SSH のちょっとしたトリック

この記事には、SSH をより効果的に使用するためのベスト プラクティスが含まれています。その中で、次の方法を学びます。

• SSH ログインに 2 番目の要素を追加する
• エージェント転送を安全に使用する
• 中断された SSH セッションからログアウトする
• 永続的なターミナルを開いたままにしておきます
• リモート ターミナル セッションを友人と共有します (Zoom は使用しません)。

SSH に 2 番目の要素を追加する

次の 5 つの異なる方法で、SSH 接続に認証の 2 番目の要素を追加できます。

1. OpenSSH を更新し、暗号化キーを使用します。 2020 年 2 月、OpenSSH は FIDO U8.2F (Universal Second Factor) 暗号化キーのサポートを追加しました。これは素晴らしい新機能ですが、注意点があります。XNUMX 月のアップデートでは新しいキー タイプが導入されているため、OpenSSH XNUMX 以降にアップデートしたクライアントとサーバーのみが暗号化キーを使用できます。チーム ssh –V コマンドでSSHのクライアントバージョンとサーバーバージョンを確認できます。 nc [servername] 22
   
   25519 月のバージョンには、ecdsa-sk と edXNUMX-sk という XNUMX つの新しいタイプのキーが (対応する証明書とともに) 追加されました。キー ファイルを生成するには、暗号化キーを挿入してコマンドを実行するだけです。

   $ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

   公開キーと秘密キーが生成され、それらが U2F デバイスに関連付けられます。 U2F デバイス上の秘密キーの役割は、暗号化キーがアクティブ化されたときにディスク上の秘密キー記述子を復号化することです。

   さらに、2 番目の要素として、キーのパスフレーズを指定できます。

   常駐キーは、OpenSSH でサポートされる別のタイプの -sk キー生成です。このアプローチでは、ハンドルが U2F デバイスに保存され、必要なときに暗号化キーとともにハンドルを保持できるようになります。次のコマンドを使用して常駐キーを作成できます。

   $ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk

   次に、ハンドルを新しいデバイスのメモリに戻すには、暗号化キーを貼り付けてコマンドを実行します。

   $ ssh-add -K

   ホストに接続するときも、暗号化キーをアクティブにする必要があります。

2. PIV+PKCS11 と Yubikey を使用します。暗号化キーを使用して以前のバージョンの SSHD を備えたデバイスに接続するには、別のアプローチが必要になります。 Yubico には、PIV/PKCS2 での U11F+SSH の使用に関するガイドがあります。これは FIDO U2F とは異なり、この方法は機能しますが、どのような魔法がそれを動かしているのかを解明するには多大な労力がかかります。
3. カスタム yubikey-agent ssh エージェントを適用します。 Filippo Valsorda は Yubikeys の SSH エージェントを書きました。これは完全に新しく、最小限の機能が含まれています。
4. Touch ID と sekey を使用します。 Sekey は、Mac 上の安全なエンクレーブに秘密キーを保存し、アクセス機能に Touch ID を使用できるようにするオープン ソースの SSH エージェントです。
5. シングル サインオン SSH を使用します。このメソッドを設定するのに役立つチュートリアルを作成しました。 SSH 上のシングル サインの利点の 1 つは、多要素認証 (MFA) のサポートなど、アイデンティティ プロバイダーのセキュリティ ポリシーを活用できることです。

エージェント転送の安全な使用

SHH エージェント転送により、リモート ホストがローカル デバイスの SSH エージェントにアクセスできるようになります。エージェント転送を有効にして SSH を使用する場合 (通常は ssh -A 経由)、接続に 2 つのチャネル (対話型セッションとエージェント転送用のチャネル) が存在します。このチャネルを通じて、ローカル SSH エージェントによって作成された Unix ソケットがリモート ホストに接続します。リモート デバイス上で root アクセス権を持つユーザーがローカル SSH エージェントにアクセスし、オンラインでユーザーになりすます可能性があるため、これは危険な方法です。 Open SSH キットの標準 SSH エージェントを使用すると、これが起こったことにさえ気付かなくなります。 UXNUMXF キー (または Sekey) を持っていると、外部から SSH エージェントを使用しようとする試みを効果的にブロックするのに役立ちます。

このような予防策を講じたとしても、エージェント転送の使用は最小限に抑えることをお勧めします。すべてのセッションでこれを使用するべきではありません。エージェント転送は、現在のセッションで必要であることが確実な場合にのみ使用してください。

ハングしたセッションを終了する

SSH セッションが終了する原因としては、ネットワークの中断、プログラムの制御不能な動作、キーボード入力をブロックするエスケープ シーケンスなどが考えられます。

ハングしたセッションを終了するには、いくつかの方法があります。

1. ネットワークが中断されると自動的に終了します。以下を .ssh/config に追加する必要があります。

   ServerAliveInterval 5
   ServerAliveCountMax 1

   ssh は、ServerAliveInterval 秒ごとにリモート ホストにエコーを送信して、接続を確認します。 ServerAliveCountMax を超えるエコーが応答を受信しない場合、ssh は接続をタイムアウトし、セッションを終了します。

