This is Gentoo's testing wiki. It is a non-operational environment and its textual content is outdated.

Please visit our production wiki at https://wiki.gentoo.org

SSH

From Gentoo Wiki (test)
Jump to:navigation Jump to:search
This page is a translated version of the page SSH and the translation is 88% complete.
Other languages:
Resources

SSH (Secure SHell, безопасная оболочка) — это программа терминала, использующая шифрование, которая заменяет классическую программу telnet в Unix-подобных операционных системах.

В дополнение к удаленному терминальному доступу, предоставляемому основной программой ssh, в SSH был разработан набор программ, включающий в себя scp (Secure Copy Program, безопасное копирование) и sftp (Secure File Transfer Protocol, безопасный протокол передачи файлов).

Изначально SSH была не свободной программой. Однако сегодня самой популярной и де-факто стандартной версией SSH является реализация OpenSSH из операционной системы OpenBSD. Именно данная версия предустановлена на Gentoo.

Установка

Проверка установки

В большинстве развертываний Gentoo Linux пакет OpenSSH уже установлен в системе. Это можно проверить с помощью запуска команды ssh. Если пакет установлен, то будет отображена справка по использованию:

user $ssh
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-E log_file] [-e escape_char]
           [-F configfile] [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport] [-l login_name] [-m mac_spec]
           [-O ctl_cmd] [-o option] [-p port]
           [-Q cipher | cipher-auth | mac | kex | key]
           [-R [bind_address:]port:host:hostport] [-S ctl_path] [-W host:port]
           [-w local_tun[:remote_tun]] [user@]hostname [command]

Если справка не будет отображена, то ssh либо испорчен, либо не установлен. Также возможно, что пользователь просто захочет пересобрать OpenSSH с новым набором USE-флагов. В любом случае, продолжим с обзора доступных USE.

USE-флаги

USE flags for net-misc/openssh Port of OpenBSD's free SSH release

audit Enable support for Linux audit subsystem using sys-process/audit
debug Enable extra debug codepaths, like asserts and extra output. If you want to get meaningful backtraces see https://wiki.gentoo.org/wiki/Project:Quality_Assurance/Backtraces
kerberos Add kerberos support
ldns Use LDNS for DNSSEC/SSHFP validation.
libedit Use the libedit library (replacement for readline)
livecd Enable root password logins for live-cd environment.
pam Add support for PAM (Pluggable Authentication Modules) - DANGEROUS to arbitrarily flip
pie Build programs as Position Independent Executables (a security hardening technique)
security-key Include builtin U2F/FIDO support
selinux  !!internal use only!! Security Enhanced Linux support, this must be set by the selinux profile or breakage will occur
ssl Enable additional crypto algorithms via OpenSSL
static  !!do not set this during bootstrap!! Causes binaries to be statically linked instead of dynamically
test Enable dependencies and/or preparations necessary to run tests (usually controlled by FEATURES=test but can be toggled independently)
verify-sig Verify upstream signatures on distfiles
xmss Enable XMSS post-quantum authentication algorithm
Data provided by the Gentoo Package Database · Last update: 2024-05-17 14:53 More information about USE flags

Emerge

После включения нужных USE-флагов не забудьте установить (или пересобрать) OpenSSH:

root #emerge --ask --changed-use net-misc/openssh

Конфигурация

Создание ключей

Работа безопасной оболочки в SSH основана на использовании криптографических ключей, применяемых для шифрования, дешифрования и хэширования.

Системные ключи генерируются при первом запуске службы SSH. Ключи можно сгенерировать заново с помощью команды ssh-keygen.

Чтобы сгенерировать ключ, который будет использоваться для протокола SSH версии 2 (алгоритмы DSA И RSA):

root #/usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""
root #/usr/bin/ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""

The article Secure Secure Shell suggests using Ed25519 and RSA public key algorithms with:

root #/usr/bin/ssh-keygen -t ed25519 -a 100 -f /etc/ssh/ssh_host_dsa_key -N ""
root #/usr/bin/ssh-keygen -t rsa -b 4096 -o -a 100 -f /etc/ssh/ssh_host_rsa_key -N ""

Настройка сервера

Настройки сервера SSH обычно хранятся в файле /etc/ssh/sshd_config, хотя возможно провести дополнительную настройку в файле OpenRC /etc/conf.d/sshd, включая изменение местоположения конфигурационного файла. Для более детальной информации о том, как настроить сервер, смотрите man-страницу sshd_config.

Вы также можете изучить Руководство OpenSSH Свена для настройки, ориентированной на безопасность.

Настройка клиента

Клиент ssh и относящиеся к нему программы (scp, sftp и другие) настраиваются в следующих файлах:

  • ~/.ssh/config
  • /etc/ssh/ssh_config

Для более детальной информации прочтите документацию для ssh_config.

user $man ssh_config

Беспарольная аутентификация

Полезна для работы с git-сервером.

Клиент

На стороне клиента запустите следующую команду:

user $ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/larry/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/larry/.ssh/id_rsa.
Your public key has been saved in /home/larry/.ssh/id_rsa.pub.
The key fingerprint is:
de:ad:be:ef:15:g0:0d:13:37:15:ad:cc:dd:ee:ff:61 larry@client
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|     .           |
| . .. n   .      |
|   . (: . .      |
|  o   . . : .    |
| . ..: >.) .     |
|  * ?. .         |
| o.. .. ..       |
| :. .  ! .       |
+-----------------+

Сервер

Проверьте, что аккаунт пользователя существует на сервере, затем поместите содержимое клиентского файла id_rsa.pub в файл ~/.ssh/authorized_keys, расположенный в домашнем каталоге пользователя.

user $ssh-copy-id <server>
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/larry/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
larry@<server>'s password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '<server>'"
and check to make sure that only the key(s) you wanted were added.

