Väikesed SSH-nipid

See artikkel kogub kokku meie parimad tavad SSH tõhusamaks kasutamiseks. Selles saate teada, kuidas:

• Lisa SSH sisselogimisele teine ​​tegur
• Agentide edastamise ohutu kasutamine
• Välju kinni jäänud SSH-seansist
• Hoia terminali püsivalt avatuna
• Jaga kaugterminalisessiooni sõbraga (mitte Zoomi kaudu!)

Teise teguri lisamine teie SSH-le

SSH-ühendustele teise autentimisteguri lisamiseks on viis erinevat viisi:

1. Värskenda oma OpenSSH-d ja kasuta krüpteerimisvõtit. 2020. aasta veebruaris lisas OpenSSH tuge FIDO U2F (Universal Second Factor) krüpteerimisvõtmetele. See on suurepärane uus funktsioon, kuid sellel on konks: krüpteerimisvõtmeid saavad kasutada ainult kliendid ja serverid, mis on värskendatud OpenSSH 8.2 või uuemale versioonile, kuna veebruari värskendus tutvustab neile uusi võtmetüüpe. Käsk ssh –V SSH kliendi ja serveri versiooni saate kontrollida käsuga nc [servername] 22
   
   Veebruarikuu versioonis lisati kaks uut võtmetüüpi – ecdsa-sk ja ed25519-sk (koos vastavate sertifikaatidega). Võtmefaili genereerimiseks sisestage lihtsalt oma krüpteerimisvõti ja käivitage käsk:

   $ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

   See loob avaliku ja privaatvõtme ning seob need teie U2F-seadmega. U2F-seadme privaatvõtme eesmärk on krüpteerimisvõtme aktiveerimisel kettal oleva privaatvõtme deskriptori dekrüpteerimine.

   Lisaks saate teisejärgulise tegurina oma võtmetele parooli anda.

   Residentvõti on veel üks toetatud OpenSSH-i tüüpi -sk võtme genereerimine. See lähenemisviis salvestab deskriptori U2F-seadmesse ja võimaldab teil seda vajadusel koos krüpteerimisvõtmega kasutada. Residentvõtme saate luua käsuga:

   $ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk

   Seejärel, et deskriptor uue seadme mällu tagasi saada, sisestage krüpteerimisvõti ja käivitage käsk:

   $ ssh-add -K

   Hostiga ühenduse loomisel peate ikkagi krüpteerimisvõtme aktiveerima.

2. Kasutage PIV+PKCS11 ja Yubikey'd. Vanemate SSHD versioonidega seadmetega krüpteerimisvõtme abil ühenduse loomine nõuab teistsugust lähenemist. Yubicol on juhend U2F+SSH kasutamise kohta PIV/PKCS11-ga. See ei ole sama mis FIDO U2F ja kuigi see töötab, on natuke tööd, et välja selgitada, mis maagia toimub.
3. Rakenda kohandatud yubikey-agent SSH agenti. Filippo Valsorda kirjutas Yubikeys'ile SSH agendi. See on täiesti uus ja sisaldab minimaalselt funktsioone.
4. Kasutage Touch ID-d ja Sekeyd. Sekey on avatud lähtekoodiga SSH-agent, mis salvestab salajased võtmed teie Maci turvalisse enklaavi ja võimaldab teil juurdepääsufunktsiooni jaoks kasutada Touch ID-d.
5. Kasutage SSH ühekordset sisselogimist. Kirjutasin õpetuse, mis aitab teil seda seadistada. Üks SSH ühekordse sisselogimise eeliseid on võimalus kasutada oma identiteedipakkuja turbepoliitikaid – sealhulgas mitmefaktorilise autentimise (MFA) tuge.

Agentide edastamise ohutu kasutamine

SHH-s võimaldab agendi edastamine kaugmasinal juurde pääseda teie kohaliku seadme SSH-agendile. Kui kasutate SSH-d ja agendi edastamine on lubatud (tavaliselt ssh -A kaudu), on ühenduses kaks kanalit: teie interaktiivne seanss ja agendi edastamise kanal. Selle kanali kaudu suhtleb teie kohaliku SSH-agendi loodud Unixi sokkel kaugmasinaga. See on riskantne meetod, kuna kaugmasinal juurjuurdepääsuga kasutaja saab juurde pääseda teie kohalikule SSH-agendile ja potentsiaalselt teiena võrgus esineda. Open SSH komplekti standardse SSH-agenti kasutades ei saa te sellest isegi teada. U2F-võtme (või Sekey) olemasolu aitab teil tõhusalt blokeerida kõik katsed oma SSH-agenti väljastpoolt kasutada.

Isegi selle ettevaatusabinõuga on hea mõte kasutada agendi edastamist nii vähe kui võimalik. Ärge kasutage seda igas seansis – kasutage agendi edastamist ainult siis, kui olete kindel, et see on praeguse seansi jaoks vajalik.

Külmutatud seansi väljumine

Võrgu katkestus, kontrollimatu programmi käitumine või klaviatuuri sisestamist blokeeriv juhtimisjada on kõik võimalikud põhjused, miks SSH-seanss võib katkeda.

