Toto je první článek v naší sérii o praktickém použití příkazové řádky věnovaný síťové komunikaci.
14.7.2004 13:00 | Jan Houštěk | přečteno 82907×
Začneme s v Linuxu a linuxových systémech obecně velmi rozšířeným
nástrojem jménem ssh
. Jedná se o náhradu rsh
(remote shell), od kterého se již dnes právě díky ssh
téměř
zcela ustoupilo. Nejznámější a nejrozšířenější implementací je OpenSSH
pocházející z OpenBSD, na tuto implementaci se v tomto článku zaměříme (jiné
implementace mají odlišnou syntax a také trochu jiné možnosti a schopnosti).
SSH znamená secure shell, ovšem kromě šifrování a bohatého výběru autentizačních mechanismů přináší další řadu možností jako např. forwarding TCP spojení, tunelování X11, kompresi a další.
Aby bylo možné ssh
použít, musí na straně serveru běžet
sshd
. Konfigurací démona se zabývat nebudeme, předpokládejme, že
na stroji ssh.linuxsoft.cz je zprovozněn. Uživatel bfu
se do
interaktivního shellu na tento stroj přihlásí asi takto:
bfu@client:~$ ssh bfu@ssh.linuxsoft.cz The authenticity of host 'ssh.linuxsoft.cz (82.208.29.34)' can't be established. RSA key fingerprint is 10:17:47:bc:08:98:a7:db:7e:17:3a:dc:3a:03:73:43. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'ssh.linuxsoft.cz,82.208.29.34' (RSA) to the list of known hosts. bfu@ssh.linuxsoft.cz's password: ******** bfu@linuxsoft:~$
Hláška o RSA klíči se objevila, protože klient nebyl schopný ověřit identitu serveru a tudíž nelze nijak vyloučit, že opice sedí na drátě (MITM neboli monkey-in-the-middle) a vydává se za server. Tuto hlášku byste neměli ignorovat, ale poskytnutý fingerprint ověřit. Na cesty doporučuji fingerprinty v peněžence na kartičce velikosti kreditní karty, z druhé strany může být seznam jednorázových hesel :-)
Ověřené klíče se obvykle ukládají do $HOME/.ssh/known_hosts, nebo je může administrátor uložit do /etc/ssh/ssh_known_hosts. Pokud bychom chtěli vidět fingerprinty těchto uložených klíčů (např. pro přípravu zmíněné kartičky), použijeme např. příkaz
bfu@client:~$ ssh-keygen -l -f .ssh/known_hosts 2048 10:17:47:bc:08:98:a7:db:7e:17:3a:dc:3a:03:73:43 ssh.linuxsoft.cz 1024 a9:1d:8a:74:87:30:a7:41:a8:26:7e:88:e6:42:e2:6b root.cz
ssh-keygen
je nástroj určený pro výrobu a manipulaci s ssh klíči.
Volba -l
slouží právě k vygenerování fingerprintů, -f
udává soubor s klíči.
Máme tedy ověřenu identitu serveru, pojďme se podívat, co dalšího nám
ssh
nabízí. Např.
ssh -1 -C -X -p 2222 ssh.linuxsoft.cz
stále vede k získání interaktivního shellu. Použité volby jsou ortogonální,
-1
vynutí použití protokolu verze 1. Dnes se již většinou jako
výchozí používá protokol 2, který je bezpečnější a má větší možnosti
(forwarding portů, subsystémy). Protokol 1 ocení ti, kdo potřebují interaktivní
shell používat na pomalých linkách a/nebo linkách s dlouhou odezvou. V
kombinaci s kratším klíčem (doporučuji 768 bitů) je např. při použití GPRS
spojení shell subjektivně podstatně "živější".
-C
slouží k zapnutí komprese, což zase
uvítají ti, kdo přes ssh chtějí na pomalejších linkách přenášet větší množství
dat a/nebo mají počítanou linku. Na rychlých linkách má tato volba smysl jen
v případě, že server i klient zvládnou datový tok v reálném čase (de)šifrovat
a současně (de)komprimovat.
Volba -X
slouží k protunelování X11 spojení. Běží-li na straně
klienta X server, je možné v získaném vzdáleném shellu spouštět i X11
aplikace, jejich vstup a výstup bude pomocí ssh tunelován a
zobrazen na lokálním X serveru.
A konečně volba -p
umožní zadat jiný port než standardní 22/tcp.
To se může hodit k připojení na servery za firewallem, nebo servery spuštěné
neprivilegovaným uživatelem.
