ProHoster > Блог > Maamulka > Xeelado yar oo SSH ah

Xeelado yar oo SSH ah

Maqaalkani waxa uu ka kooban yahay dhaqamadayada ugu wanaagsan ee isticmaalka SSH si wax ku ool ah. Halkaas waxaad ku baran doontaa sida loo:

  • Ku dar qodobka labaad gelitaanka SSH
  • Si badbaado leh u isticmaal gudbinta wakiilka
  • Ka bax fadhiga SSH ee hakad galay
  • Terminal joogto ah ha furo
  • La wadaag fadhi meel fog fog saaxiib (soo-dhowayn!)

Ku darista arrin labaad SSH kaaga

Waxaad ku dari kartaa qodobka labaad ee xaqiijinta xidhiidhadaada SSH shan siyaabood oo kala duwan:

  1. Cusbooneysii OpenSSH kaaga oo isticmaal furaha sirta Bishii Febraayo 2020, OpenSSH waxay ku dartay taageerada FIDO U2F (Factor Second Universal) furayaasha sirta ah. Tani waa muuqaal cusub oo weyn, laakiin waxaa jira digniin: kaliya kuwa macaamiisha ah iyo server-yada loo cusboonaysiiyay OpenSSH 8.2 iyo wixii ka sareeya ayaa awoodi doona inay isticmaalaan furayaasha sirta ah, maadaama cusbooneysiinta Febraayo ay soo bandhigtay noocyo cusub oo muhiim ah iyaga. Kooxda ssh –V waxaad ku hubin kartaa nooca macmiilka ee SSH iyo nooca serverka amarka nc [servername] 22

    Laba nooc oo cusub oo furayaal ah ayaa lagu daray nooca Febraayo - ecdsa-sk iyo ed25519-sk (oo ay la socdaan shahaadooyinka u dhigma). Si aad u abuurto faylka muhiimka ah, kaliya geli furahaaga sirta oo socodsii amarka:
    $ ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

    Waxay soo saari doontaa furayaasha guud iyo kuwa gaarka ah waxayna ku xidhi doontaa qalabkaaga U2F. Shaqada furaha sirta ah ee aaladda U2F waa in la furfuro sharraxaha furaha sirta ah ee diskka marka furaha sirta ah la furo.

    Intaa waxaa dheer, qodob labaad ahaan, waxaad siin kartaa erayga sirta ah furayaashaada.

    Furaha degane waa nooc kale oo -sk jiilka muhiimka ah oo ay taageerto OpenSSH. Habkan, gacanku wuxuu ku kaydsan yahay qalabka U2F wuxuuna kuu ogolaanayaa inaad ku haysato furaha sirta ah marka loo baahdo. Waxaad samayn kartaa furaha deganaanshaha amarka:

    $ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk

    Kadib, si aad gacanta ugu soo celiso xusuusta aaladda cusub, ku dheji furaha sirta oo socodsii amarka:

    $ ssh-add -K

    Markaad ku xidhidhiyaha martigeliyaha, waxaad wali u baahan doontaa inaad dhaqaajiso furaha sirta ah.

  2. Isticmaal PIV+PKCS11 iyo Yubikey. Ku xidhida aaladaha leh noocyadii hore ee SSHD iyadoo la adeegsanayo fure sireed waxay u baahan doontaa hab ka duwan. Yubico waxay haysaa hage ku saabsan adeegsiga U2F+SSH oo wata PIV/PKCS11. Tani ma aha mid la mid ah FIDO U2F, iyo in kasta oo habku shaqeeyo, waxay qaadataa shaqo badan si loo ogaado waxa sixirku wado.
  3. Codso wakiilka ssh wakiilka yubikey. Filippo Valsorda ayaa u qoray wakiilka SSH ee Yubikeys. Gebi ahaanba waa cusub waxayna ka kooban tahay astaamo aad u yar.
  4. Isticmaal ID Touch iyo sekey. Sekey waa wakiil SSH ah oo furan kaas oo ku kaydiya furayaasha gaarka ah meel aamin ah oo ku taal Mac oo u oggolaanaya Aqoonsiga Touch in loo isticmaalo helitaanka shaqeynta.
  5. Isticmaal hal calaamad oo SSH ah. Waxaan qoray cashar si uu kaaga caawiyo dejinta habkan. Mid ka mid ah faa'iidooyinka hal calaamad oo SSH ah ayaa ah awoodda aad uga faa'iidaysan karto siyaasadaha amniga bixiyaha aqoonsiga - oo ay ku jirto taageerada xaqiijinta arrimo badan (MFA).