Külmutatud seansi lõpetamiseks on mitu võimalust:

1. Automaatne väljalogimine võrguühenduse katkemise korral. Peate oma .ssh/config faili lisama järgmise:

   ServerAliveInterval 5
   ServerAliveCountMax 1

   ssh saadab kaughostile kaja iga ServerAliveInterval sekundi järel, et kontrollida ühendust. Kui vastust ei saa rohkem kui ServerAliveCountMax kaja, siis ssh aegutab ühenduse ja väljub seansist.

2. Seansist väljumine. ssh kasutab vaikimisi paomärgina märki ~ (tilde). Käsk ~. sulgeb avatud ühenduse ja viib teid tagasi terminali. (Paomärke saab sisestada ainult uuele reale.) Käsk ~? kuvab seansis saadaolevate käskude täieliku loendi. Pange tähele, et rahvusvahelistel klaviatuuridel peate ~ märgi sisestamiseks võib-olla kaks korda vajutama klahvi ~.

Miks üldse külmutatud seansid tekivad? Interneti loomise ajal liikusid arvutid harva ühest kohast teise. Kui kasutate sülearvutit ja vahetate mitut IPv4 WiFi-võrku, muutub teie IP-aadress. Kuna SSH tugineb TCP-ühendustele, mis omakorda tuginevad stabiilse IP-aadressiga lõpp-punktile, kaotavad teie SSH-ühendused iga kord, kui vahetate võrku, sokli deskriptori ja need kaovad sisuliselt ära. Kui teie IP-aadress muutub, võtab teie võrgupinul deskriptori kadumise tuvastamine aega. Võrguprobleemide ilmnemisel ei taha te, et üks TCP-ühenduse sõlmedest liiga vara alla annaks. Seega proovib protokoll andmeid veel paar korda uuesti saata, enne kui lõpuks alla annab. Samal ajal kuvatakse teie terminalis seanss takerdununa. IPv6 lisab mõned mobiilsusega seotud funktsioonid, mis võimaldavad seadmel võrgu vahetamisel oma koduaadressi säilitada. Võib-olla pole see ühel päeval enam nii suur asi.

Kuidas hoida püsivat terminali kaugmasinas avatuna

Erinevate võrkude vahel liikudes või mõneks ajaks ühenduse katkestamiseks on kaks erinevat lähenemisviisi.

1. Kasuta ära mosh või Igavene terminal

Kui sul on tõesti vaja ühendust, mis ei katke isegi võrgu vahetamisel, kasuta mobiilset kesta Mosh. See on turvaline kest, mis kasutab esmalt SSH käepigistust ja seejärel lülitub seansi ajaks oma krüpteeritud kanalile. Nii loob Mosh eraldi, üliturvalise ja töökindla kanali, mis talub internetikatkestusi, sülearvuti IP-aadressi muutumist, tõsiseid võrgukatkestusi ja palju muud – kõik tänu UDP-ühenduste võlujõule ja Moshi kasutatavale sünkroniseerimisprotokollile.

Moshi kasutamiseks peate selle installima nii klienti kui ka serverisse ning avama pordid 60000-61000 oma kaughosti mitteseotud UPD-liikluse jaoks. Sealt edasi saate lihtsalt kasutada mosh user@server.

Mosh töötab ekraani ja klahvivajutuste tasandil, mis annab talle SSH ees mitmeid eeliseid, mis saadab kliendi ja serveri vahel standardse sisendi ja väljundi binaarvoo. Kui meil on vaja sünkroonida ainult ekraane ja klahvivajutusi, on hiljem ühenduse taastamine palju lihtsam. Kuigi SSH puhverdab ja saadab kõike, mis juhtus, peab Mosh puhverdama ainult klahvivajutusi ja sünkroonima terminaliakna viimase kaadri kliendiga.

2. Kasutage tmuxi

Kui soovid "tulla ja minna nii nagu soovid" ning hoida terminaliseanssi kaugmasinas, kasuta terminali multiplekser tmuxMa armastan tmuxi ja kasutan seda kogu aeg. Kui teie SSH-ühendus katkeb, peate tmuxi seansi juurde naasmiseks lihtsalt uuesti ühenduse looma ja tippima tmux attachSamuti on sellel suurepärased funktsioonid, näiteks terminalisisesed vahekaardid ja paneelid, mis on sarnased iOS-i terminali omadega, ning võimalus terminale teistega jagada.

Mõnele inimesele meeldib oma tmuxi täiustada Byobu abil – see on pakett, mis parandab oluliselt tmuxi kasutatavust ja lisab palju kiirklahve. Byobu on varustatud järgmisega: Ubuntuja seda on Macile Homebrew' kaudu lihtne installida.

Kaugterminali seansi jagamine sõbraga

Mõnikord, kui otsite serverites keerulisi probleeme, võite soovida jagada SSH-seanssi kellegagi, kes ei viibi teiega samas ruumis. tmux sobib selleks ülesandeks ideaalselt! See võtab vaid paar sammu:

1. Veendu, et tmux on installitud sinu bastionisõlmele või mis tahes serverile, millega kavatsed töötada.
2. Peate mõlemad sama kontoga seadmesse SSH kaudu sisse logima.
3. Tmux-seansi alustamiseks peab üks teist käivitama tmuxi.
4. Teine peaks käivitama tmux attach
5. Voilaa! Teil on ühine terminal.

Kui soovid keerukamaid mitme kasutajaga tmux-seansse, proovi tmate'i, mis on tmuxi haru, mis muudab jagatud terminaliseanssid palju lihtsamaks.

Allikas: www.habr.com