有接觸過 Linux 的人都知道 SSH，但應該也有很多人跟小蛙一樣不知道有一個東西叫做 ssh reverse tunnel，可以透過 SSH 打出一個外部可以連進來的「洞」。這樣講很難懂，小蛙每次看完、做完就忘記了 … >< 這篇記錄一下流程。

環境 & 目的

小蛙有以下兩台機器，兩台都是 Ubuntu

• A：必須要透過 FortiClient VPN 才能經由內網 IP 進入的主機
• B：一台外部機器

小蛙的需求是要讓 B 可以連線到 A 的 MySQL，小蛙平常要連上 VPN 之後透過內部 IP 才連到的 A，因此從外部機器 B 沒辦法直接連到 A，小蛙接著要透過 SSH 打出一個反向的通道，這樣就可以讓外部機器 B 經由這個打出的通道，連進去 A 的 MySQL 裡。這就是這篇最主要的目的～

前處理

打洞之前需要做一些前處理

• 設定連線免輸入密碼（可參考這篇，最下方「設置公鑰」章節）
• 安裝 autossh：apt-get install autossh

前處理這樣就算結束了～

開洞囉！SSH Reverse Tunnel 教學

其實用 ssh 加一些設定就可以做到了，但是小蛙 survey 了一些文章後發現 autossh 可以很輕鬆做到這件事情，因此選擇了使用 autossh 來協助。

autossh -M 12345 -NfR 33306:localhost:3306 account@server -p112233

參數介紹
-M 12345 : 用來監聽 ssh 有沒有斷線的 port
-NfR : N 不運行遠端指令、f 連線後背景執行、R 將遠端 port 對應到本地端 port
33306:localhost:3306 : 把遠端的 33306 對應到本機的 3306
account@server : 用來登入遠端 SSH 的帳號
-p112233 : 如果遠端 SSH 不是 22 port，可透過 -p 來指定 port

這樣看完還是霧沙沙，簡單的說因為 B 沒辦法連到 A，小蛙要從 A 執行上述指令，這樣就會連到 B，並且讓 B 可以透過 33306 port 連過來，而且連過來的時候對應到 A 的 3306 port。

前處理的時候已經設定登入免密碼，讓 A 在打 reverse tunnel 的時候不用再輸入密碼，而 autossh 又會在 ssh 斷線後自動重新連接。

小蛙很容易弄錯的點是 -R 後面參數的設定，也就是上面 33306:localhost:3306 的部份（這裡常常記反），但其實只要記

• 從內網主機 or 沒辦法透過外部連線、要打洞的主機下指令
• -R 的參數，前面的是對方 port，後面才是 localhost 本機自己的

測試

從 A 打反向通道到 B 之後，接著我們就要到 B 去測試到底能不能連上 A 啦～連上 B 後，小蛙要測試的是 MySQL，這邊可以直接用 mysql 的指令來做測試

mysql -umysql_account -p -h127.0.0.1 -P33306

噹啷～順利連上啦！

在 A 上面下 netstat -utln 可以看到多聆聽了 12345，在 B 上面下 netstat -utln 則會多聆聽 12345 及上面設定的 33306。

注意事項

ssh reverse tunnel 畢竟是在系統上面開洞，安全性上面多少會有一些影響，使用時要特別小心。

如果要關閉通道的話，只要下 ps -Al

1 S     0 23025     1  0  80   0 -  1092 pause  ?        00:00:00 autossh

接著 kill 23025 就可以刪掉 ssh reverse tunnel 囉！

與 Ubuntu 相關的文章

• Ubuntu 安裝及設定 vsftp
• W: GPG error: 由於無法取得它們的公鑰，以下簽章無法進行驗證： NO_PUBKEY 4EB27DB2A3B88B8B
• Certbot error: ACMEv1 is deprecated and you can …
• SoftEther VPN 架設記錄
• MariaDB Replication 設定
• Ubuntu 使用 ssmtp 透過 Gmail 發送 email
• curl 的詭異問題 – Vultr DNS 設定
• Ubuntu 16.04 設定 Apache VirtualHost
• SSH 遠端登出後繼續執行
• Ubuntu 16.04 – phpmyadmin Deprecation Notice with PHP 7

這篇文章 MySQL 在內網不能連？開 1 個洞吧！autossh Reverse Tunnel 教學 最早出現於 記下來。

關於掛載(Mount)