Isticmaalka badbaadsan ee gudbinta wakiilka

Soo gudbinta wakiilka SHH waxay u ogolaataa martigeliyaha fog inuu galo wakiilka SSH ee qalabkaaga deegaanka. Markaad isticmaasho SSH oo leh wakiilka gudbinta oo karti leh (badanaa iyada oo loo marayo ssh-A), waxaa jiri doona laba kanaal oo ku saabsan xiriirka: fadhigaaga isdhexgalka iyo kanaalka gudbinta wakiilka. Kanaalkan, godka Unix ee uu sameeyay wakiilka SSH ee deegaankaagu waxa uu ku xidhaa martigeliyaha fog. Kani waa hab khatar ah sababtoo ah isticmaale xididka ka geli kara aaladda fog waxa uu heli karaa wakiilka SSH ee deegaankaaga oo waxa laga yaabaa inuu internetka kugu matalo. Isticmaalka wakiilka caadiga ah ee SSH ee xirmada Furan ee SSH, xitaa ma ogaan doontid in tani dhacday. Haysashada furaha U2F (ama Sekey) waxay kaa caawin doontaa inaad si wax ku ool ah u xannibto isku day kasta oo aad wakiilka SSH dibadda uga adeegsanayso.

Xataa taxaddaraan, waa fikrad wanaagsan in la isticmaalo gudbinta wakiilka sida ugu yar ee suurtogalka ah. Waa inaadan u isticmaalin fadhi kasta - isticmaal gudbinta wakiilka kaliya marka aad hubiso in loo baahan yahay fadhiga hadda.

Ka bixida fadhiga sudhan

Kala go'a shabakada, barnaamijyada u dhaqmaya xakamaynta, ama isku xigxiga baxsadka ee xannibaya gelinta kiiboodhka ayaa ah sababaha suurtogalka ah ee fadhiga SSH la joojiyo.

Waxaa jira dhowr siyaabood oo lagu dhammeeyo fadhiga sudhan:

  1. Si toos ah uga bax marka shabakadu go'do. Waxaad u baahan tahay inaad ku darto kuwa soo socda .ssh/config:
    ServerAliveInterval 5
ServerAliveCountMax 1

    ssh waxay u soo diri doontaa echo martigeliyaha fog ee sekan kasta ServerAliveInterval si loo hubiyo xidhiidhka. Haddii wax ka badan dhawaaqa ServerAliveCountMax aysan helin jawaab, ssh ayaa waqti ka bixin doona isku xirka oo ka bixi doona fadhiga.

  2. Ka bax fadhiga ssh sida caadiga ah waxay isticmaashaa ~ (tilde) dabeecad ahaan sida dabeecadeeda. Kooxda ~. xidhaya xidhiidhka furan oo kugu soo celinaya terminalka. (Txanaha baxsadka waxaa lagu geli karaa oo keliya khad cusub.) The ~? waxay soo bandhigi doontaa liis dhamaystiran oo amarro ah oo laga heli karo fadhigan. Fadlan ogow in si aad u qorto ~ xarfaha kiiboodhka caalamiga ah, waxaa laga yaabaa inaad u baahato inaad riixdo furaha laba jeer.

Waa maxay sababta fadhiyada la qaboojiyey gabi ahaanba u dhacaan? Markii internetka la abuuray, kombuyuutarku dhif bay u dhaqaaqi jireen meel ilaa meel. Markaad isticmaasho laptops oo aad u kala beddesho shabakado badan oo IPV4 WiFi ah, ciwaanka IP-gaagu wuu isbedelaa. Maadaama SSH ay ku tiirsan tahay isku xirka TCP, taas oo iyaduna ku tiirsan barta ugu dambeysa oo leh ciwaanka IP-ga deggan, mar kasta oo aad kala beddesho shabakadaha, isku xirka SSH ayaa seegaya gacanta godka oo si wax ku ool ah ayaa naftooda u lumaya. Marka ciwaanka IP-gaagu is beddelo, waxay qaadanaysaa wakhti in shabakadaadu xidhmaan si loo ogaado luminta gacanta. Marka mashaakilaadka shabakadu dhacaan, ma rabno mid ka mid ah qanjidhada xidhiidhka TCP inuu joojiyo goor hore. Sidaa darteed, hab-maamuusku wuxuu isku dayi doonaa inuu dib u diro xogta dhowr jeer ka hor inta uusan ugu dambeyntii quusan. Dhanka kale, terminaalkaaga fadhigu wuxuu u muuqan doonaa mid barafoobay. IPV6 waxay ku darsataa dhowr astaamood oo dhaqdhaqaaqa la xiriira kuwaas oo u oggolaanaya aaladda inuu ilaaliyo ciwaanka guriga marka uu beddelayo shabakadaha. Waxaa laga yaabaa in maalin uun tani aysan noqon doonin dhibaato noocaas ah.

