Serveur de terminal pour administrateur; Pas un seul écart SSH

Si votre travail nécessite de conserver un grand nombre de sessions SSH sur différents serveurs, vous savez probablement comment elles se cassent facilement lors du passage à un autre Wi-Fi ou lorsque Internet est temporairement perdu. Mais que se passe-t-il si je vous dis que tous ces problèmes sont résolus depuis longtemps et que vous pouvez oublier les sessions interrompues et les reconnexions constantes?

En ouvrant le couvercle de l'ordinateur portable, toutes mes dizaines de sessions SSH sont immédiatement accessibles et dans le même état que je les ai laissées. Cet article décrit comment configurer un serveur Terminal Server pour un administrateur système. L'utilisation d'un tel serveur vous permet d'oublier les sessions SSH interrompues, de vous reconnecter et de saisir constamment des mots de passe.

Configuration du serveur

L'idée est simple et clairement illustrée dans l'image du titre de l'article: nous conserverons toutes les connexions SSH sur un serveur terminal spécial. Ce serveur sera notre point d'entrée pour gérer d'autres serveurs. Dans le même temps, les serveurs finaux n'ont pas besoin de configurer ou d'installer de logiciels supplémentaires.
Presque toutes les configurations conviennent à un serveur Terminal Server, mais il est préférable d'avoir plus de RAM pour stocker le journal de la console à l'intérieur de chaque session et de pouvoir faire défiler l'historique à tout moment et voir ce que vous avez fait sur le serveur de session il y a un mois. Habituellement, 1 à 2 Go de mémoire suffisent.

Choix de distribution

Dans le serveur Terminal Server, la chose la plus importante est la disponibilité, car moins nous redémarrons, plus nos sessions SSH sont actives. Par conséquent, nous choisissons la distribution LTS (Long Term Support) la plus conservatrice, par exemple, une branche Debian ou Ubuntu stable. Nous configurons des mises à jour automatiques (mises à niveau sans assistance) afin qu'un redémarrage soudain des programmes ne soit pas une surprise.

Configuration du serveur SSH

Étant donné que le serveur de terminaux ouvrira l'accès à tous nos serveurs à la fois, il sera sûr de le sécuriser. Pour ce faire, nous interdisons l'authentification avec des mots de passe, ne laissant que l'accès avec des clés, et nous interdisons également la connexion en tant que root.
Vous devez d'abord créer un nouvel utilisateur dans le système.

/ etc / ssh / sshd_config

..... #    root PermitRootLogin no #   ,   ChallengeResponseAuthentication no #   ,   PAM   UsePAM no .... 

Une telle configuration est tout à fait suffisante pour se protéger contre l'énumération de masse des mots de passe, car le serveur SSH fermera simplement la connexion lors de la tentative de connexion avec un mot de passe. Même avec un grand nombre de connexions, elles se fermeront assez rapidement sans créer de charge importante sur le serveur. À mon avis, avec cette configuration, il n'est pas nécessaire d'installer des fonctionnalités de sécurité supplémentaires comme fail2ban.

Souvent, les administrateurs débutants dans leurs manuels conseillent de changer le port SSH et d'installer une sorte de port non standard comme 2222 au lieu de 22 . À mon avis, c'est une mauvaise pratique qui n'ajoute aucune sécurité.

• Cela ne vous permettra pas de vous protéger contre le craquage de mot de passe, car les scanners automatiques trouveront toujours SSH sur n'importe quel port et commenceront à marteler.
• Cela gâche si plusieurs personnes administrent le système et inventent chacune leurs propres ports. Lorsqu'il existe des dizaines de ces systèmes, vous devez rechercher le scanner sur quel port le SSH est masqué cette fois.
• Cela rompt les restrictions de sécurité intégrées dans les programmes. Par exemple, les navigateurs Web ne se connecteront pas au port 22 si vous le spécifiez explicitement dans HTTP, mais en même temps vous connectez à un autre port non standard. Cela peut être utilisé pour déclencher des systèmes IDS / IPS DDoS.

Tmux - une seule fenêtre pour tout gouverner

Tmux est un programme incroyablement pratique pour gérer des terminaux virtuels, sans lequel je ne peux tout simplement pas imaginer mon travail. Au début, cela semble déroutant et compliqué, mais si vous vous maîtrisez et apprenez à l'utiliser, vous ne pouvez plus le refuser.

Pour ceux qui ne savent pas ce qu'est tmux, imaginez un navigateur Web à onglets, mais au lieu de sites, il y a des sessions de console. Vous pouvez ouvrir un nombre infini d'onglets et exécuter dans chaque onglet votre programme. En même temps, il s'exécute sur le serveur, et vous pouvez vous en déconnecter à tout moment, tandis que tous les onglets et programmes en cours d'exécution resteront à leur place et vous pourrez y revenir.

