأحد فرض رقابة على عرقلة LAN معادية المحلية، أو استنشاق.
يبدو جيدا؟ هو في الواقع من السهل جدا لإعداد واستخدام! سه يوفر "-D" خيار استخدام بروكسي SOCKS على الجهاز المحلي إعداد:
سه-D 1234 مستخدم @ box_B الآن لديك وكيل SOCKS على localhost المنفذ يستمع الى 1234 الآن لديك فقط لتكوين المستعرض الخاص بهم لدرجة أنه لا يزال يستخدم هذا الوكيل لاتصالات الإنترنت. يمكن للمرء أن تحقق من أن كل شيء على ما يرام، إذا كنت استدعاء في مستعرض ويب الذي يصدر عنوان IP الذي تم استخدامه للاتصال. http://www.whatismyip.com سوف تعمل، ولكن هناك 1000s من المواقع الأخرى. إذا كان هناك IP باء يظهر مربع، كل شيء على ما يرام. Portalbler متصفح على محرك أقراص فلاش USB، مثل فايرفوكس المحمولة من شأنه أن يجعل الأمور أكثر متعة.
شيء # 5 - إن حركة تشفير من البرامج والخدمات المحلية في الأنفاق أو على الشبكة المحلية الوصول، والتي لا يمكن الوصول إليها عادة عبر الإنترنت.
حسنا، لقد تمكنا من المؤكد الآلات، ونسخ الملفات من جهاز لآخر بأمان كما منعت حتى في الصين تصفح الانترنت. ومع ذلك، يمكن SSH بذل المزيد من الجهد! يمكن للمرء استخدام وبالتالي تبادل البيانات بين برنامج التعاون الفني في كل إرسال البرامج المحلية من خلال نفق إلى كمبيوتر موثوق به. كما هو الحال مع وكيل SOCKS، يمكنك إرسال بيانات حركة المرور عبر النفق الأول، على سبيل المثال، من قبل عميل البريد الإلكتروني المحلي، لذلك لا يجب أن تتدفق من خلال الشبكة المحلية المحلية. نحن نريد ان نصل لدينا البريد الإلكتروني في حالة "حرجة". ويمكن السيناريو kiddies، مدراء أغبياء والمتسللين الارهاب الصين نصها على البريد mitsniffen أو حتى البريد الإلكتروني كلمة المرور. SSH يساعد. بناء الجملة من أجل استخدام نفق SSH هو ضيق قليلا في البداية، والى حد بعيد في الدماغ الاعصار، ولكن في الواقع منطقي جدا وصعبة وليس مع القليل من الممارسة:
سه-L local_port: target_host: المستخدم @ target_port box_B على سبيل المثال:
سه-L 10000: pop3.mailprovider.com: 110 المستخدم @ box_B ماذا حدث هنا؟ SSH هو Tunnnel الحاجة مع منفذ محلي (L) في نقطة النهاية لخلق 10000 يتم طرح كل شيء في هذه نقطة النهاية المحلية من تدفق البيانات إلى B صندوق المشفرة أولا ثم إلى "pop3.mailprovider.com" على المنفذ 110 (المنفذ 110 هو POP3). تدفق البيانات وهذا هو، من عميل البريد الإلكتروني المحلية يرمز إلى صندوق B و من هناك إلى مزود البريد الإلكتروني. حساب البريد الإلكتروني على العميل المحلي يحتاج لذلك الخادم من الملوثات العضوية الثابتة، الإعدادات التالية: ملقم: كلهوست / المنفذ: 10000. ولكن يجب أن يكون البريد الإلكتروني ليست بالضرورة. ويمكن عبر نفق أي تطبيق يستخدم بروتوكول TCP. على سبيل المثال، IRC، FTP، HTTP، IMAP، الخ.
إذا لا ينبغي أن الخادم يمكن الوصول إليها في أي مكان على الإنترنت لكن على B المربع هو نفسه الجهاز الهدف يمكن أن يكون أيضا ب BOX:
سه المستخدم @ L 10000:127.0.0.1:110 box_B والهدف في هذا المثال، "127.0.0.1"، لأنه هو الهدف من وجهة نظر B الإطار هو. لأن "127.0.0.1" كما يرى من صندوق صندوق B B هو في حد ذاته
ويمكن أن تكون مفيدة الانفاق لحماية خدمات الإنترنت، ولكن أيضا حول إمكانية الحصول على الخدمات في شبكة BOX B الخاصة. إذا كنت تملك حسابا في متناول خارجيا SSH على شبكة محلية، يمكنك الوصول الفوري إلى كافة الخدمات TCP في LAN diesm، تماما كما لو كنت "حقيقي" عميل في الشبكة المحلية.
