Problemi di accesso SSH con il server Gitea self-hosted

Temp mail SuperHeros
Problemi di accesso SSH con il server Gitea self-hosted
Problemi di accesso SSH con il server Gitea self-hosted
Louise Dubois
Lunedì 20 maggio 2024 15:06:40

Risoluzione dei problemi di accesso SSH con Gitea

Di recente ho configurato un server Gitea utilizzando un contenitore Docker sul mio computer locale. Per proteggere la connessione ho configurato anche un reverse proxy Nginx con SSL fornito da Certbot.

Nonostante abbia seguito i tutorial sulla generazione delle chiavi SSH di Gitea e GitHub, ho riscontrato errori di autorizzazione negata durante il tentativo di connessione al server Gitea. Questo articolo esplora i passaggi che ho eseguito e i metodi di risoluzione dei problemi che ho utilizzato per risolvere i problemi di accesso SSH.

Comando Descrizione
ssh-keygen Genera una nuova coppia di chiavi SSH per connessioni sicure.
eval "$(ssh-agent -s)" Avvia l'agente SSH in background per gestire le chiavi SSH.
ssh-add ~/.ssh/id_rsa Aggiunge la chiave privata SSH generata all'agente SSH.
pbcopy < ~/.ssh/id_rsa.pub Copia la chiave pubblica SSH negli appunti sui sistemi macOS.
xclip -sel clip < ~/.ssh/id_rsa.pub Copia la chiave pubblica SSH negli appunti sui sistemi Linux utilizzando xclip.
proxy_pass Dirige la richiesta al server backend specificato nella configurazione Nginx.
paramiko.RSAKey.from_private_key_file Carica una chiave privata RSA da un file utilizzando Paramiko in Python.
paramiko.SSHClient().set_missing_host_key_policy Aggiunge automaticamente la chiave host del server senza chiedere conferma all'utente.
chmod 600 ~/.ssh/config Imposta le autorizzazioni corrette per il file di configurazione SSH per proteggerlo.

Risoluzione dei problemi di connessione SSH

Gli script forniti negli esempi precedenti sono progettati per affrontare vari aspetti della configurazione e della risoluzione dei problemi di autenticazione con chiave SSH per un server Gitea. Il primo script utilizza uno script Bash con cui generare una chiave SSH ssh-keygen, aggiungilo all'agente SSH con ssh-adde copia la chiave pubblica negli appunti con uno dei due pbcopy O xclip. Questi passaggi sono fondamentali per garantire che la chiave SSH sia configurata correttamente e disponibile per l'uso. Il secondo script configura Nginx per invertire le richieste proxy al server Gitea, garantendo che SSL venga gestito correttamente e che le richieste vengano inoltrate correttamente con proxy_pass.

Lo script Python nel terzo esempio utilizza la libreria Paramiko per testare la connettività SSH. Questo script carica la chiave privata utilizzando paramiko.RSAKey.from_private_key_file e tenta di connettersi al server Gitea. Se la connessione fallisce, viene fornito un messaggio di errore che aiuta a diagnosticare il problema. Il quarto script prevede l'aggiornamento del file di configurazione SSH per garantire che siano presenti le impostazioni corrette. Comandi come Host, HostName, User, E IdentityFile vengono utilizzati per specificare i dettagli di connessione per il server Gitea. Finalmente, chmod 600 ~/.ssh/config imposta le autorizzazioni appropriate sul file di configurazione per proteggerlo.

Configurazione dell'autenticazione con chiave SSH per Gitea

Utilizzo di Bash Script per la configurazione del frontend

# Step 1: Generate SSH Key
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
# Step 2: Start the ssh-agent in the background
eval "$(ssh-agent -s)"
# Step 3: Add your SSH key to the ssh-agent
ssh-add ~/.ssh/id_rsa
# Step 4: Copy the SSH key to clipboard
pbcopy < ~/.ssh/id_rsa.pub
# If using xclip
xclip -sel clip < ~/.ssh/id_rsa.pub

Configurazione del proxy inverso Nginx per Gitea

Utilizzo del file di configurazione Nginx

server {
    listen 80;
    server_name your_domain;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name your_domain;
    ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Diagnosi dei problemi di connessione SSH

Utilizzo di uno script Python per testare la connettività SSH

import paramiko
def test_ssh_connection(host, port, username, key_path):
    k = paramiko.RSAKey.from_private_key_file(key_path)
    c = paramiko.SSHClient()
    c.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        c.connect(hostname=host, port=port, username=username, pkey=k)
        print("SSH connection successful")
    except Exception as e:
        print(f"Failed to connect: {e}")
    finally:
        c.close()
test_ssh_connection('your_domain', 22, 'your_username', '/path/to/id_rsa')

