Làm thế nào để giữ một đường hầm SSH đáng tin cậy?

Tôi sử dụng một đường hầm SSH từ công việc để đi xung quanh các tường lửa khác nhau (với sếp của tôi là được rồi :)). Vấn đề là, sau một thời gian, kết nối ssh thường bị treo và đường hầm bị hỏng.

Nếu tôi ít nhất có thể tự động giám sát đường hầm, tôi có thể khởi động lại đường hầm khi nó bị treo, nhưng tôi thậm chí không tìm ra cách nào để làm điều đó.

Điểm thưởng cho người có thể cho tôi biết làm thế nào để ngăn kết nối ssh của tôi bị treo, tất nhiên!

Âm thanh như bạn cần autossh . Điều này sẽ giám sát một đường hầm ssh và khởi động lại nó khi cần thiết. Chúng tôi đã sử dụng nó trong một vài năm và nó dường như hoạt động tốt.

autossh -M 20000 -f -N your_public_server -R 1234:localhost:22 -C

Thêm chi tiết về tham số -M tại đây

Tất cả các tường lửa trạng thái quên một kết nối sau khi không thấy gói tin cho kết nối đó trong một thời gian (để ngăn các bảng trạng thái trở nên đầy các kết nối trong đó cả hai đầu đều chết mà không đóng kết nối). Hầu hết các triển khai TCP sẽ gửi một gói giữ lại sau một thời gian dài mà không nghe thấy từ phía bên kia (2 giờ là một giá trị chung). Tuy nhiên, nếu có một tường lửa trạng thái mà quên kết nối trước khi các gói giữ nguyên có thể được gửi, một kết nối dài nhưng nhàn rỗi sẽ chết.

Nếu đó là trường hợp, giải pháp là ngăn chặn kết nối không hoạt động. OpenSSH có một tùy chọn gọi là ServerAliveInterval , có thể được sử dụng để ngăn kết nối không hoạt động quá lâu (như một phần thưởng, nó sẽ phát hiện khi đồng nghiệp chết sớm hơn ngay cả khi kết nối không hoạt động).

Trên máy mac hoặc linux của riêng bạn, cấu hình ssh của bạn giữ cho máy chủ ssh tồn tại cứ sau 3 phút. Mở một thiết bị đầu cuối và đi .ssh vô hình của bạn trong nhà của bạn:

cd ~/.ssh/ 

sau đó tạo tệp cấu hình 1 dòng với:

echo "ServerAliveInterval 180" >> config

bạn cũng nên thêm:

ServerAliveCountMax xxxx (high number)

mặc định là 3 vì vậy ServerAliveInterval 180 sẽ ngừng gửi sau 9 phút (3 trong khoảng thời gian 3 phút được chỉ định bởi ServerAliveInterval).

Tôi đã sử dụng tập lệnh Bash sau để tiếp tục sinh ra các đường hầm ssh mới khi cái trước đó chết. Sử dụng tập lệnh rất tiện lợi khi bạn không muốn hoặc không thể cài đặt các gói bổ sung hoặc sử dụng trình biên dịch.

while true
do
  ssh <ssh_options> [user@]hostname
  sleep 15
done

Lưu ý rằng điều này đòi hỏi một keyfile để thiết lập kết nối tự động, nhưng đó cũng là trường hợp với autossh.

Systemd là lý tưởng phù hợp cho việc này.

Tạo một tệp dịch vụ /etc/systemd/system/sshtunnel.servicecó chứa:

[Unit]
Description=SSH Tunnel
After=network.target

[Service]
Restart=always
RestartSec=20
User=sshtunnel
ExecStart=/bin/ssh -NT -o ServerAliveInterval=60 -L 5900:localhost:5900 user@otherserver

[Install]
WantedBy=multi-user.target

(Sửa đổi lệnh ssh cho phù hợp)

• cái này sẽ chạy như người dùng, sshtunnelvì vậy hãy chắc chắn rằng người dùng đó tồn tại trước
• vấn đề systemctl enable sshtunnelđể thiết lập nó để bắt đầu lúc khởi động
• vấn đề systemctl start sshtunnelđể bắt đầu ngay lập tức

Cập nhật tháng 1 năm 2018 : một số bản phát hành (ví dụ Fedora 27) có thể sử dụng chính sách SELinux để ngăn chặn việc sử dụng SSH từ systemd init, trong trường hợp đó, chính sách tùy chỉnh sẽ cần được tạo để cung cấp các miễn trừ cần thiết.

