ProHoster > Blog > Stjórnsýsla > Smá SSH brellur

Smá SSH brellur

Þessi grein inniheldur bestu starfsvenjur okkar til að nota SSH á skilvirkari hátt. Í henni muntu læra hvernig á að:

  • Bættu öðrum þætti við SSH innskráninguna
  • Notaðu áframsendingu umboðsmanns á öruggan hátt
  • Skráðu þig út úr truflaðri SSH lotu
  • Haltu viðvarandi flugstöð opinni
  • Deildu fjarstöðvalotu með vini (enginn Zoom!)

Að bæta öðrum þætti við SSH þinn

Þú getur bætt öðrum auðkenningarstuðli við SSH tengingarnar þínar á fimm mismunandi vegu:

  1. Uppfærðu OpenSSH og notaðu dulkóðunarlykilinn. Í febrúar 2020 bætti OpenSSH við stuðningi við FIDO U2F (Universal Second Factor) dulkóðunarlykla. Þetta er frábær nýr eiginleiki, en það er fyrirvari: aðeins þeir viðskiptavinir og netþjónar sem hafa uppfært í OpenSSH 8.2 og nýrri munu geta notað dulkóðunarlykla, þar sem febrúaruppfærslan kynnir nýjar lyklategundir fyrir þá. Lið ssh –V þú getur athugað biðlaraútgáfuna af SSH og miðlaraútgáfuna með skipuninni nc [servername] 22

    Tvær nýjar gerðir lykla voru bætt við febrúarútgáfuna - ecdsa-sk og ed25519-sk (ásamt samsvarandi vottorðum). Til að búa til lykilskrá skaltu bara setja inn dulkóðunarlykilinn þinn og keyra skipunina:
    $ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

    Það mun búa til opinbera og einkalykla og tengja þá við U2F tækið þitt. Hlutverk leynilykilsins á U2F tækinu er að afkóða leynilykillýsinguna á disknum þegar dulkóðunarlykillinn er virkur.

    Að auki, sem aukaatriði, geturðu gefið upp lykilorð fyrir lyklana þína.

    Íbúalykill er önnur tegund af -sk lyklamyndun sem studd er af OpenSSH. Með þessari nálgun er handfangið geymt á U2F tækinu og gerir þér kleift að hafa það með dulkóðunarlyklinum þegar þörf krefur. Þú getur búið til íbúalykil með skipuninni:

    $ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk

    Síðan, til að setja handfangið aftur í minnið á nýja tækinu, límdu dulkóðunarlykilinn og keyrðu skipunina:

    $ ssh-add -K

    Þegar þú tengist gestgjafanum þarftu samt að virkja dulkóðunarlykilinn.

  2. Notaðu PIV+PKCS11 og Yubikey. Að tengjast tækjum með eldri útgáfur af SSHD með dulkóðunarlykli mun krefjast annarrar nálgun. Yubico hefur leiðbeiningar um notkun U2F+SSH með PIV/PKCS11. Þetta er ekki það sama og FIDO U2F og þó að aðferðin virki þarf mikla vinnu til að átta sig á því hvaða galdur knýr hana áfram.
  3. Notaðu sérsniðna yubikey-agent ssh umboðsmann. Filippo Valsorda skrifaði umboðsmann SSH fyrir Yubikeys. Það er alveg nýtt og inniheldur lágmarks eiginleika.
  4. Notaðu Touch ID og sekey. Sekey er opinn SSH umboðsmaður sem geymir einkalykla í öruggri enclave á Mac og gerir kleift að nota Touch ID fyrir aðgangsvirkni.
  5. Notaðu Single Sign On SSH. Ég skrifaði kennsluefni til að hjálpa þér að setja upp þessa aðferð. Einn af kostunum við stakt skilti á SSH er hæfileikinn til að nýta öryggisstefnu auðkenningarveitunnar þíns - þar á meðal stuðning við fjölþátta auðkenningu (MFA).

