ssh/reverse をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
先方に穴を掘って頂き、その穴を使って相手方にアクセスする.
まだあんまり分かっていなのだが...大抵はfirewallで守られて...
外部から内部に入るには vpn とか組織が用意した経路を使って...
っで、Teamviewer/AnyDeskもそうですが、外部に内と外との仲...
(使えるかはその組織のポリシーですよ)
今回のreverse ssh tunnelingを使うと、まぁーTeamviewer/Any...
手順は
-内部から中継してくれる組織外のマシンにsshを張る(reverse ...
-そうすると中継のマシンを介して組織内のPCに入れる.
ってな感じ.
&ref(2023y11m05d_225109071.png,nolink,noborder);
ここではreverse ssh tunnelingを使ってどうゆう風にして外部...
まずは、組織内のマシンから中継のマシンにパスフレーズなし...
|BGCOLOR(YELLOW):場所|BGCOLOR(YELLOW):ホスト名|BGCOLOR(YE...
|組織内のマシン|centos7|「reverse ssh tunneling」を中継マ...
|組織外のマシン|rockylinux9|中継マシン|
|組織外のPC|cc|組織外から中継マシンを経て内部に入る|
***組織内のマシン [#te0f5700]
#code(nonumber){{
[saber@centos7 ~]$ ssh-keygen -t ed25519
[saber@centos7 ~]$ ls -la .ssh/
total 8
drwx------. 2 saber saber 46 Nov 5 12:50 .
drwx------. 3 saber saber 95 Nov 5 12:50 ..
-rw-------. 1 saber saber 399 Nov 5 12:50 id_ed25519
-rw-r--r--. 1 saber saber 95 Nov 5 12:50 id_ed25519.pub
[saber@centos7 ~]$ cat ,ss/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN/OGTsKP6kV/ZEVyWzIQ...
[saber@centos7 ~]$
}}
この「.ssh/id_ed25519.pub」の内容を「中継マシン」に組み込む
***中継マシン [#fdd6a918]
「組織内のマシン」で作った公開鍵(id_ed25519.pub)の中身を...
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ mkdir .ssh
[saber@ik1-yyy-xxxxx ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZD...
[saber@ik1-yyy-xxxxx ~]$
[saber@ik1-yyy-xxxxx ~]$ chmod 700 .ssh
[saber@ik1-yyy-xxxxx ~]$ chmod 600 .ssh/authorized_keys
}}
っで「組織内のマシン」---ssh---> 「中継マシン」へのパスワ...
#code(nonumber){{
[saber@centos7 ~]$ ssh -i .ssh/id_ed25519 saber@ik1-yyy-x...
:
:
SAKURA internet [Virtual Private Server SERVICE]
Last login: Sun Nov 5 13:02:17 2023 from xxx.xxx.xxx.xxx
[saber@ik1-yyy-xxxxx ~]$
}}
っと行けた.
中継マシンにはbashなアカウントなら「TMOUT=0」を入れて勝手...
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ echo "export TMOUT=0" >> ~/.bashrc
[saber@ik1-yyy-xxxxx ~]$ exit
logout
Connection to ik1-yyy-xxxxx.vs.sakura.ne.jp closed.
[saber@centos7 ~]$
[saber@centos7 ~]$ ssh -i .ssh/id_ed25519 saber@ik1-yyy-x...
[saber@ik1-yyy-xxxxx ~]$ echo $TMOUT
0
[saber@ik1-yyy-xxxxx ~]$
}}
***reverse ssh tunnelingを張る [#g326244d]
「組織内のマシン」から「中継マシン」に「reverse ssh tunne...
ここでは「中継マシン」に「reverse ssh tunneling」で「2222...
#code(nonumber){{
[saber@centos7 ~]$ ssh -N -R 2222:localhost:22 -i .ssh/i...
:
:
}}
「-N」は接続した後は何もコマンドを実行しない.
「-fN」とするとバックグランドジョブとなってプロンプトが戻...
「-R」は「reverse ssh tunneling」を張って相手先(「中継マ...
「-i」は秘密鍵のありか.
っでこれを行って「本当に有効なの?」って思うのだが、その...
***組織外のPC [#a48aa875]
っで最後に組織外のPCからアクセス. 組織外のPCってまぁ出先...
まずは、公開鍵を作ってそれを「中継マシン」「組織内のマシ...
