SSH Access Problem med Self-Hosted Gitea Server

Temp mail SuperHeros
SSH Access Problem med Self-Hosted Gitea Server
SSH Access Problem med Self-Hosted Gitea Server
Louise Dubois
Måndag 20 maj 2024 15:50:47

Lösning av SSH-åtkomstproblem med Gitea

Nyligen satte jag upp en Gitea-server med en Docker-behållare på min lokala dator. För att säkra anslutningen konfigurerade jag också en Nginx omvänd proxy med SSL från Certbot.

Trots att jag följde SSH-nyckelgenereringshandledningarna från Gitea och GitHub, stötte jag på fel med tillstånd nekad när jag försökte ansluta till Gitea-servern. Den här artikeln utforskar stegen jag tog och felsökningsmetoderna jag använde för att lösa SSH-åtkomstproblemen.

Kommando Beskrivning
ssh-keygen Genererar ett nytt SSH-nyckelpar för säkra anslutningar.
eval "$(ssh-agent -s)" Startar SSH-agenten i bakgrunden för att hantera SSH-nycklar.
ssh-add ~/.ssh/id_rsa Lägger till den genererade privata SSH-nyckeln till SSH-agenten.
pbcopy < ~/.ssh/id_rsa.pub Kopierar den offentliga SSH-nyckeln till urklipp på macOS-system.
xclip -sel clip < ~/.ssh/id_rsa.pub Kopierar den offentliga SSH-nyckeln till urklipp på Linux-system med xclip.
proxy_pass Dirigerar begäran till den angivna backend-servern i Nginx-konfiguration.
paramiko.RSAKey.from_private_key_file Laddar en privat RSA-nyckel från en fil med Paramiko i Python.
paramiko.SSHClient().set_missing_host_key_policy Lägger automatiskt till serverns värdnyckel utan att fråga användaren.
chmod 600 ~/.ssh/config Ställer in rätt behörigheter för SSH-konfigurationsfilen för att säkra den.

Felsökning av SSH-anslutningsproblem

Skripten som tillhandahålls i de tidigare exemplen är utformade för att ta itu med olika aspekter av att ställa in och felsöka SSH-nyckelautentisering för en Gitea-server. Det första skriptet använder ett Bash-skript för att generera en SSH-nyckel med ssh-keygen, lägg till den i SSH-agenten med ssh-add, och kopiera den publika nyckeln till urklipp med antingen pbcopy eller xclip. Dessa steg är avgörande för att säkerställa att SSH-nyckeln är korrekt inställd och tillgänglig för användning. Det andra skriptet konfigurerar Nginx att vända proxyförfrågningar till Gitea-servern, vilket säkerställer att SSL hanteras korrekt och förfrågningar vidarebefordras korrekt med proxy_pass.

Python-skriptet i det tredje exemplet använder Paramiko-biblioteket för att testa SSH-anslutning. Detta skript laddar den privata nyckeln med hjälp av paramiko.RSAKey.from_private_key_file och försöker ansluta till Gitea-servern. Om anslutningen misslyckas visas ett felmeddelande som hjälper till att diagnostisera problemet. Det fjärde skriptet innebär uppdatering av SSH-konfigurationsfilen för att säkerställa att rätt inställningar är på plats. Kommandon som Host, HostName, User, och IdentityFile används för att specificera anslutningsdetaljerna för Gitea-servern. Till sist, chmod 600 ~/.ssh/config ställer in lämpliga behörigheter på konfigurationsfilen för att säkra den.

Ställa in SSH-nyckelautentisering för Gitea

Använder Bash Script för frontend-konfiguration

# Step 1: Generate SSH Key
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
# Step 2: Start the ssh-agent in the background
eval "$(ssh-agent -s)"
# Step 3: Add your SSH key to the ssh-agent
ssh-add ~/.ssh/id_rsa
# Step 4: Copy the SSH key to clipboard
pbcopy < ~/.ssh/id_rsa.pub
# If using xclip
xclip -sel clip < ~/.ssh/id_rsa.pub

Konfigurera Nginx Reverse Proxy för Gitea

Använder Nginx Configuration File

server {
    listen 80;
    server_name your_domain;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name your_domain;
    ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Diagnostisera SSH-anslutningsproblem

Använda ett Python-skript för att testa SSH-anslutning

import paramiko
def test_ssh_connection(host, port, username, key_path):
    k = paramiko.RSAKey.from_private_key_file(key_path)
    c = paramiko.SSHClient()
    c.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        c.connect(hostname=host, port=port, username=username, pkey=k)
        print("SSH connection successful")
    except Exception as e:
        print(f"Failed to connect: {e}")
    finally:
        c.close()
test_ssh_connection('your_domain', 22, 'your_username', '/path/to/id_rsa')

Uppdaterar SSH-konfiguration för Gitea

Använder SSH-konfigurationsfil

# Open SSH config file
nano ~/.ssh/config
# Add the following configuration
Host gitea_server
    HostName your_domain
    User your_username
    IdentityFile ~/.ssh/id_rsa
# Save and exit
chmod 600 ~/.ssh/config
# Test SSH connection
ssh -T gitea_server

Avancerad SSH-nyckelhantering för Gitea

En annan viktig aspekt av att hantera SSH-nycklar för en Gitea-server är korrekt hantering och rotation av nycklar. Att regelbundet rotera dina SSH-nycklar kan förbättra säkerheten genom att minska risken för att en komprometterad nyckel används på obestämd tid. Du kan skapa ett nytt nyckelpar med ssh-keygen och uppdatera dina Gitea-inställningar för att återspegla den nya nyckeln. Denna praxis är avgörande för att upprätthålla säker åtkomst till din server över tid. Dessutom är det viktigt att se till att dina SSH-nycklar lagras säkert och inte exponeras för obehöriga användare. Använd verktyg som ssh-agent för att hantera nycklar säkert i minnet och undvika att lämna privata nycklar på disken i ett oskyddat tillstånd.

Att implementera strikta behörigheter på dina SSH-nycklar och konfigurationsfiler är ytterligare ett säkerhetslager. Kommandon som chmod 600 ~/.ssh/id_rsa och chmod 600 ~/.ssh/config begränsa åtkomsten till dessa filer, vilket gör det svårare för obehöriga användare att få åtkomst. Dessutom kan du använda multi-factor authentication (MFA) för att lägga till ett extra lager av säkerhet till din SSH-nyckelanvändning. Verktyg som Google Authenticator eller hårdvarutokens kan integreras med din SSH-inställning för att kräva en andra form av verifiering, vilket gör obehörig åtkomst ännu mer utmanande.

Vanliga frågor och lösningar för SSH-åtkomstproblem

  1. Varför får jag felmeddelandet "Permission denied"?
  2. Se till att dina SSH-nycklar läggs till korrekt i SSH-agenten och att den publika nyckeln läggs till i din Gitea-servers auktoriserade nycklar.
  3. Hur genererar jag ett nytt SSH-nyckelpar?
  4. Använd kommandot ssh-keygen -t rsa -b 4096 -C "your_email@example.com" för att generera ett nytt SSH-nyckelpar.
  5. Hur lägger jag till min SSH-nyckel till ssh-agenten?
  6. Använd kommandot eval "$(ssh-agent -s)" att starta agenten och ssh-add ~/.ssh/id_rsa för att lägga till din nyckel.
  7. Hur kan jag kopiera min offentliga SSH-nyckel till urklipp?
  8. Använda sig av pbcopy < ~/.ssh/id_rsa.pub på macOS eller xclip -sel clip < ~/.ssh/id_rsa.pub på Linux.
  9. Vad ska jag göra om min SSH-nyckel äventyras?
  10. Generera ett nytt SSH-nyckelpar och uppdatera nycklarna i din Gitea-server och alla andra tjänster där nyckeln användes.
  11. Hur kan jag ställa in rätt behörigheter för mina SSH-nyckelfiler?
  12. Använd kommandot chmod 600 ~/.ssh/id_rsa för att ställa in rätt behörigheter för din privata nyckelfil.
  13. Varför tar min SSH-anslutning timeout?
  14. Kontrollera din nätverksanslutning, se till att Gitea-servern är igång och att SSH-porten är öppen och tillgänglig.
  15. Hur testar jag min SSH-anslutning till servern?
  16. Använd kommandot ssh -T your_username@your_domain för att testa anslutningen.

Sista stegen för att säkra SSH-anslutning

Sammanfattningsvis, att upprätta en pålitlig SSH-anslutning till en Gitea-server kräver noggrann konfiguration av SSH-nycklar, Nginx proxyinställningar och rigorösa säkerhetsrutiner. Genom att följa stegen som beskrivs, inklusive att generera och hantera SSH-nycklar, ställa in lämpliga behörigheter och konfigurera Nginx korrekt, kan användare säkerställa en säker och funktionell inställning. Att testa anslutningar med verktyg som Paramiko och regelbundet roterande nycklar ökar säkerheten och tillförlitligheten ytterligare. Att ta itu med dessa element på ett omfattande sätt hjälper till att lösa anslutningsproblem och upprätthålla en säker utvecklingsmiljö.