标签归档:SSH

为远程登录会话和其他网络服务提供安全性的协议

神奇的sslh

最近回到公司总部上班,但是总部的网络环境略糟糕,屏蔽了绝大部分的端口,ping和tracert工具也失效了,只有80,443,110,25,143端口开放了,该死的网管连加密的imap和smtp端口都封了,真是让人吐槽无力。

因为封了22端口,所以不能远程连接回家里的路由,机缘巧合下,发现了一个神奇的东西,叫sslh

sslh是一个端口复用工具,它可以复用HTTP, SSL, SSH, OpenVPN, tinc, XMPP等协议,就是说同一个端口,你用SSH协议去连接,就会传递给SSH服务器,用SSL协议去连接,就会传递给https服务器,这不就是我想要的么!

配置文件非常简单,就只有那么几个选项:是否启用sslh,ssh服务器地址,https服务器地址,填上之后启动就OK。

这里要注意的是,sslh本身默认监听443端口,是和默认的https端口冲突的……但是默认的配置文件里面https的服务器地址就是127.0.0.1:443,这是需要修改的。

配置好之后用443端口SSH登陆,OK!再用https访问,OK!

 

raspberryPi到手了~

从ICkey.cn入手的,感觉价格略坑爹,比element贵了几十,但是看到element那边算上邮费也不便宜,就算了。

仔细看了一下,卖家还是深圳华强北的,大家都懂得……

不过发货速度略屌,昨天下午下的单,今天早上8点就到了,真心神速。

ickey.cn的订单

ickey.cn的订单

顺风快递

顺丰快递

仔细一看,还是快英国产的板子,很不错~

半路发现很坑爹的事情,笔记本的读卡器用不了了(曾经用过的),最后只能找到N年前的一个MP4来完成写镜像的任务,花了好长时间。

不过后来终于弄好了。

上图~

RaspberryPi

我家的RaspberryPi

表示忘记买HDMI的线了,结果发现用AV线居然显示效果可以接受,于是将就了一下,完成了开始的设定,启动SSH,然后连上网,装中文字体,设定locale,安装VNC,好了,将就着用着先。

顺手给上一点教程:
http://www.eeboard.com/tutorials/不同操作环境下如何将raspbian安装到sd卡/

 

下面说一下启动服务:

ssh的话直接在raspi-config里面设置,照着选就可以了,实在不懂的话看上面的第二个连接。

vnc的话安装完毕之后使用vncserver 启动,比较常用的话是这个:

vncserver -geometry 1280x800 -nolisten tcp

将1280×800替换成你想要的屏幕分辨率,至于那个”-nolisten tcp”可以不监听6001端口,似乎是在浏览器上用的,我有vnc的客户端,就不需要了。如果想要更安全一点,使用ssh通道来反向连接的话,可以加上”-localhost”参数,这样VNC就会只监听在本地上。

更多的东西等我过两天再说。

Opera的鼠标手势已经华丽到一种境界了

最近都在研究电子上出国什么的,还是觉得VPN稍微麻烦了一点,不能总是连接断开连接断开的,一直连着的话,访问国内的网站还是略显微慢,就寻求着一种比较方便的代理方式。

autoproxy是个好东西,可是不顶用,会将FireFox的速度拖慢到让我难以忍受,最近又去找那个autoproxy2pac,好像已经不见了影,再说,这样弄着,每次访问网页都要过滤一次,另浏览器也略显的有点卡。干脆就直接手动代理好了。

自家的RG100A上用autossh维持tunnel,造成一个socket v4/5,然后填到Opera的代理上。

接下来就是鼠标手势。

Opera的鼠标手势略显得麻烦,比起Chrome上的SmoothGeature,FireFox上的FireGesture,新建和修改都需要打字(程序员骨子里头都喜欢命令行咩?),比如说一个向左的手势,你需要填写“GestureLeft”,然后再写功能,功能都是一堆英文,虽然不是很深奥,不过还是让人看得心烦。不过仔细一看的话,就会发现,Opera的手势具有相当多的功能 (当然,FireFox的FireGesture也很多,只是我没有研究过),只是那堆英文让人看得一头雾水。

这次也是抱着试一试的心态去尝试,在Gesture的命令里面打了一个“proxy”上去,结果就发现,还真有,真有两个功能是叫做“Enable Proxy Servers”和“Disable Proxy Servers”,把它保存在“右下”里面。嘿,开代理,甩一甩鼠标,要关代理,再甩一下,方便,快捷。

截图-Opera手势

更加喜欢Opera啦

ssh密钥文件的权限

最近可真是把我折腾死了,赶紧给记下

以下是我测试到的最低权限要求 ,注意文件所有人要对应用户。

Client:

.ssh 500

.ssh/id_rsa 400

Server:

.ssh 500

.ssh/authorized_keys 400

我被这个文件夹的权限折腾了半天啊……

仔细想想的话,应该是对这个文件夹的权限设置不了解的原因,之前只知道文件的权限,而不知道文件夹的权限,又是无知的错啊。还不了解的同学请点击下面去看看相关资料

Linux文件夹权限 学习笔记

鳥哥的 Linux 私房菜

使用SSH加密一切连接的可能性

嗯,这阵子入手了一个VPS,然后是各种折腾啊,因为毕竟是在互联网上,高手不知何几,于是感到,小心为上啊。可是不开放端口是不行的……这个怎么办呢?嗯,是个问题,然后,SSH进入了我的眼帘。之前也发过一使用SSH代理,对此进行过研究,不过这个实在是太片面了,完全不能发挥SSH的全部性能。

