Yellow Leaf

Yellow Leaf


Поиск по сайту


Вход
Правила портала
Регистрация
Забыли пароль?
О команде проекта
Справка по оформлению постов


Последние комментарии к новостям и статьям
Re: С днём системного администратора!
Re: Вышел новый номер v10.07(2) компьютерного журнала UserAndLINUX.
Re: Отчет о первом "Runtu InstallFest" в Екатеринбурге
Re: OpenVPN сервер для офисного шлюза на FreeBSD
Re: Релиз Runtu LXDE 10.04!
Ещё комментарии >>>


Новые файлы
Debian: cue2tracks_0.2.11_all (Дополнение для CUE 2 Tracks v0.2.11)
Gentoo: cue2tracks-0.2.11 (Дополнение для CUE 2 Tracks v0.2.11)
CUE 2 Tracks v0.2.11
Jabber-Shell 20090303
EasySoft AutoRun 0.4.1


Новое на форуме
Движок сайта. версия 2.0
Нужен логопед, срочно
Словить процесс
проблемы с разделом жесткого диска
планировщик, веб интерфейс


Проекты
Jabber-Shell
Qmmp
QStarDict
PHPSAAdmin


 
   


Друзья сайта
 Open Kazan - Казанское сообщество пользователей OpenSource 


Посетителей с 08.09.2006

4671578


Внешний вид портала


RSS-Ленты
Новости
Файлы


 

   
  Яндекс цитирования  

«Жёлтый Лист» - cайт о мире юникс
Новости Форум Статьи Файлы Пользователи
   

Замена openssh на lsh в Debian/Ubuntu

MooSE 2010-02-27 17:09:45

В предыдущей статье было показано как организовать OpenVPN-сервер на маломощном VDS. Однако описаное решение нормально работает при подключении трёх-пяти клиентов и дальнейшее увеличение числа клиентов упирается в оперативную память. Для решения этой проблемы можно либо менять тарифный план VDS на более дорогой, либо каким-либо образом освобождать память.

Автор этих строк выбрал второй способ. Поскольку список запущеных процессов не такой уж и большой выявить "кандидатов на замену" не составило труда. Выбор пал на ssh-сервер, который потреблял до десяти мегабайт памяти, в то время как реально был нужен не чаще раза в месяц. В качесве замены было решено использовать GNU-реализцию SSH-сервера lsh, которая потребляла не более двух мегабайт памяти. Далее будут описаны подробности этой миграции.

В самом простом случае для замены openssh-server на lsh-server в Debian/Ubuntu достаточно команд:

apt-get install lsh-server
invoke-rc.d ssh stop
invoke-rc.d lsh-server restart

После этого можно заходить на сервер по SSH. Однако если ранее была настроена авторизация по ключам - её придётся перенастроить. Так же по умолчанию в lsh отключена поддержка sftp. Начинаем преодолевать эти препятствия: для включения подсистемы sftp нужно изменить значение параметра "ENABLE_SFTP" в файле /etc/default/lsh-server с "false" на "true" и перезапустить процесс командой:

invoke-rc.d lsh-server restart

Переходим к авторизации по ключам. Дело в том что lsh не использует файл authorized_keys от openssh, а использует своё хранилище публичных ключей. Кроме того сохраняются эти ключи так же в отличном от openssh виде.

Если у вас есть ключ, сгенерированый с помощью openssh то для его использования нужно выполнить следующие действия: первым делом нужно скопировать его на сервер примерно так:

scp .ssh/id_rsa.pub user@server:/home/user/

Далее нужно залогиниться на сервер и сконвертировать ключ в пригодный для lsh формат командой:

cat id_rsa.pub | ssh-conv > lsh_key_pub

Команда ssh-conv поддерживает работу как с RSA, так и с DSA-ключами. Далее нужно создать (если ещё не была создана) директорию ~/.lsh/authorized_keys_sha1, в которой будут хранится SHA1-хэши ключей. Добавить в неё ключ можно командой:

lsh-authorize lsh_key_pub

После этого на сервере можно авторизовываться по ключу. Более подробно об использовании lsh можно почитать в официальной документации проекта.

На этом всё. Приятной работы!

Ключевые слова: lsh lshd ssh openssh

Версия для печати

Возможно вас заинтересуют следующие товары:

Комментарии:

morbo 2010-03-01 07:19:01 (*)

Тоже недавно задумался о том, чтобы заменить openssh на gnu ssh. Однако повод другой - убрать python из системы. У меня на компьютере от python зависят только openssh, ssl-cert, exfalso и cups. В openssh есть скрипт на питоне, который проверяет ssl-сертификаты и ключи по чёрному списку, вот этот скрипт и тянет за собой python.

Опечатка: "SAH1-хэши".

[Ответить]

MooSE 2010-03-01 09:19:30 (*)

опечатку поправил.

ты на клиентской машине хочешь заменить? там тоже есть некоторые особенности при миграции.

и кстати от ssl-cert избавиться вроде как практически не реально...

[Ответить]

Diffor 2010-03-01 17:13:49 (*)

>либо меня тарифный
либо менять тарифный

>замены быо решено
замены было решено

>которая потребляля не более
которая потребляла не более

>ftp. Начнинаем преодолевать
ftp. Начинаем преодолевать

то, что бросилось в глаза...

[Ответить]

MooSE 2010-03-02 00:41:17 (*)

Спасибо. Поправил.

[Ответить]

Анонимный посетитель 2010-03-09 22:28:32 (*)

а dropbear не устроил бы?

[Ответить]

Анонимный посетитель 2010-03-10 07:34:09 (*)

MooSE, это домашняя машина, на ней есть ssh-сервер. Вот сервер в первую очередь и хотел заменить, или выпилить из него питоновский сценарий.

[Ответить]

morbo 2010-03-10 07:34:50 (*)

Предыдущий аноним - это я.

[Ответить]

Анонимный посетитель 2010-04-02 16:35:57 (*)

>invoke-rc.d ssh stop
рискуешь остаться совсем без руля. лучше сначала lsh на другой порт повесить, убедиться, что работает, а потом уж ssh stop

>а dropbear не устроил бы?
а он с openssh-клиентом работает?

[Ответить]

MooSE 2010-04-02 22:36:10 (*)

Цитата:

рискуешь остаться совсем без руля. лучше сначала lsh на другой порт повесить, убедиться, что работает, а потом уж ssh stop


VPS можно ребутнуть. Тогда ssh вернётся..

[Ответить]

Содержание*:
=

При копировании материалов с этого сайта ссылка на источник обязательна! Уважайте труд авторов!

Если материалы с этого сайта оказались вам полезны - Вы можете поддержать этот проект переведя на его счёт любую сумму, какую сочтёте нужным.

рублей


Обратная связь

© 2006-2010 Вадим Калинников aka MooSE

Дорожный багаж Samsonite,Roncato: купить дорожную сумку. . Штукатурка стен в Москве: венецианская штукатурка. . Свадебный портал Екатеринбурга - свадебный торт на заказ. . without having a single pressuring a person online casino.