افترض B هو في Intrantet BOX، والتي تضم خادم ويب للاهتمام، ولكن الذي لا يمكن الوصول إليها من Ineternet. هذا الخادم يعمل على مربع LAN إلى 192.168.0.77. مع نفق SSH الآن مجرد منفذ محلي على المنفذ 80 من خادم الويب على الشبكة المحلية:
سه المستخدم @ L 10000:192.168.0.77:80 box_B اذا كنت الآن "http://127.0.0.1:10000" في مستعرض ويب المحلية يسميها الأراضي على الصفحة الرئيسية من خادم الويب في الشبكة الداخلية النائية.
شيء # 6 - نفق - على العكس من ذلك
إذا رقم 5 هو واضح، يجب عكس نفق مشكلة بعد الآن. هنا هو نقطة النهاية البعيدة ليتم إنشاء نفق. كل شيء هناك، ويصب في شكل مشفرة إلى علبة (الكمبيوتر المحلي) ومن ثم إرسالها إلى الكمبيوتر الوجهة.
سه-R remote_port: target_host: المستخدم @ target_port box_B على سبيل المثال:
سه-R 10000: pop3.mailprovider.com: 110 المستخدم @ box_B سيكون في عميل البريد الإلكتروني يكون بمثابة "مربع ب" POP خادم الميناء ودخول "10000".
B BOX الأنفاق ثم الحركة من أجل التأكد أولا مربع. علبة، ثم قدما إلى ميناء "pop3.mailprovider.com" "110"
سريع خيارات سطر الأوامر لSSH
-C "ضغط"
في "-C" الخيار يضغط البيانات المرسلة مع gzip قبل أن تدفق من خلال Inetrnet. هذا يزيد من سرعة نقل البيانات عندما (مثل نص عادي) سميك مضغوط. ومن المفيد في نقل
ملفات نصية طويلة أو تصفح الإنترنت عند استخدام SSH كوكيل.
سه-C-D 1234 مستخدم @ box_B -G "منح الوصول"
في "، ز" eraubt خيار المضيفين الآخرين من مضيف محلي للوصول إلى نقاط نهاية النفق خلق محليا. وهكذا، على سبيل المثال، أجهزة الكمبيوتر الأخرى على الشبكة المحلية باستخدام نفق المحلية النطاق.
سه-L-G 10000:127.0.0.1:110 المستخدم @ box_B ف "الميناء"
وهناك حاجة إلى "ف" الخيار إذا تم الاستماع خادم SSH عن بعد على المنفذ الافتراضي 22.
سه ف 22 000 مستخدم @ box_b -V "مطول"
مع هذا الخيار يمكنك ان ترى الكثير من المعلومات التقنية فيما إذا كنت تريد التعمق في SSH.
مزيد من القراءة:
لقد حاولت أن أكتب هذه المقالة بسيطة بقدر الإمكان، كما هو لخدمة نفسي في المقام الأول مرجعا. لا يزال هناك الكثير من الامور التي يمكن القيام بها SSH:
6 أشياء مفيدة يمكنك القيام به مع SSH
يجب أن تكون قطعة SSH المفضلة من البرمجيات من أي وقت مضى. إنه مجاني، وهو يمنحك الحرية، انها سهلة الاستخدام لكنها قوية في الأشياء التي يمكن القيام به. انها تساعدك على تشفير وتأمين الاتصال الخاصة بك. ويمكن أن تفعل هذا في طريق العالمية وللاستخدام في كل حالة تقريبا. في هذا المنصب، وأريد أن تظهر لك ستة أشياء يمكنك القيام به مع سه دون الكثير من المتاعب أيضا. يمكن أن تفعل أكثر من سه تخدم مثلما جلسة 1 النائية مشفرة. جرب الأمثلة التالية لنفسك، واستكشاف طاقة من آمن شل.
Thingy # 1 - قذيفة آمن بعيد
حسنا، هذا هو الشيء الأكثر وضوحا يمكنك القيام به مع SSH وأراهن معظم كنت قد فعلت ذلك: الاتصال جهاز بعيد عبر اتصال SSH المؤمنة واكتب على وحدة التحكم قد حان لادارته.
هذا بسيط جدا:
سه المستخدم @ box_B هذا سوف يوصلك إلى B صندوق باسم "المستخدم" المستخدم. بعد أن دخلت كلمة السر الخاصة بك، سوف تكون قادرة على استخدام وحدة صندوق ب.