Installez tmux s'il n'est pas déjà installé:

 apt install tmux 

Dans la terminologie tmux, un ensemble de fenêtres distinct est appelé une session. Nous n'utiliserons qu'une seule session par défaut, donc nous n'utiliserons pas du tout les noms de session. Mais il est important de savoir qu'il peut y en avoir plusieurs si nécessaire.

Créez une nouvelle session:

 tmux new 

À ce moment, nous avons créé une nouvelle session avec une fenêtre et nous y sommes immédiatement connectés. Vous pouvez voir la barre d'état verte qui apparaît ci-dessous. Cela ressemble à une barre à onglets dans un navigateur. Il affichera l'onglet actuel et les messages voisins, ainsi que les messages de service.

^{La barre d'état tmux affiche les noms des fenêtres (onglets)}
À ce stade, même si nous fermons la connexion SSH et nous nous reconnectons au serveur, notre session tmux en cours d'exécution restera dans le même état, avec tous les programmes en cours d'exécution, comme si nous la minimisions. Essayons d'exécuter le programme supérieur dans la session tmux et déconnectons-nous de celle-ci. Pour plus de clarté, fermez complètement la fenêtre du terminal et reconnectez-vous au serveur.

Après vous être reconnecté au serveur, nous nous connecterons à notre session précédemment lancée:

 tmux attach 

Et assurez-vous que le programme en cours d'exécution continue de fonctionner. À ce stade, il est important de comprendre le principe principal: après le démarrage de la session tmux, il reste à travailler en arrière-plan sur le serveur, que vous y soyez connecté ou non.

Étant donné que la session tmux permet plusieurs connexions simultanées, cela peut être utilisé pour la collaboration de plusieurs personnes sur le serveur pour voir la même console en temps réel. Pour ce faire, tout le monde se connecte au même serveur sous le même compte et saisit tmux attach. Là, vous pouvez discuter, directement sur la ligne de commande. Nous l'utilisons souvent afin de ne pas se jeter le journal de la console dans le messager, mais de travailler immédiatement sur un terminal.

Tmux peut diviser une fenêtre en plusieurs (chaque fenêtre à l'intérieur d'un onglet est appelée volet), ce qui est pratique lorsque vous devez voir deux consoles en même temps. Par exemple, dans une fenêtre, modifiez le script et dans une autre, consultez le journal.

^{tmux vous permet de créer plusieurs fenêtres à l'intérieur d'une seule et de les redimensionner}

Par défaut, Ctrl + b est utilisé pour contrôler tmux. Après avoir appuyé sur cette touche de raccourci de contrôle, tmux s'attend à entrer la commande principale à partir d'une seule lettre.

Voici les commandes de base:
Ctrl + b + c - (créer) Créer une nouvelle fenêtre (onglet)
Ctrl + b + <chiffre> - Déplacer vers le numéro de tabulation N, où le chiffre est une clé de 0 à 9. La numérotation des fenêtres commence à zéro.
Ctrl + b + x - ferme la fenêtre actuelle. Si la dernière fenêtre est fermée, la session tmux se terminera.
Ctrl + b + w - affiche une liste de toutes les fenêtres que vous pouvez déplacer vers le haut et vers le bas avec les boutons du curseur et sélectionnez celle souhaitée en appuyant sur entrée.
Ctrl + b + " - diviser la fenêtre en deux horizontalement et en créer une nouvelle
Ctrl + b +% - diviser la fenêtre verticalement et en créer une nouvelle
Ctrl + b +, - renommer la fenêtre courante
Ctrl + b + bas / haut / gauche / droite - se déplacer dans le volet à l'intérieur de la fenêtre
Ctrl + b + page haut / page bas - faites défiler vers le haut
Ctrl + b + / - recherche par historique, comme dans vim ou moins

Ce sont tous les raccourcis clavier dont j'avais besoin pendant 10 ans d'utilisation de tmux. En fait, il y en a beaucoup plus, mais pour commencer, il vaut mieux s'y attarder.

Config Tmux

Je trouve la touche de raccourci Ctrl + b inconfortable, car il faut trop appuyer sur trois touches pour une action. Le thème des configs tmux est un domaine distinct du goût, et chaque utilisateur expérimenté a sa propre vision de la façon de l'utiliser correctement et commodément. Il y a même des sélections d' auteurs entières de configurations et de thèmes pour tmux.

Pour commencer, je donnerai un exemple de ma config qui, il me semble, résout toutes les difficultés qui empêchent le développement rapide de tmux. La configuration se trouve dans le dossier d'accueil avec le nom ~ / .tmux.conf

 #  ctrl+b    .   macbook        set-option -g prefix ` #     <`>  `+a bind-key a send-prefix #       set -g base-index 1 set-option -g base-index 1 setw -g pane-base-index 1 # Lowers the delay time between the prefix key and other keys - fixes pausing in vim set-option -sg escape-time 1 #     1000 .      set -g history-limit 1000 #    # default statusbar colors set-option -g status-fg white set-option -g status-bg default # default window title colors set-window-option -g window-status-fg default set-window-option -g window-status-bg default #        #------------------ # Respawn windows when PANE IS DEAD bind-key R respawn-window #   default   local new -d -s default -n local #     irc   irssi neww -d -n irc irssi #     superserver   ssh root@superserver.com neww -d -n superserver ssh root@superserver.com #     anotherserver   ssh root@123.123.123.123 neww -d -n superserver anotherserver root@123.123.123.123 

Cette configuration vous permet de créer automatiquement plusieurs fenêtres au démarrage, dans lesquelles les sessions SSH démarrent immédiatement. Dans ce cas, il n'est pas nécessaire de créer manuellement une nouvelle session avec la commande tmux new , il suffit de toujours saisir tmux attach . Si la session n'existait pas auparavant, elle sera créée.