Örugg notkun á umboðssendingum

Framsending SHH umboðsmanns gerir ytri gestgjafa kleift að fá aðgang að SSH umboðsmanni staðbundins tækis. Þegar þú notar SSH með umboðsframsendingu virkt (venjulega í gegnum ssh -A), verða tvær rásir á tengingunni: gagnvirka lotan þín og rásin fyrir framsendingu umboðsmanns. Í gegnum þessa rás tengist Unix falsið sem búið er til af staðbundnum SSH umboðsmanni þínum við ytri gestgjafann. Þetta er áhættusöm aðferð vegna þess að notandi með rótaraðgang á ytra tækinu gæti fengið aðgang að staðbundnum SSH umboðsmanni þínum og hugsanlega líkt eftir þér á netinu. Með því að nota staðlaða SSH umboðsmanninn úr Open SSH settinu muntu ekki einu sinni vita að þetta gerðist. Að hafa U2F lykil (eða Sekey) mun hjálpa þér að loka fyrir allar tilraunir til að nota SSH umboðsmann þinn utan frá.

Jafnvel með þessari varúðarráðstöfun er góð hugmynd að nota umboðsflutning eins lítið og mögulegt er. Þú ættir ekki að nota það fyrir hverja lotu - notaðu umboðsframsendingu aðeins þegar þú ert viss um að það sé nauðsynlegt fyrir núverandi lotu.

Hætta í hengdri lotu

Nettruflun, forrit sem hegða sér stjórnlaust eða flóttaröð sem hindrar inntak á lyklaborði eru allar mögulegar orsakir þess að SSH lotu er hætt.

Það eru nokkrar leiðir til að binda enda á hangandi lotu:

  1. Hætta sjálfkrafa þegar netið er rofið. Þú þarft að bæta eftirfarandi við .ssh/config:
    ServerAliveInterval 5
ServerAliveCountMax 1

    ssh mun senda bergmál til ytri gestgjafans á hverri ServerAliveInterval sekúndu til að athuga tenginguna. Ef fleiri en ServerAliveCountMax bergmál fá ekki svar mun ssh stöðva tenginguna og hætta í lotunni.

  2. Brottu út af þinginu. ssh notar sjálfgefið ~ (tilde) staf sem stýristaf. Lið ~. lokar opnu tengingunni og skilar þér aftur í flugstöðina. (Escape runs er aðeins hægt að slá inn á nýrri línu.) The ~? mun birta heildarlista yfir skipanir sem eru tiltækar í þessari lotu. Vinsamlegast athugaðu að til að slá inn ~ stafinn á alþjóðlegum lyklaborðum gætir þú þurft að ýta tvisvar á ~ takkann.

Af hverju eiga sér stað frystar fundir yfirleitt? Þegar internetið var búið til færðust tölvur sjaldan á milli staða. Þegar þú notar fartölvur og skiptir á milli margra IPv4 WiFi netkerfa breytist IP-talan þín. Þar sem SSH treystir á TCP-tengingar, sem aftur treysta á endapunkt með stöðugu IP-tölu, þegar þú skiptir á milli netkerfa, missa SSH-tengingarnar þínar af innstunguhandfanginu og glatast í raun sjálfar. Þegar IP-talan þín breytist tekur það tíma fyrir netstaflann þinn að greina tap á handfanginu. Þegar netvandamál koma upp viljum við ekki að einn af hnútunum á TCP-tengingunni slíti því of snemma. Þess vegna mun samskiptareglan reyna að endursenda gögnin nokkrum sinnum í viðbót áður en að lokum gefst upp. Á meðan, í flugstöðinni þinni mun lotan birtast frosin. IPv6 bætir við nokkrum hreyfanleikatengdum eiginleikum sem gera tæki kleift að viðhalda heimilisfangi sínu á meðan það skiptir um net. Kannski verður þetta ekki svona vandamál einn daginn.