أحيانا كنت لا تريد للاتصال الجهاز البعيد عن جلسة تفاعلية، لأنك تريد فقط لتشغيل أمر واحد على الجهاز البعيد. في هذه الحالة يمكنك القيام به فقط
سه المستخدم @ box_B الأمر وهذا الاتصال ب صندوق باسم "المستخدم" تشغيل "القيادة" تظهر لك "أمر" الصورة الانتاج وقطع الاتصال.
نسخ الملفات بين المربعات الخاصة بك - Thingy # 2
عظيم، يمكننا أن إدارة جهاز بعيد مع SSH، ولكن يمكننا أيضا نقل البيانات بين الأجهزة بطريقة مشفرة وآمنة. يعمل basicly مثل معيار القيادة "حزب المحافظين"، لكنها حصلت على اسم مختلف: "اللجنة الدائمة"
اللجنة الدائمة / الوطن / لي / a_file.txt المستخدم box_B @ منزل :/ / لي / وهذا نسخ الملف المحلي "/ الوطن / لي / a_file.txt" مربع حول "لدينا لتصل إلى / الوطن / لي / a_file.txt" على صندوق B.
وأنها ستعمل العكس كذلك:
اللجنة الدائمة المستخدم @ box_B :/ الوطن / لي / b_file.txt / الوطن / لي هذا من شأنه أن تحصل على ملف "/ الوطن / لي / b_file.txt"، وكنت وضعت في حيز وطننا على ألف مربع
ويسمح لأن "اللجنة الدائمة" يعمل مثل البدل "حزب المحافظين"، وكذلك:
اللجنة الدائمة / فار / السجل / * المستخدم @ box_B :/ الوطن / لي / logsbackup هذا من شأنه أن نسخ كافة ملفات السجل من مربع لدينا ألف ل"/ الوطن / لي / logsbackup" على صندوق B.
Thingy # 3 - تحميل والدليل البعيد إلى نظام الملفات المحلي
في بعض الأحيان انها ليست كافية لنسخ ببساطة واحد أو أكثر من الملفات من جهاز واحد إلى آخر. شن directrory الملفات عن بعد إلى المحلي الخاص بك وتصبح مفيدة عظمى، عندما كنت ترغب في العمل على الملفات عن بعد مع البرامج المحلية. وخير مثال لهذا ينبغي العمل على موقع بعيد. يمكنك تحميل ببساطة الدليل من خادم ويب البعيد إلى نظام الملفات المحلي واستخدام كل ما تبذلونه من المحررين HTML الهوى وصورة البرامج التي على الملفات عن بعد كما لو كانت على القرص الثابت المحلي. حيث ان "سشفس" تأتي في متناول اليدين. لم يتم تثبيت الأداة بشكل افتراضي في معظم التوزيعات ولكن يجب أن تكون قادرة على العثور عليه في المخزون الخاص بك. على الأنظمة القائمة على مجرد تركيب ديبيان مع:
الرابطة بين الحصول على تثبيت سشفس بعد سشفس بعد تثبيت يمكنك البدء في استخدامه:
MKDIR / كزاز الرضع / b_data سشفس المستخدم @ box_B b_data :/ / كزاز الرضع / b_data
هذا يتصاعد الدليل "/ b_data" من B إلى مربع "كزاز الرضع / / b_data" على نظام الملفات المحلي الخاص بك الآن يمكنك العمل على الملفات الخاصة بك عن بعد مع الأدوات المحلية. عند الانتهاء، يمكنك إلغاء تحميل الدليل ما يلي:
fusermount-U / كزاز الرضع / b_data إذا كان إلغاء تحميل فشل، معرفة ما اذا كان لديك ملفات مفتوحة بهدوء في الدليل أو إذا كنت لا تزال في هذا الدليل أو في بعض نافذة نوتيلوس / كونكيورر قذيفة
Thingy # 4 - تصفح الانترنت مجهول الهوية وغير خاضعة للرقابة من مواقع "حساسة"
ويمكن للسياسات الفاشية الشركات، والحكومات، ومقاهي الإنترنت و "غير ودية" غير ذلك من القواعد والمؤسسات وأماكن تعطيك وقتا عصيبا، عندما تريد الوصول إلى شبكة الإنترنت بطريقة آمنة والخاص. قد جدران الحماية ومنع وكلاء المواقع المفضلة لديك، والمواقع التي قمت بزيارتها من سجل، نفذ رجل في منتصف الهجمات أو يمكن أن تعطي فقط لأنك شعور سيء. SSH هو الحل لهذه المشاكل. فإنه يوفر لك إمكانية استخدامه بمثابة وكيل ويب. قمت بالاتصال ببساطة لديك حسن البالغ من العمر B مربع موثوق بها وتصفح من خلال اتصال مشفر.
