Prihlásenie bez hesla...

Niekedy je vhodné (prípadne žiadúce), aby nebolo potrebné zadávať heslo pre prihlasovanie cez SSH. Takýto prípad môže nastať ak chcem na jednom počítači zautomatizovať vykonávanie úloh, ktoré vyžadujú pripojenie k ďalšiemu počítaču. Samozrejme, zabezpečenie musí byť. Pre takýto prípad umožňuje SSH autentifikáciu pomocou kľúča.
Predpoklad: Som prihlásený na počítači PC1 ako užívateľ u1. Z tohoto počítača sa chcem pripájať na počítač PC2 ako užívateľ u2.
Najprv vygenerujem tzv. key pair príkazom ssh-keygen -t rsa kde "-t rsa" určí typ použitého algoritmu. Keď sa bude pýtať na passphrase, nezadám nič - inak by to stratilo význam (v tomto prípade).

u1@PC1:~$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/u1/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/u1/.ssh/id_rsa.
Your public key has been saved in /home/u1/.ssh/id_rsa.pub.
The key fingerprint is:
91:22:a8:f2:a7:26:5a:aa:9f:93:8b:61:83:c1:26:ee u1@PC1
u1@PC1:~$

Teraz potrebujem verejnú časť kľúča nahrať na druhý počítač (PC2). Pre zjednodušenie použijem priame spustenie príkazov cez ssh:

u1@PC1:~$ ssh u2@PC2 mkdir -p .ssh
The authenticity of host 'PC2 (10.0.0.2)' can't be established.
RSA key fingerprint is ac:4c:1c:48:b4:0b:33:44:0f:61:05:aa:50:15:00:56.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'PC2,10.0.0.2' (RSA) to the list of known hosts.
u2@PC2's password:
u1@PC1:~$

u1@PC1:~$ cat .ssh/id_rsa.pub | ssh u2@PC2 'cat >> .ssh/authorized_keys'
u2@PC2's password:
u1@PC1:~$

Prvým príkazom vytvorím adresár .ssh v domovskom adresári užívateľa u2 na serveri PC2. Ak som sa ešte z PC1 na PC2 nepripájal, ssh klient ma upozorní že ide o neznámy server. Zadaním "yes" pridám jeho identifikáciu do zoznamu známych serverov a v budúcnosti sa už táto hláška nezobrazí. Druhým príkazom pridám svoj verejný kľúč do zoznamu autorizovaných kľúčov na serveri PC2.
Teraz už stačí keď zadám príkaz:

u1@PC1:~$ ssh u2@PC2
u2@PC2:~$

... a som prihlásený bez hesla...
Pri tomto spôsobe prihlasovania je však treba dávať pozor na bezpečnosť. Ktokoľvek, kto sa dostane k PC1, môže bez problémov získať prístup na PC2! Takže odporúčam túto metódu používať veľmi opatrne.

Jeden port to zvláda...

SOCKS proxy

Ak ssh klient umožňuje dynamické presmerovanie portov (Dynamic Port Forwarding), môžeme ssh použiť aj na vytvorenie SOCKS proxy servera.

u1@PC1:~$ ssh -D 8080 u2@PC2

u1@PC1:~$ netstat -lpn |grep 8080

(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN     11357/ssh
tcp6      0      0 ::1:8080                :::*                    LISTEN     11357/ssh

Lokálne presmerovanie portov

Lokálne presmerovanie portov (Local Port Forwarding) znamená, že sa na lokálnom stroji (PC1) vytvorí socket, ktorý načúva na danom porte a všetku komunikáciu presmerováva na zvolený port druhého stroja (PC2).

u1@PC1:~$ ssh -L 1234:127.0.0.1:80 u2@PC2

Predpokladám, že na PC2 beží http (www) server na porte 80. Povedzme že je na tomto počítači webová aplikácia, ktorá nemá byť dostupná zo žiadneho iného PC, takže server načúva len na localhost spojenia. S použitím uvedeného príkazu môžem pristupovať na túto aplikáciu aj z PC1. Stačí do prehliadača zadať adresu: http://localhost:1234/

Vzdialené presmerovanie portov

Vzdialené presmerovanie portov (Remote Port Forwarding)

u2@PC2:~$ ssh -R 10000:127.0.0.1:80 u1@PC1

Uvažujme situáciu ako v predchádzajúcom prípade (http server na PC2) s tým, že ja sedím pri PC2 a kolega, ktorý pracuje na PC1, potrebuje na chvíľu pracovať s mojou www aplikáciou. Týmto príkazom sa pripojím na jeho počítač a vytvorím presmerovanie. Kolega zadá do prehliadača http://localhost:10000/ a môže pracovať.

Kombináciou local a remote port forwardingu môžeme získať prístup k službám serverov, ktoré sú pre priame spojenie nedostupné (napr. blokované firewallom)...

Spustenie grafickej aplikácie zo vzdialeného stroja

SSH umožňuje aj tzv. X11 forwarding.  V tomto prípade si môžem na obrazovke svojho PC zobraziť a používať grafickú aplikáciu, ktorá je reálne nainštalovaná na druhom PC. Stačí použiť parameter -X

u1@PC1:~$ ssh -X u2@PC2
u2@PC2's password:
u2@PC2:~$ gtkterm

Konkrétny prípad: v práci (PC2) mám na sériovom porte pripojenú špeciálnu sondu a potrebujem s ňou testovať komunikáciu. Z domu (PC1) mám prístup na daný počítač len cez SSH. Takto si spustím sériový terminál v grafickom režime a môžem pracovať...