Tôi chắc chắn rằng tất cả các bạn đều hiểu sai về ServerAliveCountMax. Theo tôi hiểu các tài liệu, đó là số lượng tin nhắn còn sống của máy chủ có thể không được trả lời mà không bị ngắt kết nối. Vì vậy, trong những trường hợp như chúng ta đang thảo luận ở đây, việc đặt nó thành giá trị cao sẽ chỉ đảm bảo rằng kết nối treo sẽ không bị phát hiện và chấm dứt!

Chỉ cần đặt ServerAliveInterval là đủ để giải quyết vấn đề với tường lửa mà quên kết nối và để ServerAliveCountMax ở mức thấp sẽ cho phép kết thúc ban đầu nhận thấy lỗi và chấm dứt nếu kết nối không thành công.

Những gì bạn muốn là, 1) để kết nối được mở vĩnh viễn trong các trường hợp thông thường, 2) để phát hiện lỗi kết nối và phía khởi tạo để thoát khi lỗi và 3) cho lệnh ssh được cấp lại mỗi lần thoát (cách bạn làm điều đó phụ thuộc rất nhiều vào nền tảng, tập lệnh "while true" được đề xuất bởi Jawa là một cách, trên OS XI thực sự thiết lập một mục launchd).

Luôn sử dụng ServerAliveIntervaltùy chọn SSH trong trường hợp các sự cố đường hầm được tạo bởi các phiên NAT đã hết hạn.

Luôn sử dụng phương pháp hồi sinh trong trường hợp kết nối bị hỏng hoàn toàn, bạn có ít nhất ba tùy chọn ở đây:

• chương trình tự động
• bash script ( while true do ssh ...; sleep 5; done) không xóa lệnh ngủ, sshcó thể thất bại nhanh chóng và bạn sẽ hồi sinh quá nhiều quá trình

• /etc/inittab, để có quyền truy cập vào một hộp được vận chuyển và cài đặt ở một quốc gia khác, phía sau NAT, mà không cần chuyển tiếp cổng tới hộp, bạn có thể định cấu hình nó để tạo đường hầm ssh cho bạn:

  tun1:2345:respawn:/usr/bin/ssh -i /path/to/rsaKey -f -N -o "ServerAliveInterval 180" -R 55002:localhost:22 user@publicip 'sleep 365d'
  

• tập lệnh khởi động trên Ubuntu, nơi /etc/inittabkhông có sẵn:

  start on net-device-up IFACE=eth0
  stop on runlevel [01S6]
  respawn
  respawn limit 180 900
  exec ssh -i /path/to/rsaKey -N -o "ServerAliveInterval 180" -R 55002:localhost:22 user@publicip
  post-stop script
      sleep 5
  end script
  

hoặc luôn luôn sử dụng cả hai phương pháp.

Tôi đã giải quyết vấn đề này bằng cách này:

Biên tập

~/.ssh/config

Và thêm

ServerAliveInterval 15
ServerAliveCountMax 4

Theo trang man cho ssh_config:

ServerAliveCountMax
         Sets the number of server alive messages (see below) which may be
         sent without ssh(1) receiving any messages back from the server.
         If this threshold is reached while server alive messages are
         being sent, ssh will disconnect from the server, terminating the
         session.  It is important to note that the use of server alive
         messages is very different from TCPKeepAlive (below).  The server
         alive messages are sent through the encrypted channel and there‐
         fore will not be spoofable.  The TCP keepalive option enabled by
         TCPKeepAlive is spoofable.  The server alive mechanism is valu‐
         able when the client or server depend on knowing when a connec‐
         tion has become inactive.

         The default value is 3.  If, for example, ServerAliveInterval
         (see below) is set to 15 and ServerAliveCountMax is left at the
         default, if the server becomes unresponsive, ssh will disconnect
         after approximately 45 seconds.  This option applies to protocol
         version 2 only.

 ServerAliveInterval
         Sets a timeout interval in seconds after which if no data has
         been received from the server, ssh(1) will send a message through
         the encrypted channel to request a response from the server.  The
         default is 0, indicating that these messages will not be sent to
         the server.  This option applies to protocol version 2 only.