(متصفح محلي <-> وكيل SSH المحلية <-> SSH <-> صندوق B <-> موقع على شبكة الإنترنت)
الآن لا يمكن لأحد على شبكة الاتصال المحلية غير ودية محلية أو منع التجسس على جلسة التصفح.
يبدو جيدا؟ عظيم! انها بسيطة حتى أن الإعداد. SSH تقدم "-D" الخيار لتوفير بروكسي SOCKS على الجهاز المحلي:
سه-D 1234 مستخدم @ box_B سيكون لديك الاستماع الوكيل على localhost المنفذ 1234 الآن لديك فقط لإعداد متصفح الويب الخاص بك لاستخدام "بروكسي SOCKS" على المنفذ 1234 وكلهوست كل ما تبذلونه من تصفح الانترنت سوف تذهب من خلال صندوق B. يمكنك التحقق ما اذا كان يعمل من خلال زيارة موقع على شبكة الانترنت التي تظهر الملكية الفكرية الخاصة بك. http://www. whatismyip.com هو الموقع الذي من شأنه العمل. إذا كان هذا الموقع يعرض عنوان مربع باء الملكية الفكرية بدلا من واحد في منطقتك، يمكنك إعداد كل شيء بشكل صحيح. متصفح ويب المحمولة على بندريف USB الخاص بك، مثل فايرفوكس المحمول من شأنه أن يجعل الامور اكثر دافئ.
Thingy # 5 - تشفير حركة مرور البيانات من تطبيق المفضلة لديك أو الحصول على الخدمات المحلية في الشبكة المحلية التي لم تتمكن من الوصول بشكل أو بآخر مع أنفاق SSH
حسنا، نحن المشفرة الدورات الادارية النائية، نسخ الملفات بشكل آمن وحتى متجول على شبكة الإنترنت بطريقة خاصة. ولكن يمكن القيام بالمزيد SSH. يمكنك تشفير كل حركة المرور من تطبيق يستخدم بروتوكول TCP مع الأنفاق SSH. مثل مع وكيل SOCKS ونحن نسعى البيانات نفق عميل آخر من خلال الغطاء الأمني، على سبيل المثال حركة المرور للبريد الإلكتروني لدينا. دعونا نقول لكم تريد التقاط البريد الإلكتروني الخاص بك في حين يجري في بيئة "حرج". ويمكن للشركات كلمة مرور غير صالحة / الحكومات / السيناريو kiddies قراءة البريد الالكتروني الخاص بك، وأسوأ من ذلك يمكن أن شم البريد الإلكتروني الخاص بك. SSH يساعد. ربما بناء الجملة من أجل أنفاق SSH في الدماغ اللغز لأول وهلة، ولكنها ليست صعبة جدا:
سه-L local_port: target_host: المستخدم @ target_port box_B مثلا
سه-L 10000: pop3.mailprovider.com: 110 المستخدم @ box_B حسنا، دعونا نرى ما حدث هنا. قيل لنا الغطاء الأمني لإنشاء نفق مع منفذ محلي (L) في نقطة النهاية "10000". كل ما هو وضع نقطة النهاية في مجتمعاتنا المحلية تذهب إلى أول صندوق مشفرة وباء. بعد ذلك إلى "pop3.mailprovider.com" على المنفذ 110 (والذي هو POP3) أنت تتابع كل البيانات التي تذهب الى نقطة النهاية لدينا المحلية بطريقة مشفرة عبر B مربع إلى مزود البريد الإلكتروني الخاص بك. في هذا المثال سوف تقوم بتعيين حساب من الملوثات العضوية الثابتة في عميل البريد الإلكتروني الخاص بك إلى ميناء "مضيف" "10000". فإنه لا يجب أن يكون البريد الإلكتروني. أي تطبيق آخر يستخدم بروتوكول TCP الاستفادة من يعمل كذلك. على سبيل المثال IRC، FTP، HTTP، IMAP، سمها ما شئت ...
ويمكن في حال كنت تستخدم الخاصة بك خادم خدمة بطبيعة الحال على B صندوق "هدف المضيف" أن يكون B مربع من نفسه:
سه المستخدم @ L 10000:127.0.0.1:110 box_B هدف المضيف في هذا المثال هو "127.0.0.1" لان هذا هو الهدف من مربع النقطة B وجهة نظر. "127.0.0.1" يتضح من صندوق ب صندوق من المؤكد B نفسها.