Sida loo ilaaliyo terminaalka joogtada ah ee ku furan martigeliyaha fog

Waxaa jira laba hab oo kala duwan oo loo wajaho sida loo ilaaliyo xidhiidhkaaga markaad u dhexeyso shabakado kala duwan ama aad rabto inaad ka jarto in muddo ah.

1. Ka faa'iidayso Mosh ama Terminalka weligeed ah

Haddii aad runtii u baahan tahay xiriir aan go'in xitaa marka aad isku beddesho shabakadaha, isticmaal mosh mobile shell. Kani waa qolof sugan oo marka hore adeegsata gacan-qaadka SSH ka dibna u wareegaya kanaalkiisa sir ah inta uu casharku socdo. Tani waa sida Mosh u abuurayo kanaal gaar ah, aad u adkeysi leh oo ammaan ah oo u adkeysan kara go'doominta Internetka, isbeddel ku yimaada cinwaanka IP-ga ee laptop-kaaga, shabakad halis ah oo go'an, iyo wax badan oo kale, dhammaan waxaas oo dhan waxaa mahad leh sixirka isku xirka UDP, sidoo kale. sida Mosh the synchronization protocol.

Si aad u isticmaasho Mosh waxaad u baahan doontaa inaad ku rakibto macmiilka iyo server-ka labadaba, oo aad furto dekedaha 60000-61000 ee taraafikada UPD ee aan ku xidhnayn martigeliyahaaga fog. Mustaqbalka, in la isku xiro waxay ku filnaan doontaa in la isticmaalo mosh user@server.

Mosh wuxuu ku shaqeeyaa heerka shaashadaha iyo furayaasha furaha, taas oo siinaysa tiro faa'iidooyin ah marka loo eego dirista qulqulka binary ee wax-soo-saarka caadiga ah ee u dhexeeya macmiilka iyo server-ka SSH. Haddii aan kaliya u baahanahay inaan isku dhejino shaashadaha iyo furayaasha furaha, ka dib soo celinta xiriirka go'ay hadhow waxay noqoneysaa mid sahlan. Halka SSH ay ilaalin doonto oo ay diri doonto wax kasta oo dhacay, Mosh waxa uu u baahan yahay oo kaliya in uu xidho furayaasha furaha oo uu la mideeyo qaabka ugu dambeeya ee daaqada terminalka iyo macmiilka.

2. Isticmaal tmux

Haddii aad rabto in aad "kaalay oo u bax sidaad doonto" oo aad joogtayso fadhi terminal martigeliyaha fog, isticmaal terminal multiplexer tmux. Waxaan jeclahay tmux oo aan isticmaalo mar walba. Haddii xidhiidhkaaga SSH uu go'o, ka dib si aad ugu soo laabato fadhigaaga tmux waxa kaliya oo aad u baahan tahay inaad dib u xidho oo aad gasho tmux attach. Intaa waxaa dheer, waxay leedahay sifooyin cajiib ah sida tabs-intra-terminal iyo panels, oo la mid ah tabsyada ku jira terminaalka iOS, iyo awoodda ay kula wadaagto terminaalka kuwa kale.

Dadka qaarkiis waxay jecel yihiin inay tmux-kooda ku soo kordhiyaan Byobu, xidhmo si weyn u wanaajinaya isticmaalka tmux oo ku kordhiya fur-gaabyo badan oo kiiboodhka ah. Byobu waxa ay la socotaa Ubuntu wayna fududahay in lagu rakibo Mac iyada oo loo sii marayo Homebrew.

Wadaagista fadhi meel fog ka fog saaxiib

Mararka qaarkood, marka aad ciribtirka dhibaatooyinka adag ee server-yadaada, waxaa laga yaabaa inaad rabto inaad la wadaagto fadhiga SSH qof aan isku qol ku jirin. tmux ayaa ku habboon hawshan! Waxay qaadataa dhowr tillaabo:

  1. Hubi in tmux uu ku rakiban yahay noodhkaaga bastion, ama server kasta oo aad la shaqaynayso.
  2. Labadiinaba waxaad u baahan doontaan inaad SSH ku gelisaan aaladda adigoo isticmaalaya koonto isku mid ah.
  3. Midkiin waa inuu ordayaa tmux si uu u bilaabo fadhiga tmux.
  4. Midka kale waa inuu ku shaqeeyaa tmux attach
  5. Voila! Waxaad leedahay terminal la wadaago

Haddii aad rabto kalfadhiyo tmux-ga isticmaala badan oo casri ah, isku day tmate, fargeeto tmux ah kaas oo ka dhigaya fadhiyada terminalka la wadaago mid aad u fudud.

Source: www.habr.com

Add a comment