🙋🏼 ♨️ 🕧 5つのSSHのトリックとトリックなど 🚴🏾 ✈️ 💨

この記事では、SSHを使用する際の便利なトリックとコマンドについて説明します。すなわち：

SSH接続に2要素認証を使用する方法。
「エージェント転送」の安全な使用。
ハングしたセッションを終了します。
終了または切断するときは、ターミナルを開いたままにします。
( Zoom!).

それをアクティブにする5つの方法があります。

1. OpenSSHを更新し、ハードウェアトークンを使用します。今年の2月に、FIDO U2F（Universal Second Factor）トークンのサポートがOpenSSHに追加されました。私が言えること-それは素晴らしいことですが、1つの注意点があります。

重要なのは、この更新により、トークンをサポートするための新しいキータイプが追加されることです。ただし、この機能は、クライアントとサーバーをバージョン8.2以降に更新する場合にのみ使用できます。 ssh -Vコマンドを使用して、クライアントの現在のバージョンを確認できます。リモートサーバーに関する限り、nc [servername] 22を使用する価値があります。

さらに、ecdsa-skとed25519-skの2つの新しいキータイプが追加されました。それらの証明書もあります。キーファイルを作成するには、トークンを挿入してコマンドを実行する必要があります

$ ssh-keygen -t ecdsa-sk -f〜 / .ssh / id_ecdsa_sk。

彼女がすること？ U2Fトークンにバインドされる公開鍵と秘密鍵を作成します。トークンの秘密鍵は、ディスクに保存されている秘密鍵を復号化するために使用されます。

もう1つの可能性は、2番目の要素としてキーファイルのパスワードを設定することです。実際、OpenSSHは別の生成オプションであるskで動作します。したがって、キーファイルはハードウェアトークンに保存され、常にあなたと一緒にあります。常駐キーを作成するには、次のコマンドを使用する必要があります。

$ ssh-keygen -t ecdsa-sk -O resident -f ~/.ssh/id_ecdsa_sk.

キーファイルを新しいマシンに転送するには、メディアを挿入して、コマンド$ ssh-add-Kを実行する必要があります。覚えておいてください-トークンは接続時にアクティブ化する必要があります。

2. PIV + PKCS11とYubikeyを使用します。以前のバージョンのSSHサーバーがインストールされているマシンに接続する必要がある場合は、別のオプションがあります。これは、PIV / PKCS11を使用したU2F + SSHの詳細な手順です。少しトリッキーですが、それだけの価値があります。

3. 3番目の方法は、yubikey-agentを使用することです。これは、FilipoValsordaによって作成されたYubikeys自体のSSHエージェントです。

4.IDとsekeyをタッチします。別の方法はSekeyを使用することです-オープンソースエージェント。MacOSの安全なエンクレーブシステムに秘密鍵を保存し、タッチID署名機能をトリガーできるようにします。

5.最後に、シングルサインオンSSHを使用します。セットアップ手順は次のとおりです。シングルサインオンSSHの利点は、ユーザーがマルチファクター認証のサポートなど、アカウントプロバイダーのセキュリティポリシーを適用できることです。

安全なキー転送（エージェント転送）

キー転送は何に使用されますか？ローカルSSHユーザーエージェントへのリモートホストアクセス用。実際には、SSHクライアントがキー転送を使用する場合（ほとんどの場合、ssh -Aがアクティブ化されます）、接続中に2つのチャネルがあります。 1つ目はインタラクティブなユーザーセッションで、2つ目はキー転送チャネルです。

ローカルSSHエージェントは、このチャネルを介してリモートホストに接続するIPCソケットを作成します。リモートホストのrootユーザーは、接続しているユーザーのローカルSSHエージェントにアクセスできるため、これは非常に危険です。したがって、このユーザーに代わってネットワークリソースにアクセスするために使用できます。また、標準のSSHエージェントを使用している場合は、問題を見つけることはできません。しかし、U2FキーまたはSekeyを使用すると、この問題を取り除くことができます。

通常、キーを転送できますが、この方法を頻繁に使用したり、すべての接続に使用したりしないことをお勧めします。ユーザーが状況に自信がある場合にのみ使用することをお勧めします。

ハングしたSSHセッションからログアウトする

SSHセッションは、ネットワークの問題、実行可能なプログラムの制御の喪失、または端末のエスケープシーケンスの1つがキーボード入力をブロックしているために、フリーズすることがよくあります。ハングしたセッションを終了するには、いくつかの方法があり