Afterwards a passwordless login should be possible doing

user $ssh <server>
larry@<server>

Then on the server, the file /etc/ssh/sshd_config should be set to PasswordAuthentication no.

Проверка на одной машине

Вышеописанную процедуру можно протестировать локально:

user $ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/larry/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
...
user $mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
user $ssh localhost

Предотвращение вторжений

SSH — это служба, которая часто подвергается атаке. Некоторые инструменты (например, sshguard и fail2ban) отслеживают логи и заносят в чёрный список удаленных пользователей после нескольких неудачных попыток войти в систему. Использование подобных программ необходимо для укрепления защиты систем, подвергающихся частым атакам.

Использование

Сервисы

OpenRC

Добавьте OpenSSH демон в уровень запуска default:

root #rc-update add sshd default

Запустим службу sshd с помощью команды:

root #rc-service sshd start

Сервером OpenSSH можно управлять, как и любой другой OpenRC-управляемой службой:

root #rc-service sshd start
root #rc-service sshd stop
root #rc-service sshd restart
Заметка
Активные SSH подключения к серверу не обрываются при вводе команды rc-service sshd restart.

Systemd

Для того чтобы демон OpenSSH загружался при запуске системы:

root #systemctl enable sshd.service
Created symlink from /etc/systemd/system/multi-user.target.wants/sshd.service to /usr/lib64/systemd/system/sshd.service.

Для запуска OpenSSH демона:

root #systemctl start sshd.service

Для проверки работает ли сервис:

root #systemctl status sshd.service

Escape sequences

During an active SSH session, pressing the tilde (~) key starts an escape sequence. Enter the following for a list of options:

ssh>~?

Устранение проблем

Существует 3 различных уровня отладки. Параметр -v заставляет ssh выводить отладочные сообщения о своей работе. Это полезно при отладке соединения, проблемах аутентификации и настройки. Несколько параметров -v увеличивают подробность сообщений. Максимальный уровень подробности равен трём.

user $ssh example.org -v
user $ssh example.org -vv
user $ssh example.org -vvv

Обрыв долгоживущих соединений

Многие устройства доступа к Интернету выполняют преобразование сетевых адресов (NAT). Это процесс, который позволяет устройствам из частной сети, которая обычно находится дома или на работе, получить доступ к другим сетям (например, к Интернету) не смотря на то, что для этой сети выделен только один IP-адрес. К сожалению, не все NAT-устройства одинаково устроены, и некоторые из них могут обрывать долгоживущие TCP-соединения, в том числе, используемые в SSH. Обычно это обнаруживается при внезапной потере возможности взаимодействия с удаленным сервером, хотя сама программа ssh свою работу не прекращала.

Чтобы решить данную проблему, можно настроить клиенты и сервера OpenSSH таким образом, чтобы они посылали незаметные сообщения «keep alive», нацеленные на поддержку и подтверждение использования соединения:

  • Чтобы включить поддержку keep alive для всех клиентов подключающихся к вашему локальному серверу установите в файле /etc/ssh/sshd_config параметр ClientAliveInterval 30 (или другое значение в секундах).
  • Чтобы включить поддержку keep alive для всех серверов подключенных к вашему локальному клиенту, установите в файле /etc/ssh/ssh_config параметр ServerAliveInterval 30 (или другое значение в секундах).

Проброс X11, но нет никакого проброса или туннелирования

Проблема: После того, как вы сделали необходимые изменения в файлах конфигурации, чтобы разрешить проброс X11, вы обнаруживаете, что приложения X запускаются на сервере, а не передаются клиенту.

Решение: Что скорее всего, в процессе входа через SSH на удаленный сервер или узел переменная DISPLAY либо сбрасывается, либо устанавливается после того, как её установит сеанс SSH.

Чтобы проверить этот вариант, послу удаленного входа выполните следующее:

user $echo $DISPLAY
localhost:10.0

Должно вывестись что-то типа localhost:10.0 или localhost2.local:10.0 (если на стороне сервера включён параметр X11UseLocalhost no). Если обычное «:0.0» не выводится, проверьте, что переменная DISPLAY не сбрасывается или не переинициализируется в файле $HOME/.bash_profile. Если это так, то удалите или закомментируйте инициализацию переменной DISPLAY, чтобы не дать командам в ~/.bash_profile выполниться в процессе входа SSH:

user $ssh -t larry@localhost2 bash --noprofile

Не забудьте заменить larry в команде на подходящее имя пользователя.

Ещё одно решение — создать алиас в файле ~/.bashrc.

Смотрите также

  • защита SSH сервиса в настольной книги Gentoo по безопасности
  • Руководство Gentoo Linux Keychain
  • autossh — обнаруживает обрыв SSH-соединения и автоматически переподключается.
  • SCP — программа для безопасного копирования, поставляемая вместе с набором программ SSH.
  • SFTP — клиент протокола безопасной передачи файлов, поставляемый вместе с набором программ SSH.
  • SSHFS — клиент для монтирования FUSE-разделов по SSH.

Внешние ресурсы

Retrieved from "https://wikitest.gentoo.org/index.php?title=SSH/ru&oldid=736928"