5 marzo 2009 Visualizzazioni: 57 Focus

SSH: un po’ di Tips and Tricks

Qualsiasi utente Linux si troverà prima o poi nella condizione di dover fare login su una macchina remota, e scoprirà l’esistenza di SSH. SSH (che poi sta per Secure SHell)è un protocollo nato per cifrare la comunicazione di dati tra i vari host di una rete e per rimpiazzare tutte le implementazioni di shell remote poco sicure proprio perchè non cifrate (vedi Telnet e RSH). In questo articolo parleremo dell’utilizzo di base di ssh, ma alcuni suggerimenti molto utili e poco conosciuti.

ControlMaster
Questa feature di SSH permette di riutilizzare una connessione esistente per più sessioni ssh. Al momento della prima connessione verso un host, il client ssh creerà un socket attraverso il quale passeranno tutte le sessioni aperte verso quella macchina. Il socket verrà creato nella posizione indicata dalla direttiva ControlPath.

Usando il ControlMaster, si ottengono diversi effetti benefici, ad esempio aprendo una nuova sessione su una macchina a cui si è già connessi, non sarà necessario fare di nuovo login, in quanto il client utilizzerà il socket autenticato nella sessione precedente. Inoltre il ControlMaster permette anche l’autocompletamento dei path remoti e velocizza le operazioni di trasferimento file, come quelle effettuate tramite scp o sshfs.

Per attivare questa feature è necessario inserire nel file di configurazione del vostro client ssh (solitamente posto in ˜/.ssh/config) le due righe che seguono:

ControlMaster auto
ControlPath ~/.ssh/sock/%r@%h:%p

La prima riga attiva la feature ControlMaster in modalità �?auto’, in questo modo all’apertura di ogni nuova connessione il client ssh si preoccuperà prima di controllare se esiste un socket da sfruttare, o in alternativa di crearlo.

I valori possibili per l’opzione ControlMaster sono:

no: il default, nessun socket verrà creato
ask: ad ogni tentativo di connessione, verrà chiesto se usare l’eventuale socket disponibile
yes: il client userà il socket se è disponibile, altrimenti procederà con la connessione normale
auto: il client userà il socket se è disponibile, altrimenti procederà con la connessione normale ed istanzierà il nuovo socket per le connessioni future
autoask: un misto tra auto ed ask

La seconda riga specifica in quale path salvare i socket usati per le connessioni, in questo caso dentro a ~/.ssh/sock/%r@%h:%p.

La sequenza di caratteri specifica come dovrà essere chiamato il file, ecco il significato dei vari pattern:

%r: il login name remoto
%h: l’host remoto
%p: la porta remota
%l: l’hostname locale

�? consigliabile inserire nel path almeno i parametri %r, %h e %p, in modo da identificare univocamente ogni socket.

Connessione Persistente
Sempre sfruttando la funzionalità ControlMaster, è possibile effettuare una singola connessione persistente, che verrà messa in background, e sarà il ControlMaster per tutte le connessioni dirette ad una macchina. Tale tecnica è utile nel caso si facciano molte connessioni di breve durata, come nel caso dell’utilizzo di tool come DistCC su SSH. Per lanciare una connessione persistente è sufficiente lanciare il client ssh specificando le opzioni -MNf:

$ ssh -MNf fpedrini@host
fpedrini@host's password:
$

Da questo momento tutte le connessioni verso �?host’ sfrutteranno il socket appena creato, senza dover rinegoziare ogni volta l’autenticazione.

Sequenze di Escape
Le sequenze di escape di SSH mettono il client in una modalità diversa dalla normale da cui eseguire diverse operazioni, come ad esempio eseguire il forward di una porta senza rieffettuare la connessione oppure mandare in background il client ssh per recuperarlo successivamente tramite il comando �?fg’.

Di default le sequenze di escape vengono attivate dalla pressione della tilde (~: sulla tastiera italiana AltGr+ì) subito dopo un ritorno a capo (dato con enter), il carattere che segue la tilde specificherà l’azione da eseguire. Per scoprire quali sono le sequenze di escape accettate è sufficiente digitare, all’interno di una sessione, la sequenza ~?, l’output sarà simile al seguente:

fpedrini@host:~$ ~?
Supported escape sequences:
  ~.  - terminate connection (and any multiplexed sessions)
  ~B  - send a BREAK to the remote system
  ~C  - open a command line
  ~R  - Request rekey (SSH protocol 2 only)
  ~^Z - suspend ssh
  ~#  - list forwarded connections
  ~& - background ssh (when waiting for connections to terminate)
  ~?  - this message
  ~~  - send the escape character by typing it twice
(Note that escapes are only recognized immediately after newline.)