#code(nonumber){{
[saber@cc ~]$ ssh-keygen -t ed25519
[saber@cc ~]$ ls -la .ssh/
total 8
drwx------. 2 saber saber 46 Nov 5 22:25 .
drwx------. 3 saber saber 74 Nov 5 22:25 ..
-rw-------. 1 saber saber 399 Nov 5 22:25 id_ed25519
-rw-r--r--. 1 saber saber 90 Nov 5 22:25 id_ed25519.pub
[saber@cc ~]$
[saber@cc ~]$ cat .ssh/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@cc ~]$
}}
「中継マシン」
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZD...
[saber@ik1-yyy-xxxxx ~]$ cat .ssh/authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN/OGTsKP6kV/ZEVyWzIQ...
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@ik1-yyy-xxxxx ~]$
}}
「組織内のマシン」
#code(nonumber){{
[saber@centos7 ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5...
[saber@centos7 ~]$ chmod 600 .ssh/authorized_keys
[saber@centos7 ~]$ cat .ssh/authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@centos7 ~]$
}}
っと準備を完了させていざアクセス
#code(nonumber){{
[saber@cc ~]$ ip a
(略
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc...
link/ether 52:54:00:8a:0a:f4 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.10/24 brd 192.168.10.255 scope global...
valid_lft forever preferred_lft forever
[saber@cc ~]$
[saber@cc ~]$ ssh -i .ssh/id_ed25519 -J ik1-yyy-xxxxx.vs....
:
[saber@centos7 ~]$ hostname
centos7
[saber@centos7 ~]$ ip a
(略
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdi...
link/ether 00:0c:29:f6:a0:09 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.107/24 brd 192.168.0.255 scope global ...
valid_lft 39068sec preferred_lft 39068sec
inet6 fe80::1acb:fbfe:aadd:c51d/64 scope link noprefi...
valid_lft forever preferred_lft forever
[saber@centos7 ~]$
}}
***めも [#l6e698d4]
fail2banを入れているならignoreipを定義した方がいい.
繰り返しますが、組織のポリシーに従ってください. 闇で掘る...
途中途切れることがあったが、TMOUT=0を入れたら大丈夫っぽい.
終了行:
先方に穴を掘って頂き、その穴を使って相手方にアクセスする.
まだあんまり分かっていなのだが...大抵はfirewallで守られて...
外部から内部に入るには vpn とか組織が用意した経路を使って...
っで、Teamviewer/AnyDeskもそうですが、外部に内と外との仲...
(使えるかはその組織のポリシーですよ)
今回のreverse ssh tunnelingを使うと、まぁーTeamviewer/Any...
手順は
-内部から中継してくれる組織外のマシンにsshを張る(reverse ...
-そうすると中継のマシンを介して組織内のPCに入れる.
ってな感じ.
&ref(2023y11m05d_225109071.png,nolink,noborder);
ここではreverse ssh tunnelingを使ってどうゆう風にして外部...
まずは、組織内のマシンから中継のマシンにパスフレーズなし...
|BGCOLOR(YELLOW):場所|BGCOLOR(YELLOW):ホスト名|BGCOLOR(YE...
|組織内のマシン|centos7|「reverse ssh tunneling」を中継マ...
|組織外のマシン|rockylinux9|中継マシン|
|組織外のPC|cc|組織外から中継マシンを経て内部に入る|
***組織内のマシン [#te0f5700]
#code(nonumber){{
[saber@centos7 ~]$ ssh-keygen -t ed25519
[saber@centos7 ~]$ ls -la .ssh/
total 8
drwx------. 2 saber saber 46 Nov 5 12:50 .
drwx------. 3 saber saber 95 Nov 5 12:50 ..
-rw-------. 1 saber saber 399 Nov 5 12:50 id_ed25519
-rw-r--r--. 1 saber saber 95 Nov 5 12:50 id_ed25519.pub
[saber@centos7 ~]$ cat ,ss/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN/OGTsKP6kV/ZEVyWzIQ...
[saber@centos7 ~]$
}}
この「.ssh/id_ed25519.pub」の内容を「中継マシン」に組み込む
***中継マシン [#fdd6a918]
「組織内のマシン」で作った公開鍵(id_ed25519.pub)の中身を...
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ mkdir .ssh
[saber@ik1-yyy-xxxxx ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZD...
[saber@ik1-yyy-xxxxx ~]$
[saber@ik1-yyy-xxxxx ~]$ chmod 700 .ssh
[saber@ik1-yyy-xxxxx ~]$ chmod 600 .ssh/authorized_keys
}}
っで「組織内のマシン」---ssh---> 「中継マシン」へのパスワ...
