6165金沙总站-www.6165.com-奥门金沙总站6165com - 文学类专业网站力求原创·干净·绿色

6165金沙总站-www.6165.com-奥门金沙总站6165com

当前位置: 6165金沙总站 > 科技 > 端口转发又或者正在客户端以root身份操作

端口转发又或者正在客户端以root身份操作

时间:2019-03-15来源:未知 作者:admin点击:
通过ssh建立的加密连接,ssh实用工具可以进行端口转发(端口转发,参见术语表)。因为发送的数据(通过被转发端口)使用加密的ssh连接作为它的数据链路层(参见《基础篇》10.1.7节),所以术语隧道技术(tuuneling,参见术语表)适用于这类经过ssh隧道的连接

  通过ssh建立的加密连接,ssh实用工具可以进行端口转发(端口转发,参见术语表)。因为发送的数据(通过被转发端口)使用加密的ssh连接作为它的数据链路层(参见《基础篇》10.1.7节),所以术语隧道技术(tuuneling,参见术语表)适用于这类经过ssh隧道的连接。让POP、X、IMAP、VNC和据通过ssh隧道传送,可以加强这些协议的安全性。X11转发实用工具ssh使得通过隧道传输X11协议数据变得更加简单。要想让X11隧道技术奏效,必须同时在服务器和客户端上启用它,并且客户端必须正在运行XWindowSystem。在ssh服务器上,通过在文件/etc/ssh/sshd_config中将X11Forwarding声明(参见8.4.6节)设置为yes(默认值),就可以启用X11转发。

  当在客户端上启用可信X11转发时,该客户端会作为可信客户端来连接,这就意味着该客户端信任服务器,并具有X11显示的完全访问权。如果某个客户端具有X11显示的完全访问权,那么在某些情况下,该客户端或许能够修改X11显示的其他客户端。只有在信任远程系统时才建立可信连接。(你肯定不希望别人干预你的客户端。)如果这个概念让人感到迷惑,请参见《基础篇》8.1节中的提示。

  不可信客户端ssh客户端可以连接到ssh服务器上作为可信客户端,也可以作为不可信客户端。不可信客户端对X11显示的访问权限受到限制,并且不能修改X11显示的其他客户端。

  在不可信模式下运行时,没什么客户端能够正常工作。如果在不可信模式下运行某个X11客户端时遇到了问题,那么试着在可信模式下运行(假设信任远程系统)。默认情况下,UbuntuLinux设置ssh客户端在不可信模式下运行。

  运行ssh当启动ssh客户端时,在命令行上可以使用选项-Y(参见8.3.4节),以便在可信模式下启动客户端。或者可以在用户的配置文件~/.ssh/config(参见8.3.7节)中将ForwardX11和ForwardX11trusted声明设置为yes,又或者在客户端以root身份操作,在客户端的全局配置文件/etc/ssh/ssh_config(参见8.4.6节)中启用可信X11隧道。

  要想使用不可信隧道,可以使用选项-X(参见8.3.4节)或者在服务器上的其中一个配置文件(参见8.3.7节)中将ForwardX11声明设置为yes,ForwardX11trusted声明设置为no。

  打开可信的X11转发之后,ssh就会让X11协议数据通过隧道转发,设置它所连接的系统中的DISPLAY环境变量并转发请求端口的数据。通常,我们的日常工作都是在图形界面(GUI)下进行,这经常意味着在终端模拟器上通过ssh连接到远程系统。在ssh提示符后面输入一条X11命令,OpenSSH就会创建一条新的安全隧道来承载X11数据,X11程序的图形化输出也会出现在你的屏幕上。通常需要在可信模式下开启客户端。

  默认情况下,ssh使用X窗口系统显示编号10以及更高的编号(6010端口及更高端口)来转发X会话数据。一旦使用ssh连接到远程系统,就可以输入命令运行X应用程序。应用程序将在远程系统上运行,而它的显示结果将出现在本地系统上,因此看上去就像是在本地运行一样。

  端口转发使用选项-L和-R可以转发任意端口的数据。选项-L将本地端口的数据转发到远程系统,因此,当一些程序试图连接到本地系统上的被转发端口时,它就会透明地连接到远程系统上去。选项-R完成相反的任务:它将远程端口的数据转发到本地系统。选项-N(阻止ssh执行远程命令)通常与-L和-R一起使用。如果指定-N,ssh只作为一个私有网络来转发端口数据。使用其中-L或-R选项的ssh命令行的格式如下:

  其中,local-port为与remote-host进行转发的本地端口号,remote-host为远程系统的名称或IP地址,local-port从该系统接受转发数据,或者向它发送待转发数据,remote-port是remote-host上的端口号,数据通过该端口转发到本地系统,或者从本地系统上将待转发数据发到该端口,target是ssh所连接的系统的名称或IP地址。

  例如,假设本地系统上有一个POP邮件客户端,POP服务器在远程网络上一个名为pophost的系统上。POP不是一种安全的协议,每次客户端连接到服务器时,都是通过明文方式发送口令。通过将POP数据经过ssh隧道传送可以让其变得更加安全一些(POP-3连接端口为110,端口1550为本地系统上的任意端口):

  输入上面的命令之后,就可以将POP客户端指向localhost:1550。客户端和服务器之间的连接将被会加密。(在POP客户端上建立账号时,将服务器的位置指定为localhost,端口为1550。根据不同的邮件客户端,具体的细节有所不同。)

  防火墙在上面的示例中,remote-host和target是同一个系统。被指定进行端口转发的系统(remote-host)不一定与ssh连接的目的地(target)相同。例如,假设POP服务器位于防火墙之后,不能通过ssh连接到它。如果能够使用ssh通过因特网连接到该防火墙,那么可以对跨越因特网的这部分连接进行加密:

  如果你的系统位于防火墙(正运行sshd)之后并且希望在不修改防火墙设置的情况下将某个端口的数据转发到该系统,那么也可以使用ssh:

  上面的命令将来自外面访问防火墙上的1678端口的连接转发给本地的Web服务器。按照这种方式转发连接,使用Web浏览器连接到防火墙上的1678端口,就可以连接到本地系统上的Web服务器。如果在本地系统上运行Webmail程序(参见10.7.1节),这种设置将会有用武之地,因为它可以让你使用一条因特网连接来查收来自任何地方的邮件。

  压缩压缩(选项-C开启这项功能)可以加快低速带宽连接上的通信速度。该选项通常用于端口转发。因为压缩会在一定程度上增加延迟时间,所以在一些高速带宽连接上进行X会话转发时不希望开启该功能。

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
相关内容
推荐内容