{mosimage}Pri tomto tunelovaní dochádza k pomerne slušným dátovým prenosom - bežne desiatky kB/s no už sa mi stalo že aplikácia využila aj 200kBps. Čím viac sa prekresľuje na obrazovke, tým väčšie dátové prenosy.

VNC cez SSH

Z času na čas sa potrebujem pripojiť na svoj vzdialený desktop v grafickom režime - používam na to VNC. Ako som už spomínal, forwardovanie portov cez ssh je skvelá a veľmi užitočná vec. Tvorcovia VNC klienta vncviewer mysleli aj na túto možnosť a uľahčili nám týmto prácu:

u1@PC1:~$ vncviewer -via u2@PC2 localhost:0
VNC viewer version 3.3.7 - built Feb 20 2006 12:04:05
Copyright (C) 2002-2003 RealVNC Ltd.
Copyright (C) 1994-2000 AT&T Laboratories Cambridge.
See http://www.realvnc.com for information on VNC.
u2@PC2's password:

takto sa pripojím bez potreby predošlého vytvorenia tunelovaného spojenia. vncviewer to v podstate urobí za mňa - spustí príkaz "/usr/bin/ssh -f -L 5599:localhost:5900 u2@PC2" na pozadí - a to je náš starý známy Local Port Forwarding.

Prenos súborov

Pri prenose súborov je dôležité, či chceme súbor nahrať na server (upload), alebo si ho chceme zo servera stiahnuť (download).

Upload

Jeden spôsob prenosu súborov sme si ukázali v časi o prihlasovaní bez hesla. Konkrétne tento:

u1@PC1:~$ cat .ssh/id_rsa.pub | ssh u2@PC2 'cat >> .ssh/authorized_keys'
u2@PC2's password:
u1@PC1:~$

lenže v tomto prípade sa jedná o pridanie dát na koniec súboru - to zabezpečí použitie "dvoch šipiek" >>
My však chceme súbor buď vytvoriť alebo prepísať. V tom prípade použijeme len jednu šipku:

u1@PC1:~$ cat zdrojovy_subor | ssh u2@PC2 'cat > cielovy_subor'
u2@PC2's password:
u1@PC1:~$

Download

Pri downloade súboru zo servera je postup opačný:

u1@PC1:~$ ssh u2@PC2 cat zdrojovy_subor  > cielovy_subor
u2@PC2's password:
u1@PC1:~$

Možností uploadu a downloadu je podstatne viac. Je možné napríklad kopírovať adresár zo servera a rovno ho komprimovať do archívu. Pekný prehľad týchto možností je možné nájsť na stránke [5].

Prenos súborov však môže byť aj pohodlnejší a preto spomeniem zopár programov a postupov, ktoré nám umožňujú prenášať súbory cez ssh.

Midnight Commander

mc zaujal u mňa významné miesto na každom linuxovom stroji. Jeho autori nezabudli ani na shell prístup a tak nám stačí v menu (F9) pre konkrétny panel (Left | Right) vybrať položku Shell link. Zobrazí sa dialóg, do ktorého zadáme prihlasovacie údaje - login a IP/meno cieľového PC. Po potvrdení to môže na prvý pohľad vyzerať akoby sa nič nestalo. No presuňme pozornosť smerom dolu... Teraz už stačí zadať heslo a potvrdiť. V jednom paneli máme lokálne adresáre, v druhom štruktúru vzdialeného stroja. A môžeme kopírovať, editovať, mazať,... Lepšie je raz vidieť než...

{gallery}ssh/mc{/gallery}

Len pre upresnenie - používa sa tu tzv. FISH protokol (File Transfer Over Shell), ktorý umožňuje prenos súborov cez viacero typov shell pripojení. Nás však momentálne zaujíma len SSH.

GNOME

grafické prostredie GNOME poskytuje pohodlný spôsob kopírovania súborov cez SSH. V menu Places treba vybrať Connect to Server... a zobrazí sa dialóg pripojenia. Ako Service type vyberieme SSH a vyplníme adresu servera, login a meno odkazu (s týmto menom bude vytvorený link na ploche / v menu) Po potvrdení sa vytvorí už spomínaný odkaz na ploche. Stačí naň kliknúť a systém si vyžiada heslo - to si samozrejme môžeme uložiť do keyring-u a hotovo. Otvorí sa nám okno pre prenos súborov medzi serverom a naším PC.

{gallery}ssh/gnome{/gallery}

Krusader

Mnoho ľudí z môjho okolia používa krusader. Rád by som preto pridal návod na pripojenie na SSH cez krusader, ale :) ja krusader nepoužívam. Teda - nainštalovaný ho mám, ale zatiaľ som nenašiel dôvod prečo prejsť od MC. Okrem toho, štandardne v krusaderi SSH spojenia nefungujú. Samozrejme je možné ich rozbehať a pre tých, čo majú záujem, pripájam odkaz: http://www.krusader.org/phpBB/viewtopic.php?p=8897. Veľa šťastia.

Záver

Nemôžem tvrdiť že som spomenul všetky možnosti SSH - nebola by to pravda. Zameral som sa na tie, ktoré najčastejšie využívam. Ak to niekoho zaujalo, odporúčam pozrieť sa na uvedené stránky. Veľmi prehľadne a zrozumiteľne má problematiku Port Forwardingu vysvetlenú Jaroslav Imrich aka jariq.

Odkazy

Článok bol publikovaný aj na serveri