#code(nonumber){{
[saber@centos7 ~]$ ssh -i .ssh/id_ed25519 saber@ik1-yyy-x...
:
:
SAKURA internet [Virtual Private Server SERVICE]
Last login: Sun Nov 5 13:02:17 2023 from xxx.xxx.xxx.xxx
[saber@ik1-yyy-xxxxx ~]$
}}
っと行けた.
中継マシンにはbashなアカウントなら「TMOUT=0」を入れて勝手...
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ echo "export TMOUT=0" >> ~/.bashrc
[saber@ik1-yyy-xxxxx ~]$ exit
logout
Connection to ik1-yyy-xxxxx.vs.sakura.ne.jp closed.
[saber@centos7 ~]$
[saber@centos7 ~]$ ssh -i .ssh/id_ed25519 saber@ik1-yyy-x...
[saber@ik1-yyy-xxxxx ~]$ echo $TMOUT
0
[saber@ik1-yyy-xxxxx ~]$
}}
***reverse ssh tunnelingを張る [#g326244d]
「組織内のマシン」から「中継マシン」に「reverse ssh tunne...
ここでは「中継マシン」に「reverse ssh tunneling」で「2222...
#code(nonumber){{
[saber@centos7 ~]$ ssh -N -R 2222:localhost:22 -i .ssh/i...
:
:
}}
「-N」は接続した後は何もコマンドを実行しない.
「-fN」とするとバックグランドジョブとなってプロンプトが戻...
「-R」は「reverse ssh tunneling」を張って相手先(「中継マ...
「-i」は秘密鍵のありか.
っでこれを行って「本当に有効なの?」って思うのだが、その...
***組織外のPC [#a48aa875]
っで最後に組織外のPCからアクセス. 組織外のPCってまぁ出先...
まずは、公開鍵を作ってそれを「中継マシン」「組織内のマシ...
#code(nonumber){{
[saber@cc ~]$ ssh-keygen -t ed25519
[saber@cc ~]$ ls -la .ssh/
total 8
drwx------. 2 saber saber 46 Nov 5 22:25 .
drwx------. 3 saber saber 74 Nov 5 22:25 ..
-rw-------. 1 saber saber 399 Nov 5 22:25 id_ed25519
-rw-r--r--. 1 saber saber 90 Nov 5 22:25 id_ed25519.pub
[saber@cc ~]$
[saber@cc ~]$ cat .ssh/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@cc ~]$
}}
「中継マシン」
#code(nonumber){{
[saber@ik1-yyy-xxxxx ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZD...
[saber@ik1-yyy-xxxxx ~]$ cat .ssh/authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN/OGTsKP6kV/ZEVyWzIQ...
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@ik1-yyy-xxxxx ~]$
}}
「組織内のマシン」
#code(nonumber){{
[saber@centos7 ~]$ echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5...
[saber@centos7 ~]$ chmod 600 .ssh/authorized_keys
[saber@centos7 ~]$ cat .ssh/authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAICTPxQL3+D3TiEFMFFn+B...
[saber@centos7 ~]$
}}
っと準備を完了させていざアクセス
#code(nonumber){{
[saber@cc ~]$ ip a
(略
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc...
link/ether 52:54:00:8a:0a:f4 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.10/24 brd 192.168.10.255 scope global...
valid_lft forever preferred_lft forever
[saber@cc ~]$
[saber@cc ~]$ ssh -i .ssh/id_ed25519 -J ik1-yyy-xxxxx.vs....
:
[saber@centos7 ~]$ hostname
centos7
[saber@centos7 ~]$ ip a
(略
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdi...
link/ether 00:0c:29:f6:a0:09 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.107/24 brd 192.168.0.255 scope global ...
valid_lft 39068sec preferred_lft 39068sec
inet6 fe80::1acb:fbfe:aadd:c51d/64 scope link noprefi...
valid_lft forever preferred_lft forever
[saber@centos7 ~]$
}}
***めも [#l6e698d4]
fail2banを入れているならignoreipを定義した方がいい.
繰り返しますが、組織のポリシーに従ってください. 闇で掘る...
途中途切れることがあったが、TMOUT=0を入れたら大丈夫っぽい.
ページ名:
1
![[PukiWiki]](image/picc.png "[PukiWiki]")
