SSH-toegangsproblemen met een zelfgehoste Gitea-server

Temp mail SuperHeros
SSH-toegangsproblemen met een zelfgehoste Gitea-server
SSH-toegangsproblemen met een zelfgehoste Gitea-server
Louise Dubois
Maandag 20 mei 2024 om 14:43:51

SSH-toegangsproblemen oplossen met Gitea

Onlangs heb ik een Gitea-server opgezet met behulp van een Docker-container op mijn lokale machine. Om de verbinding te beveiligen, heb ik ook een Nginx reverse proxy geconfigureerd met SSL geleverd door Certbot.

Ondanks het volgen van de tutorials voor het genereren van SSH-sleutels van Gitea en GitHub, kwam ik fouten tegen waarbij toestemming werd geweigerd toen ik probeerde verbinding te maken met de Gitea-server. In dit artikel worden de stappen beschreven die ik heb genomen en de methoden voor probleemoplossing die ik heb gebruikt om de SSH-toegangsproblemen op te lossen.

Commando Beschrijving
ssh-keygen Genereert een nieuw SSH-sleutelpaar voor veilige verbindingen.
eval "$(ssh-agent -s)" Start de SSH-agent op de achtergrond om SSH-sleutels te beheren.
ssh-add ~/.ssh/id_rsa Voegt de gegenereerde persoonlijke SSH-sleutel toe aan de SSH-agent.
pbcopy < ~/.ssh/id_rsa.pub Kopieert de openbare SSH-sleutel naar het klembord op macOS-systemen.
xclip -sel clip < ~/.ssh/id_rsa.pub Kopieert de openbare SSH-sleutel naar het klembord op Linux-systemen met behulp van xclip.
proxy_pass Stuurt het verzoek naar de opgegeven backend-server in de Nginx-configuratie.
paramiko.RSAKey.from_private_key_file Laadt een RSA-privésleutel uit een bestand met behulp van Paramiko in Python.
paramiko.SSHClient().set_missing_host_key_policy Voegt automatisch de hostsleutel van de server toe zonder de gebruiker hierom te vragen.
chmod 600 ~/.ssh/config Stelt de juiste machtigingen in voor het SSH-configuratiebestand om het te beveiligen.

Problemen met SSH-verbindingen oplossen

De scripts in de voorgaande voorbeelden zijn ontworpen om verschillende aspecten van het instellen en oplossen van SSH-sleutelauthenticatie voor een Gitea-server aan te pakken. Het eerste script gebruikt een Bash-script om een ​​SSH-sleutel mee te genereren ssh-keygen, voeg het toe aan de SSH-agent met ssh-adden kopieer de openbare sleutel naar het klembord met een van beide pbcopy of xclip. Deze stappen zijn cruciaal om ervoor te zorgen dat de SSH-sleutel correct is ingesteld en beschikbaar is voor gebruik. Het tweede script configureert Nginx om proxyverzoeken naar de Gitea-server om te keren, zodat SSL correct wordt afgehandeld en verzoeken correct worden doorgestuurd met proxy_pass.

Het Python-script in het derde voorbeeld gebruikt de Paramiko-bibliotheek om de SSH-connectiviteit te testen. Dit script laadt de privésleutel met behulp van paramiko.RSAKey.from_private_key_file en probeert verbinding te maken met de Gitea-server. Als de verbinding mislukt, wordt er een foutmelding weergegeven, waarmee u het probleem kunt diagnosticeren. Het vierde script omvat het bijwerken van het SSH-configuratiebestand om ervoor te zorgen dat de juiste instellingen aanwezig zijn. Commando's zoals Host, HostName, User, En IdentityFile worden gebruikt om de verbindingsgegevens voor de Gitea-server op te geven. Eindelijk, chmod 600 ~/.ssh/config stelt de juiste machtigingen in voor het configuratiebestand om het te beveiligen.

SSH-sleutelauthenticatie instellen voor Gitea

Bash-script gebruiken voor frontend-configuratie

# Step 1: Generate SSH Key
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
# Step 2: Start the ssh-agent in the background
eval "$(ssh-agent -s)"
# Step 3: Add your SSH key to the ssh-agent
ssh-add ~/.ssh/id_rsa
# Step 4: Copy the SSH key to clipboard
pbcopy < ~/.ssh/id_rsa.pub
# If using xclip
xclip -sel clip < ~/.ssh/id_rsa.pub

Nginx Reverse Proxy configureren voor Gitea

Nginx-configuratiebestand gebruiken

server {
    listen 80;
    server_name your_domain;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name your_domain;
    ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Diagnose van SSH-verbindingsproblemen

Een Python-script gebruiken om SSH-connectiviteit te testen

import paramiko
def test_ssh_connection(host, port, username, key_path):
    k = paramiko.RSAKey.from_private_key_file(key_path)
    c = paramiko.SSHClient()
    c.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        c.connect(hostname=host, port=port, username=username, pkey=k)
        print("SSH connection successful")
    except Exception as e:
        print(f"Failed to connect: {e}")
    finally:
        c.close()
test_ssh_connection('your_domain', 22, 'your_username', '/path/to/id_rsa')

