autossh 与 systemd 是多余的吗？

Question 1

谢谢你提出了一个很好的问题。我有一个使用 autossh -M 0 运行的 systemd 服务。并且刚刚意识到将 autossh 与 systemd 一起使用是多余的。

这是我的新服务，没有 autossh。即使我自己杀死 ssh 进程，它也运行良好并重新启动。

[Unit]
Description=autossh
Wants=network-online.target
After=network-online.target

[Service]
Type=simple
ExecStart=
ExecStart=/usr/bin/ssh -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -o ExitOnForwardFailure=yes -R8023:localhost:22