SSH/ru

SSH (Secure SHell, безопасная оболочка) — это программа терминала, использующая шифрование, которая заменяет классическую программу telnet в Unix-подобных операционных системах.

SSH (Secure SHell) is Article description::the ubiquitous tool for logging into and working on remote machines securely. All sensitive information is strongly encrypted, and in addition to the remote shell, SSH supports file transfer, and port forwarding for arbitrary protocols, allowing secure access to remote services. It replaces the classic telnet, rlogin, and similar non-secure tools - but SSH is not just a remote shell, it is a complete environment for working with remote systems.

В дополнение к удаленному терминальному доступу, предоставляемому основной программой, в SSH был разработан набор программ, включающий в себя (Secure Copy Program, безопасное копирование) и  (Secure File Transfer Protocol, безопасный протокол передачи файлов).

Изначально SSH была не свободной программой. Однако сегодня самой популярной и де-факто стандартной версией SSH является реализация OpenSSH из операционной системы OpenBSD. Именно данная версия предустановлена на Gentoo.

SSH is multi-platform, and is very widely used: OpenSSH is installed by default on most Unix-like OSs, on Windows10, on MacOS, and can be installed on Android or "jailbroken" iOS (SSH clients are available). This makes SSH a great tool for working with heterogeneous systems.

Проверка установки
В большинстве развертываний Gentoo Linux пакет OpenSSH уже установлен в системе. Это можно проверить с помощью запуска команды. Если пакет установлен, то будет отображена справка по использованию:

Если справка не будет отображена, то либо испорчен, либо не установлен. Также возможно, что пользователь просто захочет пересобрать OpenSSH с новым набором USE-флагов. В любом случае, продолжим с обзора доступных USE.

If this does not try to install OpenSSH, the package may have been, or even listed in , though this would be unusual.

Emerge
После включения нужных USE-флагов не забудьте установить (или пересобрать) OpenSSH:

After changing any global USE flags in that affect the OpenSSH package, emerge world to update to the new USE flags:

Создание ключей
Работа безопасной оболочки в SSH основана на использовании криптографических ключей, применяемых для шифрования, дешифрования и хэширования.

Системные ключи генерируются при первом запуске службы SSH. Ключи можно сгенерировать заново с помощью команды.

Чтобы сгенерировать ключ, который будет использоваться для протокола SSH версии 2 (алгоритмы DSA И RSA):

Статья Secure Secure Shell предлагает использование алгоритмов для публичных ключей Ed25519 и RSA с:

Настройка сервера
Настройки сервера SSH обычно хранятся в файле, хотя возможно провести дополнительную настройку в файле OpenRC , включая изменение местоположения конфигурационного файла. Для более детальной информации о том, как настроить сервер, смотрите man-страницу sshd_config.

The server provides means to validate its configuration using test mode:

Настройка клиента
Клиент и относящиеся к нему программы (,  и другие) настраиваются в следующих файлах:



Для более детальной информации прочтите документацию для.

Предотвращение вторжений
SSH — это служба, которая часто подвергается атаке. Некоторые инструменты (например, sshguard и fail2ban) отслеживают логи и заносят в чёрный список удаленных пользователей после нескольких неудачных попыток войти в систему. Использование подобных программ необходимо для укрепления защиты систем, подвергающихся частым атакам.

Сервисы
Commands to run the SSH server will depend on active init system.

OpenRC
Добавьте OpenSSH демон в уровень запуска default:

Запустим службу sshd с помощью команды:

Сервером OpenSSH можно управлять, как и любой другой OpenRC-управляемой службой:

systemd
Для того чтобы демон OpenSSH загружался при запуске системы:

Для запуска OpenSSH демона:

Для проверки работает ли сервис:

Команды
OpenSSH provides several commands, see each command's for usage information:


 * - secure file copy
 * - secure file transfer
 * - add private key identities to the authentication agent
 * - authentication agent
 * - use locally available keys to authorize logins on a remote machine
 * - authentication key utility
 * - gather SSH public keys from servers
 * - OpenSSH daemon

Управляющие последовательности
В процессе сессии SSH, нажатие кнопки "тильда" начинает управляющую последовательность. Введите следующее для списка опций:

Note that escapes are only recognized immediately after a newline. They may not always work with some shells, such as.

Подключение к удалённому серверу SSH
Полезна для работы с git-сервером.

Клиент
На стороне клиента, если это ещё не сделано, создайте пару ключей. Это можно сделать, запустив следующую команду (конечно, не вводя парольной фразы):

Сервер
Проверьте, что аккаунт пользователя существует на сервере, затем поместите содержимое клиентского файла в файл, расположенный в домашнем каталоге пользователя. Это можно сделать, запустив следующую команду на компьютере-клиенте (тут необходимо ввести пароль пользователя):

После этого должен быть возможен вход без пароля:

После этого на сервере в файле должно быть.

Проверка на одной машине
Вышеописанную процедуру можно протестировать локально:

Remote services over ssh
SSH may be used to access remote services, such as HTTP, HTTPS, fileshares, etc., through an encrypted "tunnel". Remote service access is detailed in the and  articles.

Copying files to a remote host
The command, a part of SSH, uses the SSH File Transfer Protocol to copy files to a remote host. is also an alternative for this.

ssh-agent
OpenSSH comes with, a daemon to cache and prevent from frequent ssh password entries. When run, the environment variable SSH_AUTH_SOCK is used to point to ssh-agent's communication socket. The normal way to setup is to run it as the top most process of the user's session. Otherwise the environment variables will not be visible inside the session.

Depending on the way the graphical user session is configured to launch, it can be tricky to find a suitable way to launch. As an example for the display manager, you may edit and change  from

into

To tell the password once per session, either run   manually or make use of the   option.

