Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Comandi SSH Essenziali per Amministratori di Sistema

Padroneggia i comandi SSH essenziali per amministratori di sistema con questa guida completa. Impara come connetterti in modo sicuro a server remoti, gestire le configurazioni ed eseguire trasferimenti di file efficienti utilizzando `scp` e `sftp`. Approfondisci argomenti avanzati come l'inoltro di porte locale, remoto e dinamico (tunneling SSH) per proteggere e ottimizzare l'accesso alla rete. Esempi pratici, suggerimenti sull'autenticazione basata su chiavi, `ssh-agent` e passaggi per la risoluzione dei problemi ti daranno la sicurezza necessaria per gestire la tua infrastruttura e migliorare l'efficienza della tua amministrazione remota.

41 visualizzazioni

Comandi SSH Essenziali per Amministratori di Sistema

Introduzione

Secure Shell (SSH) è la pietra angolare dell'amministrazione remota sicura per server e dispositivi di rete. Per gli amministratori di sistema, la padronanza di SSH non è solo un'abilità, ma una necessità fondamentale per gestire l'infrastruttura in modo efficiente e sicuro. SSH fornisce un canale sicuro su una rete non protetta utilizzando una crittografia forte, garantendo che tutte le comunicazioni, comprese password, comandi e trasferimenti di file, rimangano confidenziali e protette dall'intercettazione.

Questo articolo funge da guida completa ai comandi e ai concetti SSH più essenziali che ogni amministratore di sistema dovrebbe conoscere. Approfondiremo tutto, dai metodi di connessione di base e trasferimenti di file sicuri, fino a tecniche avanzate come l'inoltro di porta (port forwarding) e le connessioni persistenti. Comprendendo e implementando questi comandi e le migliori pratiche, è possibile migliorare significativamente le capacità di gestione remota dei server, snellire i flussi di lavoro e mantenere una solida postura di sicurezza nei propri ambienti.

Stabilire Connessioni SSH di Base

L'uso più fondamentale di SSH è stabilire una sessione shell interattiva sicura con un server remoto. La sintassi di base è semplice, consentendo di specificare l'utente e l'host di destinazione.

Connessione a un Server Remoto

Per connettersi a un server remoto utilizzando il nome utente locale corrente:

ssh hostname_o_indirizzo_IP

Se il nome utente sul server remoto è diverso dal nome utente locale, è necessario specificarlo:

ssh username@hostname_o_indirizzo_IP

Esempio:

ssh [email protected]
ssh [email protected]

Specificare una Porta Personalizzata

Per impostazione predefinita, SSH utilizza la porta 22. Tuttavia, per motivi di sicurezza o configurazioni di rete specifiche, i server sono spesso in ascolto su una porta diversa. È possibile specificare una porta personalizzata utilizzando il flag -p:

ssh -p 2222 username@hostname_o_indirizzo_IP

Suggerimento: La modifica della porta SSH predefinita (porta 22) è una pratica di sicurezza comune per ridurre i tentativi di attacco automatizzati, sebbene non sostituisca una solida autenticazione.

Autenticazione SSH basata su Chiavi

Sebbene l'autenticazione tramite password sia comune, l'autenticazione basata su chiavi è il metodo consigliato e più sicuro per SSH. Utilizza una coppia di chiavi crittografiche: una chiave privata (mantenuta segreta sulla macchina locale) e una chiave pubblica (posizionata sul server remoto).

Generazione di Coppie di Chiavi SSH

Utilizzare ssh-keygen per generare una nuova coppia di chiavi. Si consiglia di utilizzare una passphrase forte per la chiave privata.

ssh-keygen -t rsa -b 4096

Questo comando genera una coppia di chiavi RSA con una lunghezza di 4096 bit. La chiave privata (id_rsa) e la chiave pubblica (id_rsa.pub) saranno tipicamente archiviate in ~/.ssh/.

Copiare la Chiave Pubblica su un Server Remoto

Per abilitare l'autenticazione basata su chiavi, la chiave pubblica deve essere inserita nel file ~/.ssh/authorized_keys sul server remoto. L'utilità ssh-copy-id automatizza questo processo:

ssh-copy-id username@hostname_o_indirizzo_IP

Questo comando chiederà la password dell'utente remoto una volta, quindi copierà la chiave pubblica e imposterà le autorizzazioni corrette. Successivamente, dovrebbe essere possibile connettersi senza password (anche se verrà richiesta la passphrase della chiave privata, se impostata).

Attenzione: Non condividere mai la tua chiave privata con nessuno. Dovrebbe avere autorizzazioni di file rigorose (chmod 600 ~/.ssh/id_rsa).

