Cần SSH cho một máy tính Linux không thể truy cập? Yêu cầu nó gọi cho bạn, sau đó đào xuống kết nối đó để nhận phiên SSH từ xa của riêng bạn. Chúng tôi chỉ cho bạn cách làm.
Khi nào bạn muốn sử dụng Reverse SSH Tunneling
Đôi khi, khó có thể tiếp cận các máy tính từ xa. Trang web mà họ đặt tại có thể có các quy tắc tường lửa chặt chẽ, hoặc có thể quản trị viên cục bộ đã thiết lập các quy tắc Dịch địa chỉ mạng phức tạp. Làm thế nào để bạn tiếp cận một máy tính như vậy nếu bạn cần kết nối với nó?
Hãy thiết lập một số nhãn. Máy tính của bạn là địa phương máy tính vì nó ở gần bạn. Máy tính bạn sẽ kết nối là Xa xôi máy tính vì nó ở vị trí khác với bạn.
Để phân biệt giữa máy tính cục bộ và máy tính từ xa được sử dụng trong bài viết này, máy tính từ xa được gọi là “howtogeek” và đang chạy Ubuntu Linux (với cửa sổ đầu cuối màu tím). Máy tính cục bộ có tên “Sulaco” và đang chạy Manjaro Linux (với cửa sổ đầu cuối màu vàng).
Thông thường, bạn sẽ kích hoạt kết nối SSH từ máy tính cục bộ và kết nối với máy tính từ xa. Đó không phải là một tùy chọn trong kịch bản mạng mà chúng tôi đang mô tả. Vấn đề mạng cụ thể thực sự không quan trọng — điều này hữu ích bất cứ khi nào bạn không thể SSH trực tiếp đến một máy tính từ xa.
Nhưng nếu cấu hình mạng của bạn đơn giản, máy tính từ xa có thể kết nối với bạn. Tuy nhiên, chỉ điều đó là không đủ cho nhu cầu của bạn vì nó không cung cấp cho bạn một phiên dòng lệnh hoạt động trên máy tính từ xa. Nhưng nó là một sự khởi đầu. Bạn đã thiết lập kết nối giữa hai máy tính.
Câu trả lời nằm ở SSH hầm ngược.
Reverse SSH Tunneling là gì?
Reverse SSH tunneling cho phép bạn sử dụng kết nối đã thiết lập đó để thiết lập kết nối mới từ máy tính cục bộ của bạn trở lại máy tính từ xa.
Bởi vì kết nối ban đầu đến từ máy tính từ xa đến bạn, sử dụng nó để đi theo hướng khác là sử dụng nó “ngược lại.” Và bởi vì SSH an toàn, bạn đang đặt một kết nối an toàn bên trong một kết nối an toàn hiện có. Điều này có nghĩa là kết nối của bạn với máy tính từ xa hoạt động như một đường hầm riêng bên trong kết nối ban đầu.
Và vì vậy chúng ta đi đến cái tên “đường hầm SSH ngược”.
Làm thế nào nó hoạt động?
Đường hầm SSH ngược dựa vào máy tính từ xa sử dụng kết nối đã thiết lập để lắng nghe các yêu cầu kết nối mới từ máy tính cục bộ.
Máy tính từ xa lắng nghe trên một cổng mạng trên máy tính cục bộ. Nếu nó phát hiện một yêu cầu SSH đến cổng đó, nó sẽ chuyển yêu cầu kết nối đó trở lại chính nó, ngắt kết nối đã thiết lập. Điều này cung cấp một kết nối mới từ máy tính cục bộ đến máy tính từ xa.
Nó dễ thiết lập hơn những gì nó mô tả.
Sử dụng SSH Reverse Tunneling
SSH sẽ đã được cài đặt trên máy tính Linux của bạn, nhưng bạn có thể cần khởi động trình nền SSH (sshd) nếu máy tính cục bộ chưa bao giờ chấp nhận kết nối SSH trước đó.
sudo systemctl start sshd
Để khởi động trình nền SSH mỗi khi bạn khởi động lại máy tính của mình, hãy sử dụng lệnh sau:
sudo systemctl enable sshd
Trên máy tính từ xa, chúng tôi sử dụng lệnh sau.