有使用過網路芳鄰的網友應該都知道，可以把網芳空間掛載成像是 Z 槽；或是大家都使用過隨身碟吧！插上隨身碟的時候，OS 把這個外來裝置掛載在系統上(也許是 F 槽)，讓主要的系統可以存取這個裝置中的東西，今天要講的是在 Ubuntu 上透過網路來掛載遠端空間。

小蛙主機的硬碟只有少得可憐的 20GB ，如果多放幾個檔案跟圖片，加上備份檔案，很快就面臨到硬碟炸裂的狀況，因此小蛙將上述這些東西擺在另外一台主機上，這樣一來主要主機可以使用到這些檔案，但是又不會占用到少少的 20GB SSD，就有點上面提到的，把 USB 隨身碟插進電腦，差別是一個掛載是直接連結本機，另一個則是透過網路掛載。

使用 sshfs

在 Ubuntu 要使用 sshfs 相當簡單，只需要 apt-get 就可以直接使用(更多參數看這裡)，因為透過 SSH 連到遠端主機，如果沒有設定金鑰的話，總不可能每次連線都要輸入密碼吧！請先參考登入 Ssh 免輸入帳號密碼，設定完成並且確認 ssh 到遠端主機不用輸入密碼後，再繼續往下走喔！

# 安裝 sshfs
apt-get install sshfs
 
# 掛載遠端空間
#sshfs -o nonempty -o allow_other 帳號@主機:要掛載的遠端資料夾 掛載到本機的資料夾
# 以 nginx 帳號透過 ssh 遠端連線到 abc.com.tw 並將 /root/images 掛載到本機的 /root/remote_folder 下使用
sshfs -o nonempty -o allow_other nginx@abc.com.tw:/root/images /root/remote_folder
 
# -o 是增加的屬性，後面接屬性
# nonempty : 如果掛載的本機磁碟非空也沒關係
# allow_other : 預設掛載後只有 root 可以存取，增加這個選項讓其他使用者也可以存取

小蛙一開始傻傻的，就這樣設定上去，直到有一天要用的時候發現，奇怪，裝置不見了，再掛載一次又好了，才發現還有「斷線」這件事情，當時 Google 出一個方法，可以寫腳本放在 crontab 來做這項檢查(這裡看看就好，先不要照著做)

if mount | grep "/root/images" > /dev/null; then
        echo "/root/images already mounted";
else
        echo "mount /root/images now";
        umount nginx@abc.com.tw:/root/images
        sshfs -o nonempty -o allow_other nginx@abc.com.tw:/root/images /root/remote_folder
fi

首先我們知道在 command line 下mount可以看到目前所有已掛載的裝置(也可以用df來看目前有哪些裝置)，上面這段腳本在做的事情很簡單，就是檢查mount輸出的文字中有沒有包含我們掛載的字串，如果有的話就寫 log 然後什麼事都不做，如果沒有掛載的話先做 umount 解除掛載，做這件事的原因是為了避免掛載兩次發生問題，之後再做 mount。

小蛙剛剛 google 了一下發現，sshfs 有一個參數就是 reconnect 啊啊啊！！！根據 SSHFS – auto reconnect 提到的方法，斷線的時候 sshfs 就會自己重連囉！真的很方便。

sshfs -o reconnect,ServerAliveInterval=15,ServerAliveCountMax=3 server:/path/to/mount /path/to/mount

解除掛載 sshfs

這篇文章 建議使用 fusermount -u /temp/user/harddrive

這篇文章 Ubuntu 使用 SSHFS 掛載遠端空間 最早出現於 記下來。

從 Windows 登入 Linux

小蛙在家大多使用 Windows 的環境，當需要幫忙管理朋友的伺服器，才去翻東翻西去找出密碼來，這時候就可以在要登入管理的 Linux 系統下設定好相對應的公鑰，當小蛙的 Windows 拿著私鑰來連線的時候，公鑰跟私鑰搭配成一組就可以免輸入密碼登入囉！

在 Windows 電腦上取得公私鑰步驟

1. 下載 PuTTYgen

2. 開啟後可基本按照該網頁的操作進行，大概是 (a) 設定 SSH-2 RSA  (b) 長度小蛙設定 2048  (c) 點選 Generate (小蛙後來使用 MobaXterm 裡面有一個類似 PuTTYgen 的工具 MobaKeyGen，使用上大同小異)

3. 此時在進度條下方滑鼠動來動去，一開始小蛙不知道，想說怎麼進度條都不會動 …

4. 複製產生出來的 Pubkey

5. 如果要登入不輸入密碼，Key passphrase 留空白，這裡也可以把所有自己的 key 都設定成同一個密碼，這樣也可以達到所有機器用同一個密碼搭配 key 登入，不再需要記哪台機器是哪個密碼，小蛙是懶惰，不想輸入密碼 …