Autostart tmux

Nous voulons que lors de la connexion à un serveur de terminaux, nous entrions immédiatement dans tmux, même si le serveur a été redémarré et que la session tmux a été fermée.

Pour ce faire, ajoutez tmux à la fin du fichier ~ / .bashrc . Il est important de se rappeler qu'une telle conception ne fonctionnera qu'avec la configuration ci-dessus.

 if [ ! "$TMUX" ]; then tmux attach fi if [ "$TMUX" ]; then export TERM=screen fi 

Cette condition simple signifie que si nous ne sommes pas dans tmux, nous y sommes connectés.

Ceci termine la configuration tmux sur le serveur Terminal Server. Désormais, pour chaque nouvelle connexion SSH, nous créerons une fenêtre séparée dans tmux. Et même si la connexion au serveur Terminal Server est perdue, toutes les connexions SSH resteront actives.

Mosh - Plus de pauses

Nous devons maintenant fournir une connexion continue au serveur Terminal Server, qui sera toujours actif. Même si nous avons fermé l'ordinateur portable pendant plusieurs jours et l'avons ouvert dans un autre réseau wifi, la connexion devrait être rétablie elle-même.

Mosh est un module complémentaire sur un serveur OpenSSH standard, qui vous permet d'oublier les déconnexions. Mosh se connecte à l'aide de SSH standard, après quoi un canal UDP distinct est levé, qui est instantanément restauré après une pause, même si votre adresse IP externe est modifiée.
Comme nous devons maintenir une connexion constante avec le serveur de terminaux, nous n'installerons mosh que sur le serveur et sur notre ordinateur de travail. Dans le même temps, vous n'avez pas besoin d'installer quoi que ce soit sur les serveurs distants, car les connexions avec eux vivent déjà pour toujours dans tmux.

Installez mosh sur le serveur:

 apt install mosh 

Installez mosh sur notre ordinateur de travail. Il est disponible pour tous les principaux systèmes d'exploitation, mais le client natif est uniquement pour les systèmes d'exploitation de type Unix. La version Windows est implémentée à l'aide de Cygwin ou de l'application Chrome.

J'utilise macOS et j'installe mosh via le gestionnaire de paquets de brassage:

 brew install mosh 

Dans la plupart des cas, mosh ne nécessite pas de configuration supplémentaire et fonctionne dès la sortie de l'emballage. Il suffit d'écrire mosh au lieu de la commande ssh:

 mosh user@my-server.com 

Pour les configurations non standard, la commande semble un peu plus compliquée. Par exemple, si vous devez spécifier le port et le chemin de clé:

 mosh --ssh="ssh -p 2222 -i /path/to/ssh.key" user@my-server.com 

Mosh effectue l'authentification principale en tant que client SSH standard, autorisant le port standard 22. En même temps, le serveur mosh n'écoute initialement aucun port, et à part le démon OpenSSH d'origine, aucun port n'est ouvert sur le serveur. Après la connexion via TCP, mosh s'exécute sur le serveur dans l'espace utilisateur et ouvre un tunnel supplémentaire via UDP.


^{Organigramme du protocole Mosh}

Maintenant, la session mosh en cours d'exécution sur le client sera toujours restaurée lorsque Internet apparaîtra. Sur mon ordinateur portable, je garde une session ouverte pendant des mois sans redémarrer et je n'ai pas besoin de me connecter constamment au serveur Terminal Server, cela fonctionne toujours.

Afin de ne pas entrer à chaque fois une commande de connexion longue au serveur Terminal Server, j'ai créé un alias de la commande de connexion à partir d'une seule lettre:

 alias t='mosh --ssh="ssh -p 443 -i /path/to/ssh.key" user@my-server.com' 

Conclusion

Ce schéma simple vous permet d'économiser considérablement du temps et des nerfs, de ne pas perdre le résultat du travail lorsque SSH est cassé. Je dois constamment voir comment les administrateurs novices commencent à se connecter à leurs serveurs à chaque fois et tuent les sessions SSH collantes.
Cela peut sembler déroutant à première vue, mais je vous assure qu'une fois que vous vous maîtriserez et vous y habituerez, vous commencerez à regarder avec un regret condescendant ceux qui ont encore des connexions SSH rompues.

Abonnez-vous à notre développeur Instagram