ProHoster > Блог > administratio > SSH parum praestigiae

SSH parum praestigiae

Hic articulus optimas consuetudines nostras continet ad efficacius SSH utendum. In eo disces quomodo;

  • Addere alterum factor in SSH login
  • Tutus uti procurator procuret
  • Log ex interpolata sessione SSH
  • Serva adsidua terminatio aperta
  • Participes remoto terminatio sessio cum amico (no Zoom!)

Addere alter factor ad SSH

Alterum factorem authenticationis tuis coniunctionibus SSH quinque modis addere potes:

  1. Renova OpenSSH et utere encryption clavem. Mense Februario 2020, OpenSSH subsidium FIDO U2F (Universalis Secundi Factoris) encryptionis clavium addidit. Magnum hoc novum est, sed caveat: solum clientes et servi qui ad OpenSSH 8.2 renovantur, et altius encryption clavium uti poterunt, cum Februarius renovatio novas clavibus illis typi inducit. Team ssh –V vos can reprehendo cum client versionem SSH et servo versionem cum imperio nc [servername] 22

    Duo nova genera clavium versioni Februario - ecdsa-sk et ed25519-sk additae sunt (una cum testimonialibus respondentibus). Ad clavem limam generandam, encryptionem clavem inserito et mandatum currite:
    $ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

    Claves publicas et privatas generabit et eas cum fabrica tua U2F coniunget. Officium clavis secreti in fabrica U2F est decrypt clavem secreti descriptor in orbe cum encryption clavem reducitur.

    Accedit, ut secundarius factor, passphrasim clavibus tuis praebere potes.

    Clavis residens aliud genus -sk generationis clavis clavis OpenSSH fultum est. Cum hoc accessu, manubrium in U2F fabrica repositum est ac permittit ut clavem encryptionis habere cum opus sit. Potes clavem residentem cum imperio creare:

    $ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk

    Deinde ut manubrium in memoriam de novo artificio remittat, encryption clavem crustulum ac mandatum currite;

    $ ssh-add -K

    Cum connexione ad exercitum, adhuc opus erit encryption movere clavis.

  2. Utere PIV+PKCS11 et Yubikey. Coniunge cum machinis cum prioribus versionibus SSHD utens encryption clavem alium aditum requiret. Yubico ducem habet utendi U2F+SSH cum PIV/PKCS11. Hoc idem non est ac FIDO U2F, et quamvis methodus operatur, multum laboris ad instar magicae impellit.
  3. Applicare consuetudinem yubikey-agente ssh agente. Philippus Valsorda scripsit procuratorem SSH pro Yubikeys. Est omnino nova et minimas lineas continet.
  4. Utere Tange ID et sekey. Sekey fons aperto SSH agentis est, qui claves privatas in clausura Mac tutis reponit et ID Tactus permittit ut accessus ad functiones adhibeatur.
  5. Singulo Signo utere In SSH. Scripsi doceo ut hunc modum instituas adiuva. Una emolumentorum unius signi in SSH facultas est identitatis provisoris securitatis consilia pressionibus tuis - incluso auxilio pro multi-factori authenticas (MFA).

Tutum usum agentis procuret

SHH agens procuret permittit exercitum remotum accedere ad fabricam tuam localem agentis SSH. Cum SSH uteris cum agente transmissione parato (plerumque per ssh -A), duo canales erunt in connexione: session interactiva et canalis procurationis agentis. Per hunc canalem, nervum Unix a tuo locali SSH agente creatum cum hospite remoto coniungit. Hoc periculosum est methodus, quia user cum radice accessus in fabrica longinqua accessum ad locum tuum SSH agenti accedere potuit ac potentia in online impersonare. Vexillum SSH agentis ex ornamento Open SSH utens, hoc evenisse nescies. Habens U2F clavem (vel Sekey) adiuvabit te efficaciter angustos ullis conatibus utere tuo SSH agente ab extra.

Etiam hac cautione utile est ut quam minimum agente procuret. Pro omni sessione uti non debes - agente utere procurando tantum, cum certus es quod ad hodiernam sessionem indigere.

Exitus suspensi sessionis

Interruptionem retis, programmata de potestate se gerentes, vel sequentia evasionis quae initus claviaturae impedit omnes causae possibiles sessionis SSH terminatae sunt.

Plures modi sunt ad finem sessionis suspensi;

  1. Statim exire cum network interrumpitur. Opus addere sequenti tuo .ssh/config:
    ServerAliveInterval 5
ServerAliveCountMax 1

    ssh resonare mittet ad exercitum remotum quemlibet ServerAliveInterval secundis ad nexum reprimendam. Si plus quam ServerAliveCountMax resonat, responsionem non accipiet, ssh nexum tempusque exitumque sessionis habebit.