Aggiornamento della configurazione SSH per Gitea

Utilizzo del file di configurazione SSH

# Open SSH config file
nano ~/.ssh/config
# Add the following configuration
Host gitea_server
    HostName your_domain
    User your_username
    IdentityFile ~/.ssh/id_rsa
# Save and exit
chmod 600 ~/.ssh/config
# Test SSH connection
ssh -T gitea_server

Gestione avanzata delle chiavi SSH per Gitea

Un altro aspetto importante della gestione delle chiavi SSH per un server Gitea è la corretta gestione e rotazione delle chiavi. La rotazione regolare delle chiavi SSH può migliorare la sicurezza riducendo il rischio che una chiave compromessa venga utilizzata a tempo indeterminato. Puoi creare una nuova coppia di chiavi utilizzando ssh-keygen e aggiorna le tue impostazioni Gitea per riflettere la nuova chiave. Questa pratica è fondamentale per mantenere un accesso sicuro al tuo server nel tempo. Inoltre, è fondamentale garantire che le chiavi SSH siano archiviate in modo sicuro e non esposte a utenti non autorizzati. Utilizza strumenti come ssh-agent per gestire le chiavi in ​​modo sicuro in memoria ed evitare di lasciare le chiavi private sul disco in uno stato non protetto.

L'implementazione di autorizzazioni rigorose sulle chiavi SSH e sui file di configurazione è un altro livello di sicurezza. Comandi come chmod 600 ~/.ssh/id_rsa E chmod 600 ~/.ssh/config limitare l'accesso a questi file, rendendo più difficile l'accesso per gli utenti non autorizzati. Inoltre, puoi utilizzare l'autenticazione a più fattori (MFA) per aggiungere un ulteriore livello di sicurezza all'utilizzo della chiave SSH. Strumenti come Google Authenticator o token hardware possono essere integrati con la configurazione SSH per richiedere una seconda forma di verifica, rendendo l'accesso non autorizzato ancora più complicato.

Domande e soluzioni comuni per i problemi di accesso SSH

  1. Perché ricevo l'errore "Autorizzazione negata"?
  2. Assicurati che le tue chiavi SSH siano aggiunte correttamente all'agente SSH e che la chiave pubblica sia aggiunta alle chiavi autorizzate del tuo server Gitea.
  3. Come posso generare una nuova coppia di chiavi SSH?
  4. Usa il comando ssh-keygen -t rsa -b 4096 -C "your_email@example.com" per generare una nuova coppia di chiavi SSH.
  5. Come posso aggiungere la mia chiave SSH a ssh-agent?
  6. Usa il comando eval "$(ssh-agent -s)" per avviare l'agente e ssh-add ~/.ssh/id_rsa per aggiungere la tua chiave.
  7. Come posso copiare la mia chiave pubblica SSH negli appunti?
  8. Utilizzo pbcopy < ~/.ssh/id_rsa.pub su macOS o xclip -sel clip < ~/.ssh/id_rsa.pub su Linux.
  9. Cosa devo fare se la mia chiave SSH è compromessa?
  10. Genera una nuova coppia di chiavi SSH e aggiorna le chiavi nel tuo server Gitea e in tutti gli altri servizi in cui è stata utilizzata la chiave.
  11. Come posso impostare le autorizzazioni corrette sui miei file di chiave SSH?
  12. Usa il comando chmod 600 ~/.ssh/id_rsa per impostare le autorizzazioni appropriate sul file della chiave privata.
  13. Perché la mia connessione SSH scade?
  14. Controlla la tua connessione di rete, assicurati che il server Gitea sia in esecuzione e che la porta SSH sia aperta e accessibile.
  15. Come posso testare la mia connessione SSH al server?
  16. Usa il comando ssh -T your_username@your_domain per testare la connessione.

Passaggi finali per proteggere la connessione SSH

In conclusione, stabilire una connessione SSH affidabile a un server Gitea richiede un'attenta configurazione delle chiavi SSH, delle impostazioni del proxy Nginx e rigorose pratiche di sicurezza. Seguendo i passaggi delineati, inclusa la generazione e la gestione delle chiavi SSH, l'impostazione delle autorizzazioni appropriate e la corretta configurazione di Nginx, gli utenti possono garantire una configurazione sicura e funzionale. Testare le connessioni con strumenti come Paramiko e chiavi a rotazione regolare migliora ulteriormente la sicurezza e l'affidabilità. Affrontare questi elementi in modo completo aiuta a risolvere i problemi di connessione e a mantenere un ambiente di sviluppo sicuro.