Gestione delle Connessioni e Configurazioni SSH

Esecuzione di un Singolo Comando in Remoto

SSH non serve solo per shell interattive. È possibile eseguire un singolo comando su un server remoto direttamente e restituirne l'output al terminale locale.

ssh username@hostname_o_indirizzo_IP 'comando_da_eseguire'

Esempio:

ssh [email protected] 'ls -l /var/log/'
ssh [email protected] 'sudo apt update && sudo apt upgrade -y'

Utilizzo del File di Configurazione SSH (~/.ssh/config)

Per le connessioni frequenti, definire gli host in ~/.ssh/config può far risparmiare tempo e semplificare i comandi. Questo file consente di impostare alias, specificare utenti, porte, chiavi private e altre opzioni di connessione.

Esempio di voce ~/.ssh/config:

Host webserver
    Hostname 192.168.1.100
    User admin
    Port 2222
    IdentityFile ~/.ssh/id_rsa_web
    ForwardAgent yes

Host devbox
    Hostname dev.mydomain.com
    User developer
    Port 22
    IdentityFile ~/.ssh/id_rsa_dev

Una volta configurato, è possibile connettersi semplicemente utilizzando l'alias:

ssh webserver
ssh devbox

Migliore Pratica: Utilizzare sempre il file ~/.ssh/config per gestire connessioni SSH complesse. Migliora la leggibilità, riduce gli errori di digitazione e centralizza le configurazioni.

Trasferimento Sicuro di File con SSH

SSH fornisce due strumenti principali per il trasferimento sicuro di file: scp e sftp.

scp (Secure Copy Protocol)

scp viene utilizzato per copiare file e directory tra host locali e remoti. Utilizza gli stessi meccanismi di autenticazione e sicurezza di SSH.

Copiare un File da Locale a Remoto

scp /path/to/local/file username@hostname_o_indirizzo_IP:/path/to/remote/directory/

Esempio:

scp my_app.tar.gz admin@webserver:/var/www/html/

Copiare un File da Remoto a Locale

scp username@hostname_o_indirizzo_IP:/path/to/remote/file /path/to/local/directory/

Esempio:

scp admin@webserver:/var/log/nginx/access.log ~/logs/

Copiare una Directory in Modo Ricorsivo

Utilizzare il flag -r per le directory:

rscp -r /path/to/local/dir username@hostname_o_indirizzo_IP:/path/to/remote/parent_dir/

Mantenere gli Attributi del File

Per mantenere i tempi di modifica, i tempi di accesso e le modalità, utilizzare il flag -p:

scp -p localfile user@remotehost:/remotepath/

sftp (SSH File Transfer Protocol)

sftp fornisce un programma interattivo per il trasferimento di file, simile a FTP ma protetto da SSH. È ideale per gestire più file o eseguire operazioni complesse sulle directory.

Connessione a un Server SFTP

sftp username@hostname_o_indirizzo_IP

Una volta connessi, si otterrà un prompt sftp>. I comandi comuni includono:

  • ls: Elenca il contenuto della directory remota
  • lls: Elenca il contenuto della directory locale
  • cd remote_directory: Cambia directory remota
  • lcd local_directory: Cambia directory locale
  • get remote_file: Scarica un file
  • put local_file: Carica un file
  • mget remote_files: Scarica più file (supporta caratteri jolly)
  • mput local_files: Carica più file (supporta caratteri jolly)
  • exit o bye: Esci dalla sessione SFTP

Esempio di Sessione SFTP:

sftp [email protected]
Connesso a 192.168.1.100.
sftp> ls
config.ini  data/  logs/  public_html/
sftp> cd public_html
sftp> get index.html
Recupero di /public_html/index.html in index.html
sftp> put new_page.html
Caricamento di new_page.html in /public_html/new_page.html
sftp> bye

Tunneling SSH e Inoltro di Porta

Il tunneling SSH, o inoltro di porta, consente di creare connessioni sicure tra porte locali e remote, abilitando l'accesso a servizi che altrimenti potrebbero essere bloccati dai firewall o inaccessibili direttamente.

Inoltro di Porta Locale (-L)

L'inoltro locale consente di accedere a un servizio su una rete remota (o sul server remoto stesso) dalla propria macchina locale come se fosse in esecuzione in locale.

ssh -L [porta_locale]:[host_remoto]:[porta_remota] username@server_ssh

Esempio: Accesso a un server di database (porta 3306) su una rete privata, tramite un host di salto (jumphost) server_ssh, dalla porta 9000 della propria macchina locale.

ssh -L 9000:db.private.net:3306 [email protected]

Ora, è possibile connettersi a localhost:9000 sulla propria macchina locale, e la connessione sarà inoltrata in modo sicuro a db.private.net:3306 tramite jumphost.com.

