Project

General

Profile

AutosshTunnel » History » Version 4

Simone Piccardi, 06/23/2011 04:13 PM

1 1 Simone Piccardi
h1. Creare tunnel permanenti con autossh
2 1 Simone Piccardi
3 2 Simone Piccardi
Ci sono molte occasioni un cui creare occorre creare delle connessioni verso macchine e servizi che sono protette da firewall che è opportuno cifrare e proteggere adeguatamente, ma per le quali la creazione di una VPN diventa un onere eccessivo.
4 1 Simone Piccardi
5 2 Simone Piccardi
Per questo la capacità di _port forwarding_ di SSH è molto utile per creare un tunnel cifrato da una macchina ad un'altra, consentendo anche di condividere accessi locali (come ad esempio ad un MySQL che ascolta solo localmente) in maniera sicura, con il solo problema che in caso di problemi la connessione SSH (ed il relativo tunnel) potrebbero cadere. 
6 1 Simone Piccardi
7 4 Simone Piccardi
Per ovviare a questa eventualità e consentire di creare tunnel permanenti ci viene in aiuto @autossh@ un semplice programma che consente di eseguire una istanza di @ssh@ mantenendola sotto controllo, e riavviando la stessa qualora la connessione dovesse cadere fino ad un numero massimo di volte controllato dalla variabile di ambiente @AUTOSSH_MAXSTART@ o indefinitamente se il valore di questa è negativo (comportamento di default). 
8 1 Simone Piccardi
9 4 Simone Piccardi
Il programma infatti rileva se l'istanza di @ssh@ che ha lanciato termina per un segnale o un errore di connessione e nel caso la riesegue, se invece si termina @ssh@ con un segnale di SIGKILL @autossh@ interpreta la cosa come una terminazione esplicita, e si ferma.  Allo stesso modo viene interpretato un segnale di terminazione a @autossh@ stesso, che nel caso esce terminando anche l'istanza di @ssh@.
10 1 Simone Piccardi
11 4 Simone Piccardi
Il comando prende una opzione principale, @-M@ che consente di indicare una porta di monitoraggio della connessione (per verificare cioè che l'istanza di @ssh@ sia attiva e funzionante utilizza la porta indicata e la successiva per mandare dei messaggi che gli devono tornare indietro). Con la versione 2 del protocollo @ssh@ supporta un controllo interno della connessione, che è più affidabile, pertanto si suggerisce di usare le opportune opzioni di controllo (che vedremo più avanti) ed indicare sempre un valore nullo  (cioè @-M 0@) che disabilita questo monitoraggio.
12 2 Simone Piccardi
13 4 Simone Piccardi
Il resto del comportamento del programma è controllato da una serie di ulteriori variabili di ambiente per il significato delle quali si rimanda alla lettura della pagina di manuale (i valori di default sono adatti all'uso ordinario, possono essere modificati in caso di problemi o per attivare diagnostiche). 
14 4 Simone Piccardi
15 2 Simone Piccardi
L'uso di @autossh@ consente di creare un numero arbitrario di tunnel in maniera molto sicura, se infatti non è necessario mettersi in ascolto su porte riservate, si può far eseguire il programma per conto di un utente non privilegiato, che nel nostro caso sarà appunto @autossh@. Si provvederà allora a creare detto utente su entrambi i capi del tunnel con:
16 2 Simone Piccardi
17 2 Simone Piccardi
<pre>
18 2 Simone Piccardi
useradd -m -s /bin/false autossh
19 2 Simone Piccardi
</pre>
20 2 Simone Piccardi
21 2 Simone Piccardi
e si noti come per l'utente si sia disabilitata la shell e non si sia impostata la password, cosa che renderà impossibile usare l'utente per un accesso al sistema (che non ci serve essendo esso utilizzato solo allo scopo di creare il tunnel).
22 2 Simone Piccardi
23 2 Simone Piccardi