ます。1。ネットワークが切断されたときに自動的に。これを行うには、の.ssh / configに、SSHの設定ファイルに追加します。

ServerAliveInterval 5

ServerAliveCountMax 1

この場合、sshは定期的にリモートホストにエコー要求を送信して接続をチェックします。これらはServerAliveIntervalパラメーターによって設定されます。 ServerAliveCountMaxよりも多くの未応答の要求がある場合、SSHは接続を閉じます。

2.セッションを分割します。sshは、デフォルトのエスケープシーケンスとして〜文字を使用します。〜コマンドは現在の接続を閉じて端末に戻ります。

また、〜？現在のセッションで使用できるコマンドの全リストを表示します。複数のレイアウトがインストールされている場合、文字を送信するには〜ボタンを2回押す必要があります。

リモートホストの端末を開いたままにする

ネットワークを切り替えながらセッションを保存するには、2つのオプションがあります。

使い方1.モッシュや永遠のターミナルを

使用すると、信頼性が高く、非閉鎖接続が必要な場合はネットワークを切り替える場合でも、その後、外の方法があります-モバイルシェル-あなたはモッシュを使用する必要がありますが。 Moshは、SSHを使用してセッションを初期化する（ハンドシェイク）セキュアシェルを指します。その後、彼女は非常に安定している自分の暗号化されたチャネルに切り替えます。たとえば、切断、デバイスのIPアドレスの変更、データ送信の大きな遅延など、さまざまな状況を処理できます。これはすべて、UDPとMoshが使用する同期プロトコルのおかげです。

これを使用するには、まず、サーバーとクライアントの両方にインストールし、リモートホストの着信UDPトラフィック用にポート60000〜61000を開く必要があります。その後、接続するにはmosh user @serverと入力するだけです。

Moshは、端末画面とキーストロークのレベルで機能します。これにより、クライアントとサーバー間で通常のI / Oからバイナリデータストリームを転送するSSHよりも多くの利点が得られます。端末画面とキーストロークのみを同期する必要がある場合は、中断された接続がはるかに高速に復元されます。同じSSHをバッファに保存してすべてを送信する必要がありますが、Moshはキーストロークを保存するだけで、ターミナルウィンドウの最後の状態をクライアントと同期します。

2.tmuxを使用します。リモートホストで同じセッションを維持しながら、必要に応じて接続および切断するには、tmuxと呼ばれるターミナルマルチプレクサを使用する価値があります。SSH接続が切断された場合は、再接続してtmuxattachと入力する必要があります。その後、ユーザーはtmuxセッションに戻ります。

また、macOSターミナルと同じタブ、パネルなどのいくつかの追加機能に加えて、別のユーザーと一緒にターミナルを操作する機能も提供します。多くの便利な機能とキーボードショートカットを追加したパッケージであるByobuを使用すると、さらに多くのことができます。Ubuntuに同梱されており、Homebrewを使用してmacOSで実行できます。

リモート端末の共有

サーバーの複雑な問題を解決する場合など、SSHセッションを共有する必要がある場合があります。これを行う最良の方法は、tmuxを使用することです。この問題を解決するには、次のことを行う必要があります。

tmuxがDMZ内のサーバー（または接続する場所）にインストールされていることを確認してください。
両方のユーザーは、同じアカウントでSSH経由でサーバーに接続する必要があります。
ユーザーの1人がtmuxを実行して、tmuxセッションを作成する必要があります。
2番目のユーザーはtmuxattachコマンドを実行します。
すべての準備ができました！

マルチユーザーセッションを微調整する必要がある場合は、tmateを使用する必要があります。これはtmuxの改良されたフォークです。

専門家の助言

翻訳に独自のヒントを追加することにしました。それらも役立つことを願っています。マキシムKlochkov、ジェットインフォシステムズのネットワークソリューションセンターとSkillboxでのサイバーセキュリティ専門職コースの教師のシニアコンサルタントは、彼の有益な経験を共有しました。

TCPポート転送

Sshには、-Lと-Rの2つの便利なオプションがあります。

-Lパラメータは、この接続がsshトンネルに透過的に転送されるTCP接続を確立しようとすると、ローカルコンピュータで開いているTCPポートを編成し、リモートコンピュータから接続が確立されます。