2. セッションを中断します。 ssh はデフォルトで ~ (チルダ) 文字を制御文字として使用します。チーム〜。開いている接続を閉じて、ターミナルに戻ります。 (エスケープ シーケンスは新しい行にのみ入力できます。) ~?このセッションで使用できるコマンドの完全なリストが表示されます。国際キーボードで ~ 文字を入力するには、~ キーを 2 回押す必要がある場合があることに注意してください。

そもそもセッションの凍結はなぜ起こるのでしょうか? インターネットが作成されたとき、コンピューターはめったに場所から場所へ移動しませんでした。ラップトップを使用し、複数の IPv4 WiFi ネットワーク間を切り替えると、IP アドレスが変更されます。 SSH は TCP 接続に依存し、TCP 接続は安定した IP アドレスを持つエンドポイントに依存するため、ネットワーク間を切り替えるたびに、SSH 接続はソケット ハンドルを逃し、事実上、SSH 接続自体が失われます。 IP アドレスが変更されると、ネットワーク スタックがハンドルの喪失を検出するまでに時間がかかります。ネットワークの問題が発生した場合、TCP 接続上のいずれかのノードが早期に接続を終了することは望ましくありません。したがって、プロトコルは最終的に諦めるまでにさらに数回データの再送信を試行します。その間、端末ではセッションがフリーズしたように見えます。 IPv6 では、ネットワークを変更してもデバイスがホーム アドレスを維持できるようにするモビリティ関連の機能がいくつか追加されています。おそらく、これはそれほど問題ではなくなる日が来るでしょう。

リモートホスト上で永続ターミナルを開いたままにする方法

異なるネットワーク間を移動するとき、またはしばらく切断したいときに接続を維持する方法には 2 つの異なるアプローチがあります。

1. 活用する モッシュ または 永遠のターミナル

ネットワークを切り替えても切断されない接続が本当に必要な場合は、Mosh モバイル シェルを使用してください。これは、最初に SSH ハンドシェイクを使用し、その後セッション中に独自の暗号化チャネルに切り替えるセキュア シェルです。このようにして、Mosh は、インターネットの中断、ラップトップの IP アドレスの変更、深刻なネットワーク障害などに耐えることができる、非常に耐久性があり安全な別のチャネルを作成します。これらすべては、UDP 接続の魔法のおかげです。同期プロトコルをモッシュします。

Mosh を使用するには、クライアントとサーバーの両方に Mosh をインストールし、リモート ホストへの非接続 UPD トラフィック用にポート 60000 ～ 61000 を開く必要があります。将来的には、接続するにはこれを使用するだけで十分です mosh user@server.

Mosh は画面とキーストロークのレベルで動作するため、クライアントと SSH サーバー間で標準入出力のバイナリ ストリームを送信する場合に比べて、いくつかの利点があります。画面とキーストロークのみを同期する必要がある場合は、後で切断された接続を復元するのがはるかに簡単になります。 SSH は発生したすべてをバッファリングして送信しますが、Mosh はキーストロークをバッファリングし、ターミナル ウィンドウの最後のフレームをクライアントと同期するだけで済みます。

2.tmuxを使用する

「好きなように行き来」してリモート ホスト上でターミナル セッションを維持したい場合は、次を使用します。 端末マルチプレクサ tmux。私は tmux が大好きで、いつも使っています。 SSH 接続が中断された場合、tmux セッションに戻るには、再接続して次のように入力するだけです。 tmux attach。さらに、iOS 端末のタブのような端末内タブやパネル、他のユーザーと端末を共有できるなど、素晴らしい機能を備えています。

Byobu は tmux の使いやすさを大幅に向上させ、多くのキーボード ショートカットを追加するパッケージです。 Byobu は Ubuntu にバンドルされており、Homebrew 経由で Mac に簡単にインストールできます。

リモートターミナルセッションを友人と共有する

サーバー上の複雑な問題をデバッグするときに、同じ部屋にいない人と SSH セッションを共有したい場合があります。 tmux はこのタスクに最適です。必要な手順は次のとおりです。

1. tmux が要塞ノード、または使用するサーバーにインストールされていることを確認してください。
2. どちらも同じアカウントを使用してデバイスに SSH 接続する必要があります。
3. tmux セッションを開始するには、どちらかが tmux を実行している必要があります。
4. もう一方は tmuxattach を実行する必要があります
5. 出来上がり！共有端末があります。

より洗練されたマルチユーザー tmux セッションが必要な場合は、共有端末セッションをはるかに簡単にする tmux のフォークである tmate を試してください。

出所： habr.com