ويمكن أن تكون مفيدة نفق لتأمين الخدمات الخاصة بك أو للاتصال داخل شبكة خدمات BOX ب. دعونا نقول في باء الإطار هو على إنترانت التي تحتوي على خادم الويب المثيرة للاهتمام حول "192.168.0.77" الملكية الفكرية وكنت غير قادر على الوصول إلى ذلك الخادم من الخارج. أنت مجرد نفق طريقك إلى BOX BOX B B وتتيح لك قدما إلى خادم الويب:
سه المستخدم @ L 10000:192.168.0.77:80 box_B وسوف تكتب الآن "http://127.0.0.1:10000" في متصفح الويب الخاص بك المحلية تظهر لك الصفحة الرئيسية لشبكات إنترانت خادم الويب.
Thingy # 6 - نفق على العكس من ذلك
حسنا، كان يمكن أن يكون هذا جزء من "5 # Thingy" ولكن لجعل الامور اكثر وضوحا أنا مصنوع من نقطة اضافية لذلك. إذا كنت فهمت # 5 وهذا ينبغي أن تكون هناك مشكلة بالنسبة لك. هنا، يمكنك فتح "البعيد" نقطة النهاية على كل شيء باء صندوق يذهب هناك في أن يتم ترحيل مشفرة إلى علبة (واحد كنت تستخدم في الوقت الحاضر) وبعد ذلك إلى المضيف الهدف.
سه-R remote_port: target_host: المستخدم @ target_port box_B مثلا
سه-R 10000: pop3.mailprovider.com: 110 المستخدم @ box_B والبريد الإلكتروني العميل تعيين "box_B" وميناء "10000" على أنه ملقم POP3. سوف B BOX تتابع حركة المرور على علبة من خلال SSH. علبة سوف تتابع حركة المرور إلى ميناء "pop3.mailprovider.com" "110".
مفيد خيارات سطر الأوامر لSSH
-C "ضغط"
في "-C" الخيار في SSH مع gzip الكمادات كل حركة المرور قبل إرسالها إلى المضيف البعيد. وهذا يزيد كثيرا من سرعة مضغوط مع أنواع البيانات. انها مفيدة جدا لنسخ ملفات كبيرة على نص أو SSH لتصفح الانترنت مع "مد" الخيار. بشكل عام، "جيم" لم يسىء، فإنه يضع مجرد الضغط أكثر من ذلك بقليل على وحدة المعالجة المركزية الخاصة بك.
سه-C-D 1234 مستخدم @ box_B -G "منح الوصول"
في "مجموعة ال" خيار يسمح المضيفين الآخرين على الاتصال بك نفق النهاية المحلية. إذا كنت لا تستخدم "ز" في توليفة مع النفق، لا يجوز لكم كلهوست الخاصة (علبة في الأمثلة) استخدام النفق.
سه-L-G 10000:127.0.0.1:110 المستخدم @ box_B ف "الميناء"
وهناك حاجة إلى "ف" الخيار، إذا كان خادم SSH كنت تريد الاتصال به لا يعمل على المنفذ الافتراضي "22"
سه ف 22 000 مستخدم @ box_b -V "مطول"
إضافة هذا الخيار إذا كنت ترغب في الغوص في عمق SSH. سترون الكثير من المعلومات التقنية أثناء الاتصال مضيف بعيد.
لمزيد من القراءة
حاولت أن تبقى هذه المادة بسيطة بقدر الإمكان لجعلها صالحة للاستعمال. هناك الكثير لمعرفته حول SSH. إذا كنت تبحث عن قراءة أكثر شمولا وأقترح عليك تحقق من هذه المستندات:
حول هذا بلوق
مترجم
بصمة
دانيال الإيجار
وصلات سريعة
فئات
الأرشيف
المقالات الأخيرة
- الروبوت دون اتصال ومزامنة تقويم جوجل مع الحشد 4
- فسخ العقد مع نقل الرقم Blau.de
- أي ملفات الفيديو باستخدام ffmpeg تحويل إلى PS3 في H264
- Vorwahlbot - مجرد العثور على رمز من رقم هاتف
- من خارج منطقة الجزاء، جيجابت PCI Express لبطاقة الشبكة أوبونتو وديبيان
- Firexfox على مخبأ للمبادلة قرص RAM في أوبونتو
- على الانترنت مع DSL أليس في أوبونتو عن طريق pppd دون توجيه أليس مع مودم DSL الخاصة به
- تصفح الانترنت عن طريق العصا UMTS مع ديبيان باستخدام wvdial وO2 شقة موبايل
- 6 المحمول لمزيد من الخصوصية أثناء تصفح مع فايرفوكس
- تسجيل المعلومات على الانترنت في دوسلدورف يجعل انطباعا سيئا