Los Ficheros de Configuración

En vez de llenar nuestra llamada a ssh de parámetros lo aconsejable es configurar la llamada en uno de los ficheros de configuración (man ssh_config). SSH consulta las opciones en el siguiente orden:

1. Línea de comandos
2. Fichero de configuración del usuario ~/.ssh/config Este fichero debe tener permisos de lectura/escritura para el usuario y no ser accesible al resto.
3. Fichero de configuración global /etc/ssh/ssh_config

Estructura de un Fichero de Configuración

Para cada parámetro el primer valor encontrado será el utilizado. Los ficheros de configuración contienen secciones. Cada sección comienza con una especificación de Host. Las especificaciones en esa sección sólo se aplican a los máquinas (tal y como se especifico en la línea de comandos) que casen con el patrón especificado en Host . Por ejemplo, si escribo en la línea de comandos:

pp2@nereida:~/Lbook$ ssh rbeo

Se buscará en mi fichero de configuración ~/.ssh/config por una especificación Host rbeo. En efecto, en mi fichero existe una:

...

Host rbeo
user otheruser
Hostname localhost
Port 2048
IdentityFile /home/pp2/.ssh/ursu

...

La sección dice que opciones deben aplicarse cuando nos conectamos a rbeo:

• La opción user indica que debo proporcionar como usuario otheruser
• La opción Hostname dice que el nombre auténtico de la máquina es localhost
• La opción Port indica que nos debemos conectar via el puerto 2048
• La opción IdentityFile nos dice que debemos usar autentificación automática con fichero de identidad (que fué previamente generado con ssh-keygen) /home/pp2/.ssh/ursu

Las líneas que comienzan por el carácter # son tratadas como comentarios. Es posible añadir líneas en blanco para aumentar la legibilidad.

El resto de las líneas deben seguir el patrón

PALABRACLAVE argumentos

Palabras Clave

Algunas palabras clave importantes son:

• Host Se pueden usar patrones como * y ?. Define la sección. Si el nombre proveído en la línea de comandos casa con él las reglas de la sección serán aplicadas.

• BatchMode Se desactivará la petición de passphrase/password.

  Además las opciones ServerAliveInterval ^84.1 y SetupTimeOut ^84.2 se establecen a 300 segundos. Esta opción es útil cuando se usan procesos por lotes o programas - por ejemplo cuando se usa GRID::Machine - en los que no hay un usuario presente para proporcionar una clave y es necesario detectar la caída de la red. El argumento debe ser yes o no. El valor por defecto es no

• BindAddress Se usa para especificar la dirección de la máquina local. Sólo es útil si la máquina dispone de mas de una dirección. Esta opción no funciona si UsePrivilegedPort ^84.3se pone a yes.

• Compression y CompressionLevel

  Si se establece la opción Compression se compactarán los datos según diga CompressionLevel (de 1 a 9)

• ConnectionAttempts Especifica el número de intentos antes de abandonar. El argumento debe ser un número (por defecto 1). Puede ser útil cuando se esta usando un procesado por lotes y la conexión falla a menudo.

• ConnectTimeout Especifica el límite de tiempo (segundos) antes de abandonar cuando se conecta a un servidor ssh

• HostName El nombre real del host al que entramos. Esto nos permite tener apodos y abreviaciones. El valor usado por defecto es el proveído en la línea de comandos. Se permite poner direciones IP numéricas.

• IdentityFile Especifica el fichero conteniendo la identidad de autentificación (RSA o DSA) a ser usado. Por defecto toma el valor ~/.ssh/identity para la versión 1 del protocolo y ~/.ssh/id_rsa y ~/.ssh/id_dsa para la versión 2. Si hay un agente cargado el agente intentará también las otras identidades. Es posible especificar múltiples identidades, las cuales serán intentadas en secuencia.

• NoHostAuthenticationForLocalhost

  Esta opción es conveniente cuando el directorio home es compartido entre un conjunto de máquinas (via NFS por ejemplo). En ese caso localhost refiere a una máquina distinta en cada una de las máquinas del conjunto. En tal caso, las conexiones a localhost dan lugar a un buen número de warnings indicando que la clave ha cambiado.

• Port Especifica el número de puerto.

• ServerAliveInterval Si después del intervalo especificado en segundos no se obtiene respuesta alguna del servidor, se envía un mensaje al servidor para solicitar una respuesta del mismo. Por defecto es 0, indicando que estos mensajes no deben ser emitidos.

  Es útil probar con esta opción si la conexión se desconecta después de un corto periodo de inactividad. Ciertos administradores configuran sus servidores de manera que responden muy tardíamente. Sigue un fragmento de mi configuración desde fuera de la Universidad:

  Host cardon
  user pepito
  Hostname cardon.ull.es
  ForwardX11 yes
  ServerAliveInterval=30
  

• ServerAliveCountMax

  Establece el número de mensajes alive que pueden ser enviados por el cliente ssh sin que este reciba respuesta desde el servidor. Si se supera este umbral el cliente abandona, finalizando la sesión. El valor por defecto es 3. (Sólo para el protocolo 2).

• TCPKeepAlive

  Especifica si se deben enviar mensajes TCP keepalive al otro lado. Si se envían se podrán detectar los fallos en las máquinas remotas. El valor por defecto es yes, de modo que el cliente se percate de la caída del remoto.

• User El usuario

• UserKnownHostsFile especifica un fichero alternativo a ~/.ssh/known_hosts para las claves de máquinas

Ejemplo

Sigue un ejemplo de fichero de configuración de usuario:

pp2@nereida:~/.ssh$ cat -n config
 1  # man  ssh_config
 2
 3  GSSAPIAuthentication no
 4
 5  Host somemachine
 6  user myname
 7  Hostname somemachine.pcg.ull.es
 8  #ForwardX11 yes
 9
10  Host ursu
11  user otheruser
12  Hostname somemachine.pcg.ull.es
13  IdentityFile /home/pp2/.ssh/ursu
14  #ForwardX11 yes
15
16  Host chazam chazam.pcg.ull.es chazam.deioc.ull.es chum
17  user myname
18  # The real name of the machine
19  Hostname chazam.pcg.ull.es
20
21  # Example to be used when connecting via reverse tunneling
22  # myname@somemachine:~$ ssh -R2048:localhost:22 pp2@nereida
23  # Logic name for the machine
24  Host rbeo
25  # user in the remote machine
26  user otheruser
27  # The 'real name' of the machine after the tunnel
28  Hostname localhost
29  # Port to connect to
30  Port 2048
31  IdentityFile /home/pp2/.ssh/ursu

El fichero rc

Cada vez que ocurre una conexión SSH el servidor ejecuta el script en /etc/sshrc. Si existe un fichero ~/.ssh/rc (SSH1, OpenSSH) o ~/.ssh2/rc (SSH2), será invocado. Su presencia inhibe la ejecución de /etc/sshrc. Se ejecuta tanto si la sesión es interactiva como si es un comando.