Vynechání uživatelského jména je v pořádku, v takovém případě se použije login lokálního uživatele. Spuštěním shellu možnosti ssh nekončí. Zjistit čas na vzdaleném serveru můžeme třeba takto:
bfu@client:~$ ssh ssh.linuxsoft.cz 'date' Fri Jul 1 06:54:11 CEST 2004
Uvozovky jsou v tomto případě zbytečné, ovšem je dobré si na ně zvyknout, u
příkazů s parametry už totiž nutné jsou. Jak je vidět, vede toto ke spuštění
příkazu na vzdáleném serveru, přičemž standardní výstup je přes ssh přesměrován
na klienta. A nejen to, standardní vstup je zase přesměrován na server,
zkopírovat lokální soubor secret_file
přes ssh na server můžeme
např. takto:
ssh ssh.linuxsoft.cz 'cat > secret_file_copy' < secret_file
V případě celého adresáře použijeme stejným způsobem tar
:
tar cf - some_dir | ssh ssh.linuxsoft.cz 'tar xf -'
Pro přenos souborů přes ssh
máme ovšem k dispozici mnohem
komfortnější a silnější nástroje, jmenovitě rsync
,
scp
či sftp
. Princip fungování je ovšem stejný, jako
v předchozím případě.
Ukažme si ještě jednu vlastnost ssh
, kterou je přesměrování portů.
Nechť např. na stroji pop.host.com je provozována služba pop3, pomocí které si
chcete na klientskou stanici stáhnout poštu. Z nějakého důvodu (firewall,
bezpečnost, anonymita apod.) to ale nechcete provádět přímo z klienta, ale z
ssh.linuxsoft.cz. Použijete tedy příkaz
ssh -N -L 11000:pop.host.com:110 ssh.linuxsoft.cz
Po zadání hesla se pak můžete pop3 klientem připojit na lokální port
11000/tcp, toto spojení bude na port 110/tcp serveru pop.host.com navázáno z
ssh.linuxsoft.cz, mezi klientem a ssh.linuxsoft.cz je komunikace jako obvykle
tunelovaná a šifrovaná pomocí ssh
. Volba -N
způsobí,
že nedojde ke spuštění příkazu ani interaktivního shellu, není nutné ji použít
(v takovém případě se ssh
chová jako obvykle, tj. při absenci
příkazu otevře interaktivní shell).
Lze provést i přesměrování v opačném směru, pomocí -R
.
Provozujete-li např. na lokálním stroji nacházejícím se za firewallem nebo
NATem http server, který chcete (dočasně) zpřístupnit z internetu
prostřednictvím ssh.linuxsoft.cz
, provedete to příkazem (z
klienta, kde běží zmíněný http server)
ssh -N -R 8080:localhost:80 ssh.linuxsoft.cz
Nyní se lze připojit na port 8080 serveru ssh.linuxsoft.cz
(např
zadáním http://ssh.linuxsoft.cz:8080/
do prohlížeče), toto spojení
je přes ssh forwardováno na port 80 na klientské stanici. Je možné
localhost
nahradit jménem nebo IP adresou jiného stroje v lokální
síti. Toto zpřístupnění lokálních služeb z Internetu navíc nelze nijak
detekovat, z pohledu místního firewallu se jedná o odchozí TCP spojení na ssh
server a z pohledu zpřístupněných služeb zase o přístupy z lokální stanice (na
které spouštíme ssh klient).
Rsync je poměrně sofistikovaný nástroj pro přenos souborů. Mezi jeho hlavní výhody patří efektivita, vysoká konfigurovatelnost a kontrola integrity přenášených dat je přímo součástí protokolu. Je to jeden z nejrozšířenějších nástrojů používaných pro synchronizaci dat mezi hlavním zdrojem a mirrory, umí totiž přenášet pouze nové soubory a u existujících pouze jejich změněné části.
Syntax je jednoduchá, rsync
vždy voláme podle následujícího
schématu:
rsync {případné předvolby} {zdroj nebo více zdrojů} {cíl}
Zdroj a cíl mohou mít několik tvarů. Nejdůležitější je rozlišení na lokální a
vzdálená umístění. Lokální umístění se zapisují stejně jako např. v případě
cp
. Např. všechny soubory jpg
z aktuálního adresáře
do adresáře /home/bfu/photo
zkopírujeme příkazem
bfu@linux:~$ rsync *.jpg /home/bfu/photo
Chceme-li kopírovat celé adresáře, je nutno použít parametr -r
.
S parametrem -v
zase rsync
rsync ukazuje soubory,
které kopíruje, a s parametrem --progress
navíc u každého
zobrazí i průběh, rychlost a čas (to má smysl zejména u větších souborů).
