openssh

https://habr.com/ru/companies/skillfactory/articles/503466/

Программа-генератор RSA/DSA ключей

ssh-keygen [-q] [-b <bits>] [-t <type>] [-N <new_passphrase>] [-C <comment>] [-f <output_keyfile>]
ssh-keygen -p [-P <old_passphrase>] [-N <new_passphrase>] [-f <keyfile>]

- -f <~/.ssh/id_srv2> - указывает имя/путь файла ключа. - -t <технология шифрования> - выбор технологии (rsa1, dsa). - -b <размер ключа в битах> - задаем размер ключа. - -N <_new_passphrase_> - обеспечивает ввод новой ключевой фразы. - -P <passphrase> - обеспечивает ввод (старой) ключевой фразы. - -p - запрашивает изменение ключевой фразы приватного ключа вместо создания нового приватного ключа. Предложит указать имя файла содержащего приватный ключ, старую ключевую фразу и, дважды, новую ключевую фразу. - -C <comment> - обеспечивает ввод нового комментария. - -D <reader> - копировать публичный RSA-ключ на smartcard в устройстве _reader_.

sshd - это демон, который ожидает соединения от клиентов. Обычно он запускается при загрузке системы из /etc/rc. Он создает нового демона для каждого нового соединения. Ответвленный демон обрабатывает обмен ключами, шифрование, аутентификацию, выполнение команд и обмен данными. Эта реализация sshd поддерживает обе версии протокола SSH, 1 и 2, одновременно.

Синтаксис команды:

sshd [-deiqtDL46] [-b <битов>] [-f <файл_конфигурации>] [-g <время_задержки_регистрации>] [-h <файл_ключа_машины>] [-k <время_генерации_ключа>] [-p <порт>] [-u <величина>] [-V <идентификатор_протокола_клиента>]

- -b <биты> - Определяет число бит в ключе сервера эфемерного протокола версии 1 (по умолчанию 768). - -d - Режим отладки. Сервер посылает отладочную информацию в файл регистрации событий системы и не переходит в фоновый режим работы. Также сервер не создает дочерних процессов и обрабатывает только одно соединение. Этот параметр предназначен только для настройки сервера. Несколько параметров -d, указанных один за другим, повышают уровень отладки. Максимум это 3. - -е - Если указан этот параметр, sshd направит вывод в консоль вместо механизма регистрации событий системы. - -f <файл_конфигурации> - Определяет имя файла конфигурации. По умолчанию это /etc/openssh/sshd_config. sshd отказывается работать не имея файла конфигурации. - -g <время_задержки_регистрации> - Позволяет клиенту растянуть время в течении которого клиент должен себя аутентифицировать (по умолчанию 600 секунд). Если клиент не смог аутентифицировать себя в течение этого времени, сервер отключается. Значение равное нулю означает неограниченное время ожидания. - -h <файл_ключа_машины> - Определяет файл, из которого будет считан ключ машины (по умолчанию это /etc/openssh/ssh_host_key). Этот параметр должен быть указан, если sshd запущен не от имени суперпользователя. - -i - Определяет, что sshd должен быть запущен из inetd. - -k <время_генерации_ключа> - Определяет, как часто будет регенерирован ключ сервера эфемерного протокола версии 1 (по умолчанию 3600 секунд). - -p <порт> - Определяет порт, на котором сервер будет ожидать соединения (по умолчанию 22). - -q - Режим молчания. В системный журнал регистрации событий не будет занесено никакой информации. - -t - Режим тестирования. Только проверяет соответствие файла конфигурации и безопасность ключей. - -u <величина> - Определяет размер полей в структуре utmp хранящей имя удаленной машины. - -D - Когда указан этот параметр, sshd не будет переведен в режим работы демона. - -V <идентификатор_протокола_клиента> - SSH-2 совместимый режим. - -4 - Принуждает sshd использовать только IPv4 адреса. - -6 - Принуждает sshd использовать только IPv6 адреса.

sshd настраивается через /etc/ssh/sshd.conf Для применения настроек нужно дёрнуть службу sshd Пример: # слушать 22ой порт Port 22 # использовать вторую версию протокола Protocol 2 # запрет логинится под root@* PermitRootLogin no # доступ к ssh только для определенного пользователя или группы AllowUsers User1, User2, User3 AllowGroups Group1, Group2, Group3 # резрешить запуск X11 приложений X11Forwarding yes

Интересный факт: приветствие, выводимое при подключение

Мощный инструмент, позволяющий как выполнять удаленные команды, так и вертеть трафиком.

Синтаксис команды выглядит так: ssh [опции] [имя пользователя@]<сервер> [команда]

Tip: В .ssh/config можно задать псевдонимы в следующем формате:

Host radi0ss
    HostName 188.227.87.62
    User root
    Port 22
    ProxyCommand ssh -W %h:%p root@188.227.87.62

Общие параметры - -f - перевести ssh в фоновый режим; - -g - разрешить удалённым машинам обращаться к локальным портам; - -l <имя> - имя пользователя, под которым собираемся подключаться к удаленной машине; - -n - перенаправить стандартный вывод в /dev/null; - -N - указывает, что не запускать удалённый сеанс shell; - -p <n> - указать порт для подключения на удалённой машине; - -q - не показывать сообщения об ошибках; - -v - режим отладки, указанный несколько раз (max 3), сделает ssh более многословным;

Перенаправление X11 - -X - включить перенаправление X11; - -x - отключить перенаправление X11;

Перенаправление портов и туннелирование - -L [локальный_адрес:]локальный_порт:удаленный_адрес:удаленный_порт - перенаправление локального порта на порт удаленной машины; - -R [удаленный_адрес:]удаленный_порт:локальный_адрес:локальный_порт - перенаправление удаленного порта с удаленной машины на локальный порт; - -D [bind_address:]порт - создание локального SOCKS-прокси-сервера, перенаправляющего трафик с определенного сокета по зашифрованному каналу на удалённый сервер; - -w local_tun[:remote_tun] - создает туннель между локальным и удаленным виртуальными сетевыми интерфейсами (TUN или TAP) с номерами local_tun и remote_tun. Если указать any - выбирается любой. Если не указать remote_tun - подразумевается any.