Di particolare interesse sono, a mio avviso, le sequenze “~C” e “~#”, la prima fa accedere alla commandline di SSH per poter, ad esempio, effettuare il forward di una porta, mentre la seconda mostra tutte le connessioni aperte tra la macchina locale e quella remota:

fpedrini@host:~$ ~C
ssh> -Lport:host:hostport
fpedrini@host:~$
fpedrini@host:~$ ~#
The following connections are open:
  #0 client-session (t4 r0 i0/0 o0/0 fd 4/5 cfd -1)
  #2 client-session (t4 r1 i0/0 o0/0 fd 10/11 cfd 9

L’altra sequenza molto interessante è “~.”, che permette di killare una connessione ssh rimasta appesa senza dover essere costretti ad aprire un altro terminale e uccidere brutalmente il client ssh.

Sock Proxying
SSH è in grado di agire anche da proxy SOCK feature molto comoda nel caso in cui le regole dei vari firewall/proxy aziendali troppo restrittivi per quanto riguarda l’accesso al Web, ma permettano il traffico via SSH all’esterno della LAN.

Per attivare tale feature è sufficiente il seguente comando:

ssh -D 1234 utente@host -C

Da questo momento, tutte le connessioni effettuate attraverso la porta 1234 del vostro pc verranno forwardate all’host remoto che le farà uscire verso internet, l’unica cosa da fare per poter navigare liberamente è configurare il vostro browser per fargli usare come proxy “localhost:1234″.
L’opzione -C invece, non ha nulla a che fare con il forwarding delle connessioni, serve solo ad attivare la compressione del protocollo SSH.

Conclusioni
Questi tre piccoli trucchetti sono solo alcune delle funzionalità più utili di SSH, ma sono forse quelli meno conosciuti e che sono più difficili da capire durante la lettura della manpage. Per tutte le altre funzionalità, rimando comunque alla manpage e ai numerosi howto presenti su internet.

di Francesco Pedrini - MiaMammaUsaLinux.org

» Focus » SSH: un po’ di Tips and Tricks

Michele Renda

Io ho un piccolo problema, che mi da un po fastidio.
Esiste in ssh un parametro, che dica al client: conosco che il fingerprint del server e’ diverso da quello che ho in known host (perche’ per esempio ho rigenerato le chiavi, oppure ho reinstallato il server, etc.) e mi permetta di loggarmi, e magari aggiornare il file known-host.
Fino adesso devo manualmente aprire il file .ssh/known-hosts e cancellare la riga di quel server (o meglio cancellarlo tutto, visto che e’ anche abbastanza difficile capire quale e’ la riga corrispondete al server)

Qualche suggerimento?

anonymous

Non è difficile capire qual’è la riga, te lo dice il messaggio di errore.
(offending key in /.ssh/known_hosts:20 vuol dire che devi cancellare la riga 20 del file)
http://www.miamammausalinux.org Francesco Pedrini

Ciao Michele,

Per disabilitare temporaneamente il check del fingerprint puoi utilizzare il parametro “StrictHostKeyChecking=no’
(oppure ask, come preferisci) passandolo come opzione al comando ssh in questo modo:

ssh -o ‘StrictHostKeyChecking=no’ user@host

In ogni caso, ho intenzione di scrivere una seconda parte dell’articolo, non posso promettere che arriverà in tempi brevi, ma abbi fede :)

Ciao
Francesco

Michele Renda

Aggiungo un consiglio a chi vuole applicare il primo consiglio:

Per avere il metodo funzionate dovrete accertarvi di avere questa cartella esistente (se non esiste createla):

~/.ssh/sock

Il file ~/.ssh/config deve essere anche lui creato nel caso non esistesse
http://fraph24.wordpress.com frafra

molto interessante. Grazie :)
http://www.grolug.org maxmurd

Ringfrazio anche io per questi trucchi, molto comodi!! :):):)

La nostra community su Facebook!