-Lパラメーターの後には、次の形式の引数が続きます。

ssh -L XXX:server1:YYY login@server2

ここで、server2はssh経由でアクセスするリモートサーバー、loginはリモートサーバーにログインするためのユーザー名、XXXはローカルコンピューターで整理する必要のあるポート番号、server1はこのポートから接続を転送する必要のあるホストです。、そして最後にYYYは、この接続の転送先となるポートです。

2つの例を見てみましょう。

例1。

spb.company1.ruサーバーを使用しており、central-db.company1.ruのデータベースにアクセスするWebアプリケーションをテストしたいと考えています。
このデータベースは、moscow.company1.ruサーバーのポート9999からのみ利用できます。
ローカルポート55555のデータベースへの転送をsshトンネル経由で次のように編成します。ssh-L55555 ：central-db.company1.ru：9999 login@moscow.company1.ru
その後、ローカルサーバーにWebアプリケーションをデプロイし、central-db.company1.ru：9999ではなくlocalhost：55555を指定します。この接続はmoscow.company1.ruサーバーに転送され、このサーバーが接続を確立します。ホストcentral-db.company1.ru、ポート9999にデータベースがあります

例2。

私たちはspb.company1.ruサーバー上にあり、moscow.company1.ru、ポート5000のテストWebサイトを顧客に示したいと考えています。
インターネットからこのサイトにアクセスすることはできません。展開されているのと同じホスト、つまりmoscow.company1.ruからの内部アクセスのみがあります。
次のように、sshトンネルを介したローカルポート80の転送を整理します。ssh-L80 ：localhost：5000 login@moscow.company1.ru
ユーザーがリンクspb.company1.ruを使用してブラウザに入ると、接続はsshトンネルを介してmoscow.company1.ruサーバーに転送され、このサーバーはアドレスlocalhost：5000、つまりテストWebへの接続をすでに確立しています。 -地点。

-Rパラメーターは、リモートサーバー上で開いているTCPポートを編成します。TCP接続を確立しようとすると、この接続は透過的にsshトンネルに転送され、ローカルサーバーから接続が確立されます。

-Rパラメーターの後には、次の形式の引数が続きます。

ssh -R XXX:server1:YYY login@server2

ここで、server2はssh経由でログインするリモートサーバー、loginはリモートサーバーにログインするためのユーザー名、XXXはリモートサーバーで整理する必要のあるポート番号、server1はリモートサーバーからの接続を転送する必要のあるホストです。、そして最後にYYYは、この接続の転送先となるポートです。

2つの例を見てみましょう。

例1。

私たちはmoscow.company1.ruサーバーにいます。このサーバーから、central-db.company1.ruサーバーのポート9999でデータベースを利用できます。
spb.company1.ruサーバーにWebアプリケーションをデプロイしていますが、このサーバーからデータベースにアクセスできません。
spb.company1.ruサーバーからデータベースへのポート転送を次のように編成します。ssh-R55555 ：central-db.company1.ru：9999 login@spb.company1.ru
その後、Webアプリケーションをspb.company1.ruサーバーにデプロイしますが、このサーバーは使用できないため、ベースとしてcentral-db.company1.ru：9999を指定しませんが、localhost：55555-この接続はローカルに転送されますマシンがsshトンネルを通過すると、ローカルマシンがcentral-db.company1.ruサーバーのポート9999への接続を確立します。

例2。

私たちはmoscow.company1.ruサーバー上にあり、テストWebサイトをサーバーのポート5000にデプロイしています。
このテストWebサイトはローカルでのみ利用可能であり、インターネットからの接続は許可されていませんが、Webブラウザーでspb.company1.ruサーバーにアクセスできる顧客にこのWebサイトをデモンストレーションしたいと思います。
spb.company1.ruサーバーからのポート転送を次のように編成します。ssh-R80 ：localhost：5000 login@spb.company1.ru
ここで、ユーザーがリンクspb.company1.ruを使用してブラウザーに入ると、接続はsshトンネルを介してローカルサーバーmoscow.company1.ruに転送され、そこからlocalhost：5000、つまりテストWebへの接続が確立されます。地点。

どのようなトリックを共有できますか？

このトピックにおいて：

記事「Bashの使用方法はタスクを実行します」;

実用的なオンラインコース「Linux‌OS管理」。

5つのSSHのトリックとトリックなど