继续是参考文章:

上班族ssh tunnel求生手冊

这次要研究的是这个“L”开关

这个转发形造成的结果就是,不对公众开放的端口都可以开放在127.0.0.1,然后使用端口转发转过去。

比如说,假设我有一个支持SSH登录的服务器,服务器IP为192.168.77.1,在服务器上启动一个mysql,修改my.cnf,让mysqll只listen在127.0.0.1上,然后使用

ssh -NfL 127.0.0.1:3306:127.0.0.1:3306 192.168.77.1

这样,你就可以使用连接mysql的软件,连接127.0.0.1:3306,就可以直接访问远程的mysql服务器了!(即使你没有Shell权限!!)

稍微解释一下命令的内容

ssh -NfL 127.0.0.1:3000:127.0.0.1:3306 192.168.77.1

N : 什么也不做

f : 在后台运行

L :端口转发

127.0.0.1 :ssh在本地上监听的端口,如果要对公众开放,写0.0.0.0,如果要对某个接口上的人开放,填写该接口的ip

3000 :本地的监听端口

127.0.0.1 :服务器要连接的ip,因为例子使用的是连接服务器上不对外开放的mysql,于是写127.0.0.1

3306 :远程服务器要连接的端口,mysql使用的是3306

192.168.77.1 :远程服务器的ip

其实这也算是一种代理吧,只是用的方式有点特别。

发现这样之后,服务器一下子就变得安全起来,Linux的什么VNC Server啊,windows的remote desktop啊什么的,全部都可以藏在127.0.0.1,不对外开放,端口就剩一个ssh的22,服务器的安全性得到了很大的提高。

然后就是,这样的用法的话,可以使用多重连接,比如A不能直接连到B的情况下,可以找到一个可以连接到B的C,然后再经过类似的叠加而进行绕行连接,意外的方便。不过似乎在实际应用中,连接会有点不稳定。

申请免费SSH主机来作为私人代理,翻越高高的城墙

嗯,前阵子看见这个ssh代理似乎非常好用的样子……所以呢~就将注意打到这个头上了。嗯,结果很成功,把教程给大家分享一下哈~

参考:http://94iw.com/cpanel-get-ssh-account(已被墙)


从cPanel面板的免费空间获得SSH账号

是不是还在为上YouTube、Facebook等网站到处找在线代理甚至花钱买VPN账号呢?

从现在开始利用cPanel面板的免费空间来实现SSH代理,轻松翻越长城。

当然不是说说而已,现在告诉大家方法。

当然你首先得有免费空间而且是cPanel的面板,本站收集了很多这样的免费空间大家可以多看看。

教程以freehosting.com免费空间为例,申请教程就不说了,不懂英文的可以借助翻译工具或使用谷歌浏览器申请,而且本站也有类似的教程。

SSH服务器:

申请到空间后进入(94iw.freehosting.com:2082)cPanel管理面板,通常cPanel面板是在域名后加(:2082),登陆后点击expand stats展开统计详细查看共享IP或使用ip.94iw.co.cc输入空间地址来查IP,IP地址就是SSH服务器。

账号密码端口:

在面板的文件板块点击FTP账户

进入FTP账户后点击你cPanel账号后面的配置FTP 客户端

看到手动设置下面的信息

FTP 用户名: 就是你的SSH用户名

SFTP 服务器端口:就是你的SSH端口

SSH密码就是你的FTP账户密码

使用SSH代理

嗯,最近因为某些原因开始研究SSH代理,这是个好东西啊!只需要一枚SSH密码/密钥文件,就可以进行安全的代理,相当的神奇。至少不会被扫描出有开代理服务。嗯,开始着手吧~

参考:

1.上班族ssh tunnel求生手冊

2.如何使用RSA密钥登陆ssh

;

ssh创建sshtunnel的命令是

ssh -NfD bind_addres:port remote_ip

这样就可以创建一个一个ssh代理了,类型是socket4/5,端口是port。

bind_address自己看着写,在于自己搭建的端口要向那个网卡提供服务。

;

问题由来了,可不可以直接登录而不输入密码呢?如果要输入密码的话,就不能让这个代理自动启动(使用autossh)了。

答案就是使用密钥文件。好吧~我为此曾经纠结不了不知多久,因为总不能使用密钥文件来登录。终于在参考2里面找到了答案:因为dropbear的配置没有启用密钥文件登录(后来才找到怎么弄)于是换了一个openssh(方法在最后补上)。并且参照参考2打开了密钥文件登录

;

找到/etc/ssh/sshd_config

找到并消除注释(添加)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

;

,然后,ok。

详细的操作过程如下:

ssh-keygen -t rsa

会询问密钥文件名称,输入密码(如果用MAC OS的话要记住,似乎第一次使用的话会询问),确认密码

简单点的话直接3个回车就可以了。

然后找到~/.ssh/id_rsa.pub,将里面的内容复制到服务器端的~(用户文件夹)/.ssh/authorized_keys文件里面。然后重启sshd,就可以用密钥文件登录了。

;

;

接下来是补课时间……将ssh服务器从dropbear换成openssh的方法

先安装openssh-server

然后在网页界面或是telnet关掉dropbear的自启动,然后结束掉dropbear,再打开sshd的自启动,打开sshd。嗯,好了。

;