  2. de Sessione Solve. ssh by default uses the ~ (tilde) character as its control character. Team~. apertum nexum claudit ac te ad terminum redit. (Sequentia evadere potest nisi in novam lineam ingressus.) The ~? integram summam mandatorum in hac sessione promptam ostendet. Nota quaeso quod characterem claviaturarum internationalium typus, bis clavem ~ premere debes.

Cur sessiones gelidae omnino fiunt? Cum in Interreti creatus est, computatores raro de loco ad locum movetur. Cum laptop uteris et retiacula multiplex IPv4 WiFi mutabis, IP oratio tua mutatur. Cum SSH in TCP nexus nititur, qui rursus in termino cum stabili IP inscriptione nituntur, quotiens inter retiacula transies, nexus SSH nervum manubrium tuum fallunt et se efficaciter amiserunt. Quando IP oratio tua mutatur, tempus accipit pro retis tuis acervum ad damnum manubrium deprehendendum. Cum problemata retis acciderunt, nolumus unum e nodi in TCP connexione, ut nimis mature terminetur. Ideo protocollum pluries antequam tandem omissum notitias resendere conabitur. Interim in termino tuo sessio concreta apparebit. IPv6 addit varias notas mobilitatis relatas quae fabricam suam domi electronicam conservandi dum retiacula mutando permittunt. Forsan una dies haec quaestio non erit.

Quam servare perseverantem in aperta terminatio remota hospes?

Duae sunt diversae rationes ad tuam connexionem servandam cum inter retia diversa movens vel aliquandiu disiungo cupiens.

1. Abutendumque mosh aut Aeterna Terminal

Si vere postulo nexum qui non excidit vel cum vertas inter retiacula, utere testam mobilem Mosh. Haec testudo secura est quae primum handshake SSH utitur et deinde ad suum canalem encryptatum pro duratione sessionis permutat. Haec est quomodo Mosh separatum, valde durabilem et securum canalem facit qui interpellationibus interretialibus resistere potest, mutationem in IP inscriptionis tuae laptop, retiacula gravia outages, et multo magis, et haec omnia gratiarum magicarum coniunctionum UDP, tum ut Moses synchronisation protocollum.

Mosh utere debebis ut eam in cliente et servo instituas, et portus apertos 60000-61000 pro negotiatione UPD non connexa hospiti tuo remoto. In posterum coniungere satis erit uti mosh user@server.

Mosh operatur in plano tegumenta et clavium, quae ei complura commoda dat super mittens flumen binarium vexillum initus et output inter clientem et servitorem SSH. Si tantum opus est ad screens sync et keystros, tum nexum fractum restituens multo facilius fit. Dum SSH opponet et mittet omnia quae contigerunt, Mosh tantum opus est ut keystrokes opponat et componat ultimam machinam fenestrae terminalis cum cliente.

2. usus tmux

Si vis "venire et ire ut lubet" et serva terminalem sessionem in remoto exercitu, utere terminatio multiplexer tmux. Amo tmux et uti omni tempore. Si nexus SSH tuus interrumpitur, tunc ad sessionem tuam tmux redire debes modo reconnect et intrare tmux attach. Praeterea tam mirabiles lineas habet ut tabs intra- terminales et tabulas, similes tabs in iOS terminalibus, et facultatem terminales cum aliis communicandi.

Nonnulli volunt suam tmux cum Byobu exspuere, involucrum quod usability tmux valde melioratur et multum claviaturae ei addit. Byobu fasciculus cum Ubuntu venit et facile est in Mac via Homebrew instituere.

Socius remoto termino sessio amicum

Aliquando, cum debugging problemata implicata tuis servientibus, sessionem SSH cum aliquo communicare velis, qui non est in eodem cubiculo. tmux ad hoc opus per- est! Is paucos gradus tantum accipit;

  1. Fac tmux in fundamento nodi inauguratus est, aut cum aliquo servo es facturus.
  2. Utrumque opus erit ut SSH in fabrica eadem ratione utentes.
  3. Una ex vobis debet currere tmux ut a tmux incipiatur sessione.
  4. Alter debet currere tmux attach
  5. Voila! Terminatio communis habes.

Si vis urbanus multi-user sessiones tmux, tenta tmatum, furca tmux quae sessiones terminales communicatas multo faciliores facit.

Source: www.habr.com

Add a comment