@fenidik8 сен 2008 в 13:50

Пара хитростей ssh

1 мин

13K

Настройка Linux *

+48

Комментарии 25

@dimks 8 сен 2008 в 14:02

Спасибо. Пригодится

@Roxis 8 сен 2008 в 15:08

man ssh_config
man ssh

@ocnk 8 сен 2008 в 15:38

Туннели решают, особенно за корп проксей %)

@dzmitryc 8 сен 2008 в 16:09

От корпоративных проксей спасает socks:
ssh user@host.outside.com -N -D 127.0.0.1:1080
;)

@ocnk 8 сен 2008 в 19:33

в винде это замечательно делается через putty :)

@yuretsz 8 сен 2008 в 20:25

Здесь решает не столько клиент, сколько sshd

@stolen 8 сен 2008 в 16:46

Опции -p22 -2 -C во втором примере абсолютно лишние. Точнее, -C может пригодиться, но к форвардингу портов это отношения не имеет.
За controlmaster и controlpath спасибо.

@fenidik 8 сен 2008 в 16:54

-p у меня просто другой порт: о) и я когда выкладывал я порт поправил на 22. а оставил для наглядности чтоб кто невнимательно читает маны видел что и порт поменять можно. -2 и -С тоже примерно по таким же соображениям оставил

НЛО прилетело и опубликовало эту надпись здесь

@Alien 8 сен 2008 в 21:14

Спасибо, что поделились такой удобной хитростью! Действительно пригодится :)

@Urevic 8 сен 2008 в 21:31

А авторизация с private/public keys не удобнее для того, чтобы не вводить пароль каждый раз? Причем даже не зависимо от того открыто ли уже соединение с хостом в каком-то другом окне или нет.

@dei34 9 сен 2008 в 02:16

удобнее, но иногда вход бывает разрешён только по паролям (вот такие бывают админы).

@NickyX3 9 сен 2008 в 03:10

Ну это бывает нужно — Zend Studio 5.5, к примеру, не умеет по SSH ходить с ключами. Только с паролями

@Urevic 9 сен 2008 в 11:17

Обычно одно другому не мешает, можно разрешить авторизацию и по паролю и по ключам.

@NickyX3 9 сен 2008 в 12:11

Я разве спорю? А вот некоторые особо извращенные параноидальные коллеги мне говорят что пассворд базед надо отключить

@ugenk 9 сен 2008 в 07:27

Странно, вообще считается, что вход по ключам безопаснее

@dei34 9 сен 2008 в 08:18

я поразмыслил, и согласен решением нашего админа разрешить доступ по ключу на «точку входа» и запретить вход по ключу на рабочие станции (которые извне не видны, и с друг-другом по ssh тоже соединяться не могут, на них только с «точки входа» зайти можно). Домашние директории там везде общие, и если бы был разрешён вход на рабочие станции по ключу, многие стали бы хранить в ~/.ssh/ как public так private ключи. Тогда достаточно какого-нибудь неаккуратного пользователя, или нового локального эксплойта чтобы получить кучу залогиненых внешних хакеров.

@ugenk 9 сен 2008 в 08:53

Да, закономерно. У нас как-то был похожий случай — взломали аккаунт одного пользователя, имевшего sudo NOPASSWD на сервере, и через ключ другого поимели доступ на несколько серверов.

@Urevic 9 сен 2008 в 11:15

Все это так просто только в том случае, если private ключи не зашифрованы мастер паролем. Нет?

@0x62ash 8 сен 2008 в 21:33

Первый совет не актуален, у меня везде авторизация по ключам. А второй это уже классика.
Но это здорово, что вы это написали, думаю, многим будет полезно.

@fenidik 9 сен 2008 в 07:33

Аутсорсерам полезно. Нет смысла заводить ключи там куда возможно один раз в жизни прийдётся зайти поглядеть, но в то же время понадобится иметь 2 окна на этом хосте.

@0x62ash 9 сен 2008 в 11:16

Честно говоря, не так часто удается сделать все в один заход )
А 2 окна я стараюсь screen'ом делать )

@dei34 9 сен 2008 в 02:09

напоминание про тоннели полезно, но почему не сказано самое главное:

после
ssh -N -f -L 6632:192.168.100.72:66320 tunnel@88.88.88.88

для подсоединения (например, тем же ssh-ем) к порту 66320 на машине 192.168.100.72 надо сказать
ssh -p 6632 localhost

@fenidik 9 сен 2008 в 07:29

Ну я приводил пример с базой поэтому в веб приложении надо указать что база находится на локалхост и порту 6632 и вперёт. Спасибо за замечание.

@tony 9 сен 2008 в 08:54

спасибо! так лень самому читать man ssh...))

Зарегистрируйтесь на Хабре, чтобы оставить комментарий