Recent will start  (and ) automatically. If both are installed both will be started which makes identity management especially with SmartCards more complicated. Either stop XFCE from autostarting at least SSH's agent or disable both and use your shell, X-session or similar.

Terminal multiplexers to preserve sessions
It is possible to use a to resume a session after a dropped connection. and are two popular multiplexers that can be used to be able to reconnect to a session, even if a command was running when the connection dropped out.

SSH over intermittent connections
When on unstable Internet connections, or when roaming between networks (such as when moving wifi networks), can help avoid dropping SSH sessions.

Open new tabs for session with Kitty terminal
By using the SSH kitten for the terminal emulator, it is possible to open new "tabs", or windows, on the current SSH session without having log in again.

Kitty also provides other practical SSH functionality.

Устранение проблем
Существует 3 различных уровня отладки. Параметр  заставляет ssh выводить отладочные сообщения о своей работе. Это полезно при отладке соединения, проблемах аутентификации и настройки. Несколько параметров  увеличивают подробность сообщений. Максимальный уровень подробности равен трём.

Permissions are too open
An ssh connection will only work if the file permissions of the directory and contents are correct.
 * The directory permissions should be 700 (drwx--), i.e. the owner has full access and no one else has any access.
 * Under :
 * public key files' permissions should be 644 (-rw-r--r--), i.e. anyone may read the file, only the owner can write.
 * all other files' permissions should be 600 (-rw---), i.e. only the owner may read or write the file.

These permissions need to be correct on the client and server.

Обрыв долгоживущих соединений
Многие устройства доступа к Интернету выполняют преобразование сетевых адресов (NAT). Это процесс, который позволяет устройствам из частной сети, которая обычно находится дома или на работе, получить доступ к другим сетям (например, к Интернету) не смотря на то, что для этой сети выделен только один IP-адрес. К сожалению, не все NAT-устройства одинаково устроены, и некоторые из них могут обрывать долгоживущие TCP-соединения, в том числе, используемые в SSH. Обычно это обнаруживается при внезапной потере возможности взаимодействия с удаленным сервером, хотя сама программа свою работу не прекращала.

Чтобы решить данную проблему, можно настроить клиенты и сервера OpenSSH таким образом, чтобы они посылали незаметные сообщения «keep alive», нацеленные на поддержку и подтверждение использования соединения:


 * Чтобы включить поддержку keep alive для всех клиентов подключающихся к вашему локальному серверу установите в файле параметр   (или другое значение в секундах).
 * Чтобы включить поддержку keep alive для всех серверов подключенных к вашему локальному клиенту, установите в файле параметр   (или другое значение в секундах).

For example, to modify the server's configuration:

To modify the client's configuration:

New key does not get used
This scenario covers the case when a key to access a remote system has been created, the public key installed on the remote system, but the remote system is (for some reason) not accessible via ssh. This can happen if the name of the keyfile is not known to ssh.

Confirm which key files ssh is trying by running it with one of the verbose options, as described at the start of the. The verbose output will include the names of the keyfiles it is trying, and the one (if any) that actually gets used.

The default key files for the system are listed in the, see the commented-out lines containing  directives.

There are several ways to use a key with a non-default name.

The key name can be specified on the command line every time:

Alternatively, modify the ssh configuration to add a special case for ssh to the remote system:

If any are specified, it appears to be necessary to specify all the desired keys on a remote host. Read up on the ssh IdentityFile.

Проброс X11, но нет никакого проброса или туннелирования
Проблема: После того, как вы сделали необходимые изменения в файлах конфигурации, чтобы разрешить проброс X11, вы обнаруживаете, что приложения X запускаются на сервере, а не передаются клиенту.

Решение: Что скорее всего, в процессе входа через SSH на удаленный сервер или узел переменная DISPLAY либо сбрасывается, либо устанавливается после того, как её установит сеанс SSH.

Чтобы проверить этот вариант, послу удаленного входа выполните следующее:

Должно вывестись что-то похожее на  или   (если на стороне сервера включён параметр  ). Если обычное «:0.0» не выводится, проверьте, что переменная DISPLAY не сбрасывается или не переинициализируется в файле. Если это так, то удалите или закомментируйте инициализацию переменной DISPLAY, чтобы не дать командам в выполниться в процессе входа SSH:

Не забудьте заменить  в команде на подходящее имя пользователя.

Ещё одно решение — создать алиас в файле.

Смотрите также

 * Защита SSH сервиса (Руководство Gentoo по безопасности)
 * Руководство Gentoo — Установка — Запуск демона SSH
 * User:Sakaki/Sakaki%27s_EFI_Install_Guide/Setting_Up_Networking_and_Connecting_via_ssh
 * Руководство Gentoo — Установка — Запуск демона SSH
 * User:Sakaki/Sakaki%27s_EFI_Install_Guide/Setting_Up_Networking_and_Connecting_via_ssh
 * Руководство Gentoo — Установка — Запуск демона SSH
 * User:Sakaki/Sakaki%27s_EFI_Install_Guide/Setting_Up_Networking_and_Connecting_via_ssh
 * User:Sakaki/Sakaki%27s_EFI_Install_Guide/Setting_Up_Networking_and_Connecting_via_ssh

Внешние ресурсы

 * — SSH Proxy Command -- connect.c
 * https://lonesysadmin.net/2011/11/08/ssh-escape-sequences-aka-kill-dead-ssh-sessions/amp/ - A blog entry on escape sequences.
 * https://hackaday.com/2017/10/18/practical-public-key-cryptography/ - Practical public key cryptography (Hackaday).