Использование SSH-туннелей с OpenSSH
База знаний → LinuxПомимо своей основной функции, протокол SSH предоставляет администратору массу полезных инструментов, в этой статье речь пойдёт о создании VPN-туннеля с помощью SSH.
SSH-туннелирование - самый простой и быстрый способ получить туннель к Linux-серверу, т.к. пакет OpenSSH на нём, скорее всего, уже установлен, к тому же, полученный туннель не будет иметь проблем с NAT.
Такой туннель является простым, но не является надёжным, т.к. использует TCP-соединение и не содержит встроенных механизмов для восстановления соединения после разрыва.
SSH-туннель лучше использовать для тестирования (например, если вам нужно передавать UDP-пакеты на удалённый сервер, проброс портов по SSH в этом случае не поможет), а для постоянных туннелей использовать протоколы, специально разработанные для этого, такие как OpenVPN, PPTP, L2TP, IPSec, GRE и т.д. (Все примеры команд в статье верны для CentOS 6)
Установка и настройка
Устанавливаем пакет OpenSSH из репозиториев, если он всё ещё не установлен:
yum install openssh openssh-server openssh-clients
Для того, чтобы сервер разрешал использование туннелей, нужно включить в файле настроек OpenSSH-сервера (обычно /etc/ssh/sshd_config) опцию PermitTunnel и перезапустить OpenSSH-сервер (service sshd restart).
PermitTunnel yes
В конце файла настроек сервера могут идти разделы настроек для определённых хостов, пользователей, групп пользователей и т.д.
Подобные разделы будут начинаться строками
Host ...
или
Match ...
Опцию PermitTunnel нужно добавлять до описанных разделов.
Использование SSH-туннелей
Для всех примеров будет использоваться OpenSSH-сервер доступный по адресу 192.168.1.100.
Простой SSH-туннель
Для создания самого простого SSH-туннеля можно выполнить команду
sudo ssh -w 7:7 -l root 192.168.1.100
За создание туннеля отвечает опция
-w <номер_локального_интерфейса>:<номер_удалённого_интерфейса>
Вместо номера локального и/или удалённого интерфейса можно использовать значение «any», тогда будет создан следующий по порядку незанятый TUN-интерфейс.
После прохождения аутентификации sudo и SSH на локальном и на удалённом хостах должен появиться отключенный интерфейс tun7.
Для использования туннеля нужно включить интерфейсы и настроить на них IP-адреса из одной подсети, например, так:
# на локальном хосте
ifconfig tun7 up 10.255.255.2 pointopoint 10.255.255.1
# на удалённом хосте
ifconfig tun7 up 10.255.255.1 pointopoint 10.255.255.2
Теперь с локального хоста будет доступ на удалённый хост по адресу 10.255.255.1 через шифрованный туннель (при условии того, что файрволы локального и удалённого хостов пропустят эти соединения).
Большим недостатком данной схемы является необходимость доступа к удалённому серверу по SSH с правами суперпользователя (т.к. для создания TUN-интерфейса требуются права суперпользователя), при этом многие системные администраторы предпочитают запрещать root-доступ по SSH для большей безопасности. Устранение этого недостатка описано в следующем пункте.
SSH-туннель с правами непривилегированного пользователя
Для того, чтобы создать SSH-туннель с правами непривилегированного пользователя, нужно предварительно создать TUN-интерфейс, принадлежащий этому пользователю (для создание TUN-интерфейса в любом случае понадобятся права суперпользователя на удалённом хосте).
Для создания TUN-интерфейса в более старых дистрибутивах Linux используется инструмент tunctl (должен быть доступен из репозиториев дистрибутива), в более новых дистрибутивах этот функционал включен в пакет iproute2. Для определения того, каким способом нужно создавать TUN-интерфейс на вашем хосте, выполните команду
ip tuntap
Если команда выдаст ошибку
Object "tuntap" is unknown, try "ip help".
Значит нужно использовать инструмент tunctl, предварительно установив его (yum install tunctl), в противном случае, команда должна выдать список TUN/TAP-интерфейсов на хосте.
Переходим к настройке.
Создаём непривилегированного пользователя на удалённом хосте:
useradd ssh_tunnel
Создаём TUN-интерфейс, принадлежащий этому пользователю
С помощью tunctl:
tunctl -n -t tun7 -u ssh_tunnel -g ssh_tunnel
С помощью iproute2:
ip tuntap add dev tun7 mode tun user ssh_tunnel group ssh_tunnel
Подключение SSH-туннеля выполняется аналогично предыдущему примеру:
# на локальном хосте
sudo ssh -w 7:7 -l ssh_tunnel 192.168.1.100
ifconfig tun7 up 10.255.255.2 pointopoint 10.255.255.1
# на удалённом хосте
ifconfig tun7 up 10.255.255.1 pointopoint 10.255.255.2
Создание пользователя только для SSH-туннелирования
В данном пункте будет рассмотрен запрет использования консоли непривилегированным пользователем в то время, как SSH-туннелирование для этого пользователя будет разрешено. Установить для пользователя оболочку «/bin/false» или «/sbin/nologin» не получится, т.к. в этом случае пользователь вообще не сможет установить SSH-соединение.
Для ввода описанных ограничений нужно добавить в конец файла настроек OpenSSH-сервера (/etc/ssh/sshd_config) указанные ниже строки и перезагрузить OpenSSH-сервер (service sshd restart)
Match User ssh_tunnel
X11Forwarding no
AllowTcpForwarding yes
AllowAgentForwarding no
GatewayPorts no
ForceCommand echo 'This account can only be used for tunneling'; cat
Ограничение в этом примере вводится для созданного ранее пользователя ssh_tunnel. Параметр ForceCommand заставляет пользователя автоматически выполнять команду «echo 'This account can only be used for tunneling'; cat» сразу после подключения. Это не даст пользователю использовать консоль нормальным образом, т.к., если убить процесс cat нажатием Ctrl+C, SSH-соединение будет разорвано.
Не стоит считать это надёжным запретом использования консоли, т.к. в оболочке bash периодически находят уязвимости, для подключения удалённых пользователей лучше использовать VPN на базе специализированных протоколов.
Выполнение подключения одной командой
Создание SSH-туннеля и назначение IP-адресов TUN-интерфейсам можно выполнить в рамках одной команды (не сработает, если вы запретили пользователю на удалённом хосте использовать консоль, как описано в прошлом пункте).
sudo ssh -w 7:7 -l ssh_tunnel -o PermitLocalCommand=yes -o LocalCommand='ifconfig tun7 up
10.255.255.2 pointopoint 10.255.255.1' 192.168.1.100 'sudo ifconfig tun7 10.255.255.1 pointopoint 10.255.255.2'
При выполнении команды нужно будет пройти sudo-аутентификацию на локальном и на удалённом хосте.