Inoltro di Porta Remoto (-R)

L'inoltro remoto rende un servizio sulla propria macchina locale (o rete locale) accessibile dal server remoto, e potenzialmente ai client sulla rete del server remoto.

ssh -R [porta_remota]:[host_locale]:[porta_locale] username@server_ssh

Esempio: Rendere un server web locale (porta 8000) accessibile da server_ssh sulla porta 8080.

ssh -R 8080:localhost:8000 admin@remote_server.com

Ora, chiunque su remote_server.com può accedere al server web locale connettendosi a localhost:8080 su remote_server.com.

Inoltro di Porta Dinamico (-D)

L'inoltro di porta dinamico crea un proxy SOCKS, consentendo di instradare tutto il traffico (o il traffico specifico dell'applicazione) attraverso il tunnel SSH. Questo è utile per aggirare i firewall o proteggere la navigazione.

ssh -D [porta_locale] username@server_ssh

Esempio: Creare un proxy SOCKS sulla porta 1080 della propria macchina locale attraverso server_ssh.

ssh -D 1080 [email protected]

Configurare il browser o l'applicazione per utilizzare localhost:1080 come proxy SOCKS5, e tutto il suo traffico di rete sarà incanalato attraverso jumphost.com.

Uso Avanzato di SSH e Suggerimenti

Esecuzione di Comandi in Background

Per i comandi non interattivi che dovrebbero essere eseguiti e staccarsi, è possibile utilizzare il flag -f (passa in background prima dell'esecuzione del comando) e -N (non esegue un comando remoto).

ssh -f -N -L 9000:db.private.net:3306 [email protected]

Questo imposta un inoltro di porta locale in background.

Agente SSH e ssh-add

L'ssh-agent è un programma che mantiene le chiavi private in memoria, quindi è necessario inserire la passphrase una sola volta per sessione. ssh-add aggiunge le chiavi all'agente.

# Avvia l'agente (se non è già in esecuzione)
eval "$(ssh-agent -s)"
# Aggiungi la/le tua/e chiave/i all'agente
ssh-add ~/.ssh/id_rsa
ssh-add ~/.ssh/id_rsa_web # Per una chiave specifica

ssh-agent è fondamentale quando si utilizza ForwardAgent yes in ~/.ssh/config, consentendo di utilizzare le chiavi locali per autenticarsi dall'host di salto ai server successivi senza inserire la chiave privata sull'host di salto.

Connessioni SSH Persistenti (ControlMaster)

Per connessioni più veloci e minore overhead, ControlMaster nel proprio ~/.ssh/config consente a più sessioni SSH di condividere un'unica connessione di rete.

Host *
    ControlMaster auto
    ControlPath ~/.ssh/control/%r@%h:%p
    ControlPersist 4h

Questa configurazione crea un socket di controllo per la prima connessione (ControlMaster auto) e le connessioni successive allo stesso host riutilizzeranno questo socket per un massimo di 4 ore (ControlPersist 4h).

Risoluzione dei Problemi SSH

  • Permesso Negato: Controllare le autorizzazioni dei file per le chiavi private (chmod 600 ~/.ssh/id_rsa), le chiavi pubbliche (chmod 644 ~/.ssh/id_rsa.pub) e la directory .ssh (chmod 700 ~/.ssh). Sul server, assicurarsi che ~/.ssh/authorized_keys abbia chmod 600 e ~/.ssh abbia chmod 700.
  • Tempo di Attesa della Connessione Scaduto: Il server potrebbe essere spento, il firewall potrebbe bloccare la porta 22 (o la porta personalizzata) o l'indirizzo IP potrebbe essere errato.
  • Output Verboso: Utilizzare i flag -v, -vv, o -vvv con ssh per informazioni di debug dettagliate.
    bash ssh -vvv [email protected]

Conclusione

SSH è uno strumento indispensabile per gli amministratori di sistema, fornendo accesso remoto sicuro ed efficiente, esecuzione di comandi e funzionalità di trasferimento file. Padroneggiando i comandi e le tecniche discussi in questo articolo – dalle connessioni di base e l'autenticazione basata su chiavi fino al tunneling avanzato e alla gestione della configurazione – è possibile migliorare significativamente la produttività e mantenere la sicurezza dell'infrastruttura server.

Esaminare regolarmente le configurazioni SSH, utilizzare l'autenticazione basata su chiavi e sfruttare le potenti funzionalità come ~/.ssh/config e ssh-agent per snellire le attività quotidiane. Con questi comandi SSH essenziali a portata di mano, si è ben attrezzati per gestire i sistemi remoti con sicurezza e precisione. Continuate a esercitarvi ed esplorare le sue vaste funzionalità per sbloccare un'efficienza ancora maggiore nei vostri compiti amministrativi.