Аутентификация и ключи - -i <path> - явно указать приватный ключ для подключения; - -A - включить переадресацию агента

Протоколы и адреса - -4 - принудительное использование только IPv4 адресов; - -6 - принудительное использование только IPv6 адресов; - -1 - принудительное использование SSH протокола только версии 1; - -2 - принудительное использование SSH протокола только версии 2;

Дополнительные параметры - -C - включить сжатие данных; - -t - переназначить псевдо-терминал для выполнения программ; - -T - послать на выполнение команду, не подключаясь к shell;

Примеры:

# выполнить команду, не заходя в полноценный сеанс
ssh user@host ls 
 
# перенаправление бекапа прямо на удалённый сервер
sudo dd if=/dev/sda | ssh user@host 'dd of=sda.img'
# восстановление бекапа с удаленного сервера
ssh user@host 'dd if=sda.img' | dd of=/dev/sda
 
# взятие пароля из файла
ssh user@host < local_file.txt
 
# выполнять на сервере прогу "eclipse" и транслировать её окно нам
ssh -XC user@remotehost "eclipse"
 
# создание ssh туналя (проброс порта с удалённой машины на локальную)
ssh -L локальный_порт:удаленный_адрес:удаленный_порт пользователь@сервер

Утилита для копирования файлов на удаленный сервер.

scp /адрес/локального/файла пользователь@хост:адрес/папки

Примеры использования:

scp ~/test.txt user@host:documents
 
# scp непосредственно копирует файл, в то время как передавать файл можно при помощи ssh, но он принимает поток, а не файл.
cat localfile | ssh user@host "cat > remotefile"
# аналогично:
ssh user@host "cat > remotefile" < localfile
 
# Пойдем еще дальше, вы можете сжимать файлы перед передачей с помощью tar, а потом их сразу же на лету распаковывать:
tar czf - /home/user/file | ssh user@host tar -xvzf -C /home/remoteuser/

По простому: \- это «связка с ключами». Сначала добавляешь ключи туда через ssh-add, а потом эта чудо-связка сама ищет подходящий для сервера, к которому пытаемся подключится, ключ. Подробнее: \- это менеджер ключей для SSH, работающий независимо от последнего, запускаясь при первом включении ssh. Хранит в памяти ключи, избавляя от необходимости вводить ключевую фразу каждый раз при подключении куда то. Он не записывает ключи на диск и не позволяет экспортировать их. Вот как проверяется ключ пользователя во время SSH-соединения, с точки зрения сервера: - Клиент предоставляет серверу публичный ключ. - Сервер генерирует и отправляет короткое случайное сообщение, прося клиента подписать его с помощью приватного ключа. - Клиент просит агента SSH подписать сообщение и пересылает результат обратно на сервер. - Сервер проверяет подпись, используя публичный ключ клиента. - Теперь у сервера есть доказательство того, что клиент владеет приватным ключом.

Позже в процессе соединения генерируется набор новых, эфемерных и симметричных ключей, которые используются для шифрования трафика сеанса SSH. Эти ключи могут даже не длиться весь сеанс; событие «rekey» происходит через регулярные промежутки времени.

команда ssh-agent для добавления ключей к «ключнице», которую ssh-agent автоматически использует для ssh. При запуске без параметров ищет и добавляет стандартные ключи: - ~/.ssh/id_rsa - ~/.ssh/id_ed25519 - ~/.ssh/id_dsa - ~/.ssh/id_ecdsa

Когда для соединения включена переадресация агента (обычно с использованием ssh -A), в фоновом режиме открывается второй канал для переадресации любых запросов агента обратно на ваш локальный компьютер. Для ssh нет разницы между локальным и удаленным ssh-agent, так как ssh смотрит лишь на $SSH_AUTH_SOCK. При подключении к удаленному хосту с включенной переадресацией агента SSHD создаст удаленный доменный сокет Unix, связанный с каналом переадресации агента, и экспортирует $SSH_AUTH_SOCK, указывающий на него.

[!warning]
Когда вы переадресовываете доменный сокет ssh-agent Unix на удаленный хост, это создает угрозу безопасности: любой человек с root доступом на удаленном хосте может незаметно получить доступ к вашему локальному SSH-agent’y через сокет. Они могут использовать ваши ключи, чтобы <u>выдавать себя за вас</u> на других машинах в сети.

Совет:
Заблокируйте свой ssh-агент, когда вы используете переадресацию агента. ssh-add -x блокирует агент паролем, а ssh-add -X разблокирует его. Когда вы подключены к удаленному хосту с переадресацией агента, никто не сможет проникнуть в ваш агент без пароля.