6. key comment 可以隨便打，自己可以認出是什麼並且管理就好

7. Save public key 及 Save private key，務必好好保管，如果私鑰掉了，就沒辦法跟公鑰搭成一對囉

Linux 設定允許登入的金鑰

1. 先遠端登入 Linux 系統，小蛙的是 Ubuntu，不過應該都差不多
2. 編輯登入目錄下的設定檔，如果沒有該檔案的話，可直接新建一個 vim ~/.ssh/authorized_keys
3. 將上面複製的公鑰，貼在檔案中，要注意每一行為一個金鑰，儲存後離開

Windows 設定使用私鑰連線 – PieTTY

1. 開啟 PieTTY 或是 PuTTY (以下小蛙以 PieTTY 作為範例)
2. 點選 PuTTY 模式，先設定好要連線的 IP, Port，接著在 Saved Sessions 填入要儲存的名字，以後可以直接選，不用每次都要設定
3. 找到 Connection -> Data -> Login details: Auto-login username，填入 Linux 登入的帳號
4. 找到 Connection -> SSH -> Auth -> 把 Attempt authentication using Pasgeant 及 Attempt “keyboard-interactive” auth (SSH-2) 打勾
5. 接續點選 Browse… 選取上面產生出來的 Private key
6. 回到 Session 頁籤，點選右方 Save，把剛剛的設定存好
7. 點選 Open 就可以直接連線到 Linux 主機囉

Windows 設定使用私鑰連線 – FileZilla

1. 開啟 FileZilla -> 檔案 -> 站台管理員
2. 新增站台，右邊「一般」，協定「SFTP」，登入形式改成「金鑰檔案」，這裡要選擇剛剛產生的私鑰，其他主機名稱跟使用者照自己的設定輸入
3. 直接連線就可以囉！

Linux 連線到 Linux

首先必須在要連線的 Linux client 建立一組金鑰，分別會是公鑰id_rsa.pub及私鑰id_rsa，必須要把這組金鑰保存好。

產生金鑰

ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 直接按 Enter
Enter passphrase (empty for no passphrase): 直接按 Enter
Enter same passphrase again: 直接按 Enter
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
......
The key's randomart image is:
......

設置公鑰

把公鑰設置到要連線的主機信任清單內，可以使用上面的方法 vim ~/.ssh/authorized_keys，或是從這邊看到的很方便的方法，直接從要連線的這台設定即可

cat ~/.ssh/id_rsa.pub | ssh root@your_id_address "cat >> ~/.ssh/authorized_keys"
# 將 id_rsa.pub 的內容透過 ssh 傳到遠端並且放進 authorized_keys 裡面

其他

使用特定金鑰

當下 ssh xxx@x.x.x.x 的時候，會預設使用家目錄下的 id_rsa 進行連線，但有時候小蛙必須要幫朋友用別的金鑰測試，這時候就可以透過 -i 這個參數來設定

xx:~ hans$ ssh -i Desktop/private_key_mac xxx@x.x.x.x

權限錯誤問題

小蛙在使用朋友給的金鑰時，發生以下錯誤

xx:~ hans$ ssh -i Desktop/private_key_mac xxx@x.x.x.x
Warning: Permanently added 'x.x.x.x' (ECDSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'Desktop/private_key_mac' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "Desktop/private_key_mac": bad permissions

查了一下確切需要的權限只要 400 就可以

chmod 400 私鑰

參考資料

1. PuTTYgen
2. PieTTY
3. PuTTY

這篇文章 登入 ssh 免輸入帳號密碼 最早出現於 記下來。

vim /etc/ssh/sshd_config
找到 #UseDNS yes
改成 UseDNS no  (把註解打開，就是不要用 DNS)
#再重新啟動 sshd 即可
/etc/init.d/sshd restart

文中提到如果這樣還是有卡卡的問題，把 GSSAPIAuthentication 也一樣改成 no，如下

GSSAPIAuthentication no

做個筆記留存追查。
參考資料：

1. [Unix/Linux] 解決 ssh 卡很久的問題 @ HighPoint’s Notes
   
   http://highpoint.logdown.com/posts/2014/03/04/unix-linux-solve-the-problem-of-ssh-for-a-long-time

這篇文章 ssh 登入速度緩慢問題 最早出現於 記下來。