Necessitem conèixer el fingerprint d’una clau rsa que hem de comparar amb una que tenim donada d’alta amb una plataforma cloud.
serg@node:~> ssh-keygen -E md5 -lf id_rsa 2048 MD5:fc:45:04:5a:6e:2c:2e:50:fc:6f:52:1c:ae:b3:de:d1 root (RSA) sergi@node:~>
Necessitem utilitzar diferents claus SSH per diferents destins.
Per això utilitzarem el fitxer config dins del nostre directori de SSH: ~/.ssh.
En aquest fitxer entre d’altres coses configurarem els destins i les claus que utilitzarem
Host host1.domini.tld
HostName host1.domini.tld
IdentityFile ~/.ssh/host2/id_rsa # clau privada de l'usuari del host1
User nom_usuari
Host host2.domini.tld
HostName host1.domini.tld
IdentityFile ~/.ssh/host2/id_rsa # clau privada de l'usuari del host2
User nom_usuari
Host host3.domini.tld
HostName host1.domini.tld
IdentityFile ~/.ssh/host3/id_rsa # clau privada de l'usuari del host3
User nom_usuari
Intercanvi de claus SSH per poder accedir sense password.
ssh-keygen -t rsa cat .ssh/id_rsa.pub | ssh root@localhost 'cat >> .ssh/authorized_keys'
o
ssh-copy-id {username}@{servidor}
Config SSHD al destí
PermitRootLogin yes | without-password PermitTunnel yes
LOCAL
ssh -w {tun_local}:{tun_remot} root@{ip}
ex:
ssh -w 0:0 root@{ip} #cal vigilar que no estiguin en ús
ssh -w any:any root@{ip} #assignació dev tun dinàmica
ssh -Cf -w {tun_local}:{tun_remot} root@{ip} # En segon plà
ssh -Cf -w 1:1 -o Tunnel=ethernet root@{ip} # Layer2 (dev tap1)
DESTÍ
ip link set tun0 up
ip addr add 1.0.0.2/32 peer 1.0.0.1 dev tun0
ip route add {xarxalocal} via 1.0.0.1
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s {xarxalocal} -o {iface_lan} -j MASQUERADE
LOCAL
ip link set tun0 up
ip addr add 1.0.0.1/32 peer 1.0.0.2 dev tun0
ip route add {xarxaremota} via 1.0.0.2
echo "1" >/proc/sys/net/ipv4/ip_forward
Exemple d’una sola línia:
ssh -Cf -w 1:1 root@{host} 'ip link set tun1 up; ip addr add 1.0.0.2/32 peer 1.0.0.1 dev tun1;' ; ip link set tun1 up; ip addr add 1.0.0.1/32 peer 1.0.0.2 dev tun1
Evitar per LABs el SSH Host Checking que a vegades fa perdre el temps.
alias ssh='ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no'