- Các
-R(đảo ngược) tùy chọn cho biếtsshrằng các phiên SSH mới phải được tạo trên máy tính từ xa. - “43022: localhost: 22” cho biết
sshyêu cầu kết nối đến cổng 43022 trên máy tính cục bộ phải được chuyển tiếp đến cổng 22 trên máy tính từ xa. Cổng 43022 được chọn vì nó được liệt kê là chưa được phân bổ. Nó không phải là một số đặc biệt. - dave@sulaco.local là tài khoản người dùng mà máy tính từ xa sẽ kết nối với máy tính cục bộ.
ssh -R 43022:localhost:22 dave@sulaco.local
Bạn có thể nhận được cảnh báo về việc chưa từng kết nối với máy tính cục bộ trước đây. Hoặc bạn có thể thấy cảnh báo khi chi tiết kết nối được thêm vào danh sách các máy chủ SSH được công nhận. Những gì bạn thấy — nếu có — phụ thuộc vào việc liệu các kết nối đã từng được thực hiện từ máy tính từ xa tới máy tính cục bộ hay chưa.
Bạn sẽ được nhắc nhập mật khẩu của tài khoản bạn đang sử dụng để kết nối với máy tính cục bộ.
Lưu ý rằng khi kết nối đã được thực hiện, dấu nhắc lệnh sẽ thay đổi từ dave @ howtogeek thành dave @ sulaco.
Bây giờ chúng tôi đã kết nối với máy tính cục bộ từ máy tính từ xa. Điều đó có nghĩa là chúng ta có thể ra lệnh cho nó. Hãy sử dụng who lệnh để xem thông tin đăng nhập trên máy tính cục bộ.
who
Chúng ta có thể thấy rằng người có tài khoản người dùng được gọi là dave đã đăng nhập vào máy tính cục bộ và máy tính từ xa đã kết nối (sử dụng cùng thông tin người dùng) từ địa chỉ IP 192.168.4.25.
LIÊN QUAN: Cách xác định tài khoản người dùng hiện tại trong Linux
Kết nối với máy tính từ xa
Vì kết nối từ máy tính từ xa thành công và nó đang lắng nghe kết nối, chúng tôi có thể thử kết nối với máy tính từ xa từ máy tính cục bộ.
Máy tính từ xa đang nghe trên cổng 43022 trên máy tính cục bộ. Vì vậy, hơi phản trực giác – để tạo kết nối với máy tính từ xa, chúng tôi yêu cầu ssh để tạo kết nối với máy tính cục bộ, trên cổng 43022. Yêu cầu kết nối đó sẽ được chuyển tiếp đến máy tính từ xa.
ssh localhost -p 43022
Chúng tôi được nhắc nhập mật khẩu tài khoản người dùng, sau đó được kết nối với máy tính từ xa từ máy tính cục bộ. Máy tính Manjaro của chúng tôi vui vẻ nói: “Chào mừng bạn đến với Ubuntu 18.04.2 LTS”.
Lưu ý rằng dấu nhắc lệnh đã thay đổi từ dave @ sulaco thành dave @ howtogeek. Chúng tôi đã đạt được mục tiêu tạo kết nối SSH với máy tính từ xa khó tiếp cận của chúng tôi.
Sử dụng SSH với các phím
Để thuận tiện hơn khi kết nối từ máy tính từ xa đến máy tính cục bộ, chúng ta có thể thiết lập khóa SSH.
Trên máy tính từ xa, nhập lệnh này:
ssh-keygen
Bạn sẽ được nhắc nhập cụm mật khẩu. Bạn có thể nhấn Enter để bỏ qua các câu hỏi về cụm mật khẩu, nhưng điều này không được khuyến khích. Điều đó có nghĩa là bất kỳ ai trên máy tính từ xa đều có thể tạo kết nối SSH với máy tính cục bộ của bạn mà không bị thách thức mật khẩu.
Ba hoặc bốn từ được phân tách bằng ký hiệu sẽ tạo thành một cụm mật khẩu mạnh mẽ.
Các khóa SSH của bạn sẽ được tạo.
Chúng ta cần chuyển khóa công khai sang máy tính cục bộ. Sử dụng lệnh này:
ssh-copy-id dave@sulaco.local
Bạn sẽ được nhắc nhập mật khẩu cho tài khoản người dùng mà bạn đang đăng nhập, trong trường hợp này là dave@sulaco.local.
Lần đầu tiên bạn thực hiện yêu cầu kết nối từ máy tính từ xa đến máy tính cục bộ, bạn sẽ phải cung cấp cụm mật khẩu. Bạn sẽ không phải nhập lại nó cho các yêu cầu kết nối trong tương lai, miễn là cửa sổ đầu cuối đó vẫn mở.
LIÊN QUAN: Cách tạo và cài đặt khóa SSH từ Linux Shell
Không phải tất cả các đường hầm đều đáng sợ
Một số đường hầm có thể tối và ngoằn ngoèo, nhưng đường hầm SSH ngược lại không quá khó để điều hướng nếu bạn có thể giữ mối quan hệ giữa máy tính từ xa và máy tính cục bộ trong đầu. Sau đó đảo ngược nó.