La scelta di non impostare la password richiede l'uso della autenticazione a chiavi, cosa che è comunque il caso di usare sempre e se possibile in maniera esclusiva. Per questo sul capo della connessione che deve creare il tunnel si dovrà creare una chiave per l'utente, che, se si vuole che il tunnel possa partire automaticamente all'avvio, dovrà essere senza password; pertanto si dovranno eseguire i seguenti comandi:
24 2 Simone Piccardi
25 2 Simone Piccardi
<pre>
26 2 Simone Piccardi
root@hain:~# su -s /bin/bash autossh
27 2 Simone Piccardi
autossh@mail:/root$ ssh-kegen
28 2 Simone Piccardi
Generating public/private rsa key pair.
29 2 Simone Piccardi
Enter file in which to save the key (/home/autossh/.ssh/id_rsa): 
30 2 Simone Piccardi
Enter passphrase (empty for no passphrase): 
31 2 Simone Piccardi
Enter same passphrase again: 
32 2 Simone Piccardi
Your identification has been saved in /home/autossh/.ssh/id_rsa.
33 2 Simone Piccardi
Your public key has been saved in /home/autossh/.ssh/id_rsa.pub.
34 2 Simone Piccardi
The key fingerprint is:
35 2 Simone Piccardi
b6:b7:d5:1e:fd:b0:62:57:b5:77:4c:33:82:78:f7:06 autossh@dodds
36 2 Simone Piccardi
The key's randomart image is:
37 2 Simone Piccardi
+--[ RSA 2048]----+
38 2 Simone Piccardi
|                 |
39 2 Simone Piccardi
|                 |
40 2 Simone Piccardi
|          . .    |
41 2 Simone Piccardi
|         . o E oo|
42 2 Simone Piccardi
|        S . . +o=|
43 2 Simone Piccardi
|       . .   . ==|
44 2 Simone Piccardi
|        . . . =.+|
45 2 Simone Piccardi
|         . oo..+.|
46 2 Simone Piccardi
|          .. oo .|
47 2 Simone Piccardi
+-----------------+
48 2 Simone Piccardi
</pre>
49 3 Simone Piccardi
50 3 Simone Piccardi
(è necessario usare @su@ con il primo comando per impersonare l'utente @autossh@ dato che questo non ha una shell né una password valida).
51 3 Simone Piccardi
52 3 Simone Piccardi
Una volta fatto questo si dovrà aver cura di copiare la chiave pubblica sulla/e macchina/e di destinazione ed installarla nelle home degli utenti @autossh@ ivi creati sotto @.ssh/authorized_keys@; si verifichi che detto file appartenga ad @autossh@.
53 3 Simone Piccardi
54 3 Simone Piccardi
Una volta fatto questo si potrà creare un tunnel semplicamente lanciando il relativo comando di @ssh@ tramite @autossh@. Dato che si vuole solo creare il tunnel occorrerà usare l'opzione @-N@ per dire a @ssh@ di non lanciare nessun comando, l'opzione @-f@ per mettersi in background, inoltre sono importanti le opzioni:
55 3 Simone Piccardi
56 3 Simone Piccardi
<pre>
57 3 Simone Piccardi
-o "ServerAliveInterval 60" 
58 3 Simone Piccardi
-o "ServerAliveCountMax 3"
59 3 Simone Piccardi
</pre>
60 3 Simone Piccardi
61 3 Simone Piccardi
che consentono di attivare il contollo interno della sussistenza della connessione di @ssh@; il tunnel potrà poi essere attivato con le solite opzioni @-L@ o @-R@ a seconda della direzione.
62 1 Simone Piccardi
63 4 Simone Piccardi
Se allora ad esempio si vuole creare un tunnel per la connessione ad un database MySQL remoto di una macchina che è raggiungibile in SSH, una volta creati gli utenti, come descritto, sarà sufficiente esegure il comando:
64 1 Simone Piccardi
65 1 Simone Piccardi
<pre>
66 3 Simone Piccardi
su -s /bin/sh autossh -c 'autossh -M 0 -q -f -N -o "ServerAliveInterval 60" -o "ServerAliveCountMax 3" -L 3306:localhost:3306 autossh@macchinaremota'
67 3 Simone Piccardi
</pre>
68 4 Simone Piccardi
69 4 Simone Piccardi
ed almeno la prima volta accettare la validità della fingerprint della chiave.
70 4 Simone Piccardi
71 4 Simone Piccardi
Per abilitare il tunnel in maniera permanente all'avvio la cosa più semplice è inserire il comando in @/etc/rc.local@ o file analogo per il proprio sistema di avvio.