Hvernig á að halda viðvarandi flugstöð opinni á ytri vél

Það eru tvær mismunandi aðferðir til að viðhalda tengingunni þegar þú ferð á milli mismunandi neta eða vilt aftengjast um stund.

1. Nýttu þér mosh eða Eilíf flugstöð

Ef þú þarft virkilega tengingu sem fellur ekki út jafnvel þegar þú skiptir á milli netkerfa, notaðu Mosh farsímaskelina. Þetta er örugg skel sem notar fyrst SSH handabandið og skiptir síðan yfir í sína eigin dulkóðuðu rás meðan lotan stendur yfir. Svona býr Mosh til sérstaka, mjög stöðuga og örugga rás sem þolir nettruflanir, breytingu á IP-tölu fartölvunnar þinnar, alvarlegt netkerfi og margt fleira, og allt þetta þökk sé töfrum UDP tenginga, líka sem Mosh samstillingarreglurnar.

Til að nota Mosh þarftu að setja það upp bæði á biðlara og netþjón og opna höfn 60000-61000 fyrir ótengda UPD umferð til ytri hýsilsins. Í framtíðinni, til að tengja það mun vera nóg að nota mosh user@server.

Mosh starfar á vettvangi skjáa og ásláttar, sem gefur honum ýmsa kosti fram yfir að senda tvöfaldan straum af stöðluðu inn- og úttaki á milli viðskiptavinarins og SSH netþjónsins. Ef við þurfum aðeins að samstilla skjái og áslátt, þá verður mun auðveldara að endurheimta rofna tengingu síðar. Þó að SSH muni biðjast og senda allt sem gerðist, þarf Mosh aðeins að biðjast fyrir ásláttum og samstilla síðasta ramma flugstöðvargluggans við biðlarann.

2. Notaðu tmux

Ef þú vilt "koma og fara eins og þú vilt" og viðhalda flugstöðvalotu á ytri hýsil, notaðu enda multiplexer tmux. Ég elska tmux og nota það alltaf. Ef SSH tengingin þín er rofin, til að fara aftur í tmux lotuna þarftu bara að tengjast aftur og slá inn tmux attach. Að auki hefur það svo dásamlega eiginleika eins og flipa og spjöld innan flugstöðvar, svipað og flipar í iOS flugstöðinni, og getu til að deila skautum með öðrum.

Sumum finnst gaman að fegra tmux-kerfið sitt með Byobu, pakka sem eykur notagildi tmux verulega og bætir við mörgum flýtilykla. Byobu kemur með... Ubuntu, og það er auðvelt að setja það upp á Mac í gegnum Homebrew.

Deilir fjartengdarlotu með vini

Stundum, þegar þú villir flókin vandamál á netþjónum þínum, gætirðu viljað deila SSH lotu með einhverjum sem er ekki í sama herbergi og þú. tmux er fullkomið fyrir þetta verkefni! Það tekur aðeins nokkur skref:

  1. Gakktu úr skugga um að tmux sé uppsett á Bastion hnútnum þínum, eða á hvaða netþjóni sem þú ert að fara að vinna með.
  2. Þú þarft bæði að SSH inn í tækið með sama reikningi.
  3. Annar ykkar verður að keyra tmux til að hefja tmux lotu.
  4. Hinn ætti að keyra tmux attach
  5. Voila! Þú ert með sameiginlega flugstöð.

Ef þú vilt fá flóknari fjölnotenda tmux lotur skaltu prófa tmate, tmux gaffal sem gerir sameiginlegar terminallotur miklu auðveldari.

Heimild: www.habr.com

Kauptu áreiðanlega hýsingu fyrir síður með DDoS vernd, VPS VDS netþjónum 🔥 Kauptu áreiðanlega vefhýsingu með DDoS vörn, VPS VDS netþjónum | ProHoster