ExitOnForwardFailure yeslà một sự bổ sung tốt cho các đề xuất khác. Nếu nó kết nối nhưng không thể thiết lập cổng chuyển tiếp thì nó cũng vô dụng với bạn như thể nó hoàn toàn không kết nối.

Tôi đã có nhu cầu duy trì đường hầm SSH lâu dài. Giải pháp của tôi là chạy từ máy chủ Linux và đó chỉ là một chương trình C nhỏ đáp ứng ssh bằng xác thực dựa trên khóa.

Tôi không chắc chắn về việc treo cổ, nhưng tôi đã có đường hầm chết do hết thời gian.

Tôi rất thích cung cấp mã cho người phản hồi, nhưng dường như tôi không thể tìm thấy nó ngay bây giờ.

trong khi có các công cụ như autossh giúp khởi động lại phiên ssh ... điều tôi thấy thực sự hữu ích là chạy lệnh 'screen'. Nó cho phép bạn TIẾP TỤC các phiên ssh của bạn ngay cả sau khi bạn ngắt kết nối. Đặc biệt hữu ích nếu kết nối của bạn không đáng tin cậy như mong muốn.

• http://www.howtogeek.com/howto/ubfox/keep-your-ssh-session-rucky-when-you-disconnect/

... đừng quên đánh dấu đây là câu trả lời 'chính xác' nếu nó giúp bạn k! ;-)

Một chút hack, nhưng tôi thích sử dụng màn hình để giữ điều này. Tôi hiện có một điều khiển từ xa đã chạy trong nhiều tuần.

Ví dụ, bắt đầu tại địa phương:

screen
ssh -R ......

Khi điều khiển từ xa được áp dụng và bạn có một vỏ trên máy tính từ xa:

screen
Ctrl + a + d

Bây giờ bạn có một điều khiển từ xa không bị gián đoạn. Mẹo nhỏ là chạy màn hình ở cả hai đầu

Gần đây có vấn đề này, bởi vì các giải pháp này yêu cầu bạn nhập lại mật khẩu mỗi lần nếu bạn sử dụng mật khẩu đăng nhập, tôi đã sử dụng sshpass trong một vòng lặp cùng với lời nhắc văn bản để tránh có mật khẩu trong tệp bó.

Tôi nghĩ rằng tôi sẽ chia sẻ giải pháp của mình về vấn đề này trong trường hợp bất kỳ ai khác có cùng vấn đề:

#!/bin/bash
read -s -p "Password: " pass
while true
do
    sshpass -p "$pass" ssh user@address -p port
    sleep 1
done

Tôi đã có vấn đề tương tự với ISP trước đây của tôi. Đối với tôi nó cũng giống với bất kỳ kết nối tcp nào, truy cập trang web hoặc gửi thư.

Giải pháp là cấu hình kết nối VPN qua UDP (Tôi đang sử dụng OpenVPN). Kết nối này khoan dung hơn với bất cứ điều gì gây ra sự ngắt kết nối. Sau đó, bạn có thể chạy bất kỳ dịch vụ thông qua kết nối này.

Vẫn có thể có vấn đề với kết nối nhưng vì đường hầm sẽ khoan dung hơn nên bất kỳ phiên ssh nào cũng sẽ cảm thấy bị giữ lại ngắn hơn là bị ngắt kết nối.

Để làm điều này, bạn sẽ cần một dịch vụ VPN trực tuyến mà bạn có thể thiết lập trên máy chủ của riêng mình.

Vì autosshkhông đáp ứng nhu cầu của chúng tôi (nó tồn tại do lỗi nếu không thể kết nối với máy chủ ngay lần thử đầu tiên), chúng tôi đã viết một ứng dụng bash thuần túy: https://github.com/aktos-io/link- với máy chủ

Nó tạo một đường hầm ngược cho cổng sshd của NODE (22) trên máy chủ theo mặc định. Nếu bạn cần thực hiện bất kỳ hành động nào khác (như chuyển tiếp các cổng bổ sung, gửi thư trên kết nối, v.v ...), bạn có thể đặt tập lệnh on-connectvà on-disconnectthư mục của mình.