SSH-configuratie voor Gitea bijwerken

SSH-configuratiebestand gebruiken

# Open SSH config file
nano ~/.ssh/config
# Add the following configuration
Host gitea_server
    HostName your_domain
    User your_username
    IdentityFile ~/.ssh/id_rsa
# Save and exit
chmod 600 ~/.ssh/config
# Test SSH connection
ssh -T gitea_server

Geavanceerd SSH-sleutelbeheer voor Gitea

Een ander belangrijk aspect van het beheer van SSH-sleutels voor een Gitea-server is de juiste omgang en rotatie van sleutels. Het regelmatig rouleren van uw SSH-sleutels kan de veiligheid verbeteren door het risico te verkleinen dat een gecompromitteerde sleutel voor onbepaalde tijd wordt gebruikt. U kunt een nieuw sleutelpaar aanmaken met ssh-keygen en update uw Gitea-instellingen om de nieuwe sleutel weer te geven. Deze praktijk is van cruciaal belang voor het behouden van veilige toegang tot uw server in de loop van de tijd. Bovendien is het van cruciaal belang ervoor te zorgen dat uw SSH-sleutels veilig worden opgeslagen en niet worden blootgesteld aan ongeautoriseerde gebruikers. Gebruik hulpmiddelen zoals ssh-agent om sleutels veilig in het geheugen te beheren en te voorkomen dat privésleutels onbeschermd op schijf achterblijven.

Het implementeren van strikte machtigingen voor uw SSH-sleutels en configuratiebestanden is een andere beveiligingslaag. Commando's zoals chmod 600 ~/.ssh/id_rsa En chmod 600 ~/.ssh/config de toegang tot deze bestanden beperken, waardoor het voor ongeautoriseerde gebruikers moeilijker wordt om toegang te krijgen. Bovendien kunt u multi-factor authenticatie (MFA) gebruiken om een ​​extra beveiligingslaag toe te voegen aan uw SSH-sleutelgebruik. Tools zoals Google Authenticator of hardwaretokens kunnen worden geïntegreerd met uw SSH-installatie om een ​​tweede vorm van verificatie te vereisen, waardoor ongeautoriseerde toegang nog uitdagender wordt.

Veelgestelde vragen en oplossingen voor SSH-toegangsproblemen

  1. Waarom krijg ik de foutmelding 'Toestemming geweigerd'?
  2. Zorg ervoor dat uw SSH-sleutels correct zijn toegevoegd aan de SSH-agent en dat de openbare sleutel is toegevoegd aan de geautoriseerde sleutels van uw Gitea-server.
  3. Hoe genereer ik een nieuw SSH-sleutelpaar?
  4. Gebruik de opdracht ssh-keygen -t rsa -b 4096 -C "your_email@example.com" om een ​​nieuw SSH-sleutelpaar te genereren.
  5. Hoe voeg ik mijn SSH-sleutel toe aan de ssh-agent?
  6. Gebruik de opdracht eval "$(ssh-agent -s)" om de agent te starten en ssh-add ~/.ssh/id_rsa om uw sleutel toe te voegen.
  7. Hoe kan ik mijn openbare SSH-sleutel naar het klembord kopiëren?
  8. Gebruik pbcopy < ~/.ssh/id_rsa.pub op macOS of xclip -sel clip < ~/.ssh/id_rsa.pub op Linux.
  9. Wat moet ik doen als mijn SSH-sleutel is aangetast?
  10. Genereer een nieuw SSH-sleutelpaar en update de sleutels op uw Gitea-server en alle andere services waar de sleutel is gebruikt.
  11. Hoe kan ik de juiste rechten instellen op mijn SSH-sleutelbestanden?
  12. Gebruik de opdracht chmod 600 ~/.ssh/id_rsa om de juiste machtigingen voor uw privésleutelbestand in te stellen.
  13. Waarom treedt er een time-out op voor mijn SSH-verbinding?
  14. Controleer uw netwerkverbinding, zorg ervoor dat de Gitea-server actief is en dat de SSH-poort open en toegankelijk is.
  15. Hoe test ik mijn SSH-verbinding met de server?
  16. Gebruik de opdracht ssh -T your_username@your_domain om de verbinding te testen.

Laatste stappen om de SSH-verbinding te beveiligen

Kortom, het tot stand brengen van een betrouwbare SSH-verbinding met een Gitea-server vereist een zorgvuldige configuratie van SSH-sleutels, Nginx-proxy-instellingen en rigoureuze beveiligingspraktijken. Door de beschreven stappen te volgen, inclusief het genereren en beheren van SSH-sleutels, het instellen van de juiste machtigingen en het correct configureren van Nginx, kunnen gebruikers zorgen voor een veilige en functionele installatie. Het testen van verbindingen met tools als Paramiko en het regelmatig wisselen van sleutels verbetert de veiligheid en betrouwbaarheid nog verder. Het uitgebreid aanpakken van deze elementen helpt bij het oplossen van verbindingsproblemen en het onderhouden van een veilige ontwikkelomgeving.