bfu@linux:~$ rsync -rv --progress /share/linux/MDK-amd64 /tmp/to_burn building file list ... 6 files to consider created directory /tmp/to_burn MDK-amd64/Mandrakelinux10.0-CD1.amd64.iso 726958080 100% 6.13MB/s 0:01:53 MDK-amd64/Mandrakelinux10.0-CD2.amd64.iso 727709696 100% 6.15MB/s 0:01:52 MDK-amd64/Mandrakelinux10.0-CD3.amd64.iso 727904256 100% 5.85MB/s 0:01:58 MDK-amd64/Mandrakelinux10.0-CD4.amd64.iso 724908032 100% 5.74MB/s 0:02:00 MDK-amd64/Mandrakelinux10.0-amd64.md5sum 264 100% 0.00kB/s 0:00:00 wrote 2907835604 bytes read 100 bytes 6246693.24 bytes/sec total size is 2907480328 speedup is 1.00
Pozor na zápis adresářů ve zdrojích. V případě, že za jméno adresáře napíšeme
lomítko, je přenesen jeho obsah, nikoliv adresář samotný. Následující dva
příkazy vedou ke stejnému výsledku, tj. zkopírování ISO obrazů do adresáře
/tmp/to_burn/tmp
, zatímco původní příkaz vytvořil adresář
/tmp/to_burn/MDK-amd64
rsync /share/linux/MDK-amd64/ /tmp/to_burn rsync /share/linux/MDK-amd64/* /tmp/to_burn
Pro co možná nejidentičtější kopii lze použít parametr -a
. Je
to zkratka za -rlptgoD
. Parametr -r
již známe,
-l
znamená zachování symlinků, funkce ostatních je dohledatelná
v manuálové stránce.
Rsync se ovšem většinou používá nikoliv jako "chytřejší" cp
,
ale pro přenos souborů po síti. Cílové nebo lokální umístění může mít jeden
ze dvou následujících tvarů
rsync -a rsync://ftp.debian.org/debian /ftproot/mirror/ftp.debian.org rsync -a www bfu@remote.machine.com:archive
První příkaz přenese Debianí FTP archiv na lokální stroj do určeného adresáře.
Druhý pak zkopíruje adresář www
do adresáře archive
v
domovském adresáři uživatele bfu
na stroji
remote.machine.com
.
Rozdíl je v použitém protokolu. Příklad s Debianem používá vlastní
rsync
protokol, který je tak trochu podobný FTP
.
Na straně serveru musí být tato služba zprovozněna a patřičně nakonfigurována
(tím se zde zabývat nebudeme), může vyžadovat autentizaci nebo umožnit
anonymní přístup.
Řada velkých archivů software tuto službu provozuje kvůli snadné synchronizaci
s mirrory, někdy je dostupná i běžným uživatelům – v takovém případě je
při stahování např. ISO obrazů vhodné dát programu rsync
přednost před
FTP
či HTTP
. Použijeme přitom většinou také
volbu --partial
, která způsobí, že při předčasném přerušení
není částečně stažený soubor smazán a stahování lze navázat.
bfu@linux:~$ rsync -v --progress --partial \ rsync://debian.sh.cvut.cz/debian-cd/current/ iso/i386/debian-30r2-i386-binary-1.iso . Welcome to SiLiCONN HiLL MiRROR SiTE Use: ftp.sh.cvut.cz::ftp/ Server name: ftp.sh.cvut.cz Server IP: 147.32.127.222 CPU and RAM: Intel Celeron 800MHz, 384MB Connection: 100 MBit Location: Europe, Czech Republic, Prague Contact: admin@ftp.sh.cvut.cz debian-30r2-i386-binary-1.iso 10829824 1% 5.67MB/s 0:01:43
Pro nás užitečnější bude ale především druhý zápis s dvojtečkou. V takovém
případě je přenos realizován přes službu vzdáleného shellu, dnes tedy většinou
ssh
. Některé distribuce v defaultní konfiguraci zkouší používat
zastaralý rsh
, k použití ssh
pak rsync přimějeme
parametrem -e ssh
. Na straně serveru musí běžet sshd
a musí být nainstalován rsync
.
Následující příkaz přenese všechny PDF dokumenty z domovského adresáře vzdáleného serveru do aktuálního lokálního adresáře. Příklad předpokládá, že vzdálený uživatel je stejný jako lokálně přihlášený.
rsync remote.machine.com:*.pdf .
Lokální adresář data
můžeme se stejnojmenným adresářem v domovském
adresáři na vzdáleném serveru synchronizovat příkazem
rsync -a --delete data remote.machine.com:
Parametr --delete
způsobí smazání těch souborů a adresářů
v adresáři data
na vzdáleném serveru, které neexistují lokálně.
Takto je možné např. synchronizovat data mezi notebookem a pracovní stanicí.
Protože jsou přenášeny jen změny a nové soubory, je celá operace většinou
rychlá i v případě, že celkový objem adresáře je značný.
Ke komfortnímu používání rsync
a ssh
je užitečné
používat ssh klíče a případně ssh agenta, aby při každém připojení nebylo
nutné zadávat heslo. To ale přesahuje rámec tohoto článku.
Rsync je opravdu mocný nástroj, práce s ním je efektivní a díky ssh také
bezpečná, navíc je možné ho použít prakticky kdekoliv (jak již bylo zmíněno,
stačí nainstalovaný rsync
a ssh služba). Osobně ho preferuji
před podstatně méně schopným scp
i před méně bezpečnými
a méně spolehlivými službami jako FTP
. Věřím, že si ho také oblíbíte!
man ssh
man rsync