Проблеми з доступом через SSH із самостійним сервером Gitea

Temp mail SuperHeros
Проблеми з доступом через SSH із самостійним сервером Gitea
Проблеми з доступом через SSH із самостійним сервером Gitea
Louise Dubois
понеділок, 20 травня 2024 р. о 16:00:07

Вирішення проблем доступу через SSH за допомогою Gitea

Нещодавно я налаштував сервер Gitea за допомогою контейнера Docker на своїй локальній машині. Щоб захистити з’єднання, я також налаштував зворотний проксі-сервер Nginx із SSL, наданим Certbot.

Незважаючи на те, що я дотримувався посібників з генерації ключів SSH від Gitea та GitHub, я зіткнувся з помилками дозволу заборонено під час спроби підключитися до сервера Gitea. У цій статті описано кроки, які я вжив, і методи усунення несправностей, які я використовував для вирішення проблем доступу SSH.

Команда опис
ssh-keygen Створює нову пару ключів SSH для безпечних з’єднань.
eval "$(ssh-agent -s)" Запускає агент SSH у фоновому режимі для керування ключами SSH.
ssh-add ~/.ssh/id_rsa Додає згенерований закритий ключ SSH до агента SSH.
pbcopy < ~/.ssh/id_rsa.pub Копіює відкритий ключ SSH у буфер обміну в системах macOS.
xclip -sel clip < ~/.ssh/id_rsa.pub Копіює відкритий ключ SSH до буфера обміну в системах Linux за допомогою xclip.
proxy_pass Направляє запит на вказаний внутрішній сервер у конфігурації Nginx.
paramiko.RSAKey.from_private_key_file Завантажує приватний ключ RSA з файлу за допомогою Paramiko в Python.
paramiko.SSHClient().set_missing_host_key_policy Автоматично додає ключ хосту сервера без запиту користувача.
chmod 600 ~/.ssh/config Встановлює правильні дозволи для файлу конфігурації SSH, щоб захистити його.

Усунення проблем з підключенням SSH

Сценарії, наведені в попередніх прикладах, призначені для вирішення різних аспектів налаштування та усунення несправностей автентифікації ключа SSH для сервера Gitea. Перший сценарій використовує сценарій Bash для створення ключа SSH ssh-keygen, додайте його до агента SSH за допомогою ssh-addі скопіюйте відкритий ключ у буфер обміну за допомогою будь-якого pbcopy або xclip. Ці кроки мають вирішальне значення для забезпечення того, що ключ SSH правильно налаштований і доступний для використання. Другий сценарій налаштовує Nginx на реверс проксі-запитів до сервера Gitea, гарантуючи, що SSL обробляється належним чином і запити правильно пересилаються за допомогою proxy_pass.

Сценарій Python у третьому прикладі використовує бібліотеку Paramiko для перевірки підключення SSH. Цей скрипт завантажує закритий ключ за допомогою paramiko.RSAKey.from_private_key_file і намагається підключитися до сервера Gitea. Якщо підключення не вдається, видається повідомлення про помилку, яке допомагає діагностувати проблему. Четвертий сценарій передбачає оновлення файлу конфігурації SSH, щоб переконатися, що встановлено правильні налаштування. Команди типу Host, HostName, User, і IdentityFile використовуються для визначення деталей підключення до сервера Gitea. нарешті, chmod 600 ~/.ssh/config встановлює відповідні дозволи для файлу конфігурації, щоб захистити його.

Налаштування автентифікації ключа SSH для Gitea

Використання сценарію Bash для конфігурації інтерфейсу

# Step 1: Generate SSH Key
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
# Step 2: Start the ssh-agent in the background
eval "$(ssh-agent -s)"
# Step 3: Add your SSH key to the ssh-agent
ssh-add ~/.ssh/id_rsa
# Step 4: Copy the SSH key to clipboard
pbcopy < ~/.ssh/id_rsa.pub
# If using xclip
xclip -sel clip < ~/.ssh/id_rsa.pub

Налаштування зворотного проксі Nginx для Gitea

Використання файлу конфігурації Nginx

server {
    listen 80;
    server_name your_domain;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name your_domain;
    ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Діагностика проблем підключення SSH

Використання сценарію Python для перевірки підключення SSH

import paramiko
def test_ssh_connection(host, port, username, key_path):
    k = paramiko.RSAKey.from_private_key_file(key_path)
    c = paramiko.SSHClient()
    c.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        c.connect(hostname=host, port=port, username=username, pkey=k)
        print("SSH connection successful")
    except Exception as e:
        print(f"Failed to connect: {e}")
    finally:
        c.close()
test_ssh_connection('your_domain', 22, 'your_username', '/path/to/id_rsa')

Оновлення конфігурації SSH для Gitea

Використання файлу конфігурації SSH

# Open SSH config file
nano ~/.ssh/config
# Add the following configuration
Host gitea_server
    HostName your_domain
    User your_username
    IdentityFile ~/.ssh/id_rsa
# Save and exit
chmod 600 ~/.ssh/config
# Test SSH connection
ssh -T gitea_server

Розширене керування ключами SSH для Gitea

Іншим важливим аспектом керування ключами SSH для сервера Gitea є належне поводження та ротація ключів. Регулярна зміна ключів SSH може підвищити безпеку, зменшивши ризик використання зламаного ключа протягом невизначеного часу. Ви можете створити нову пару ключів за допомогою ssh-keygen і оновіть налаштування Gitea відповідно до нового ключа. Ця практика має вирішальне значення для підтримки безпечного доступу до вашого сервера з часом. Крім того, життєво важливо переконатися, що ваші SSH-ключі надійно зберігаються та не доступні для неавторизованих користувачів. Використовуйте такі інструменти, як ssh-agent безпечно керувати ключами в пам’яті та не залишати закриті ключі на диску в незахищеному стані.

Реалізація суворих дозволів для ваших ключів SSH і файлів конфігурації є ще одним рівнем безпеки. Команди типу chmod 600 ~/.ssh/id_rsa і chmod 600 ~/.ssh/config обмежити доступ до цих файлів, ускладнюючи доступ для неавторизованих користувачів. Крім того, ви можете використовувати багатофакторну автентифікацію (MFA), щоб додати додатковий рівень безпеки до використання ключа SSH. Такі інструменти, як Google Authenticator або апаратні маркери, можна інтегрувати у ваші налаштування SSH, щоб вимагати другу форму перевірки, що робить неавторизований доступ ще більш складним.

Поширені запитання та рішення для проблем доступу SSH

  1. Чому я отримую повідомлення про помилку «У дозволі відмовлено»?
  2. Переконайтеся, що ваші ключі SSH правильно додано до агента SSH і що відкритий ключ додано до авторизованих ключів вашого сервера Gitea.
  3. Як створити нову пару ключів SSH?
  4. Використовуйте команду ssh-keygen -t rsa -b 4096 -C "your_email@example.com" щоб створити нову пару ключів SSH.
  5. Як додати мій ключ SSH до ssh-агента?
  6. Використовуйте команду eval "$(ssh-agent -s)" щоб запустити агент і ssh-add ~/.ssh/id_rsa щоб додати свій ключ.
  7. Як скопіювати відкритий ключ SSH у буфер обміну?
  8. використання pbcopy < ~/.ssh/id_rsa.pub на macOS або xclip -sel clip < ~/.ssh/id_rsa.pub на Linux.
  9. Що робити, якщо мій ключ SSH зламано?
  10. Згенеруйте нову пару ключів SSH і оновіть ключі на своєму сервері Gitea та в усіх інших службах, де використовувався ключ.
  11. Як я можу встановити правильні дозволи для файлів ключів SSH?
  12. Використовуйте команду chmod 600 ~/.ssh/id_rsa щоб установити належні дозволи для файлу приватного ключа.
  13. Чому закінчується час очікування з’єднання SSH?
  14. Перевірте підключення до мережі, переконайтеся, що сервер Gitea працює, а порт SSH відкритий і доступний.
  15. Як перевірити з’єднання SSH із сервером?
  16. Використовуйте команду ssh -T your_username@your_domain щоб перевірити з’єднання.

Останні кроки для безпечного підключення SSH

Підсумовуючи, встановлення надійного SSH-з’єднання з сервером Gitea вимагає ретельного налаштування ключів SSH, налаштувань проксі-сервера Nginx і суворих заходів безпеки. Дотримуючись описаних кроків, включаючи генерацію та керування ключами SSH, установку відповідних дозволів і правильне налаштування Nginx, користувачі можуть забезпечити безпечне та функціональне налаштування. Тестування з’єднань за допомогою таких інструментів, як Paramiko, і регулярна зміна ключів додатково підвищує безпеку та надійність. Комплексне вирішення цих елементів допомагає вирішити проблеми з підключенням і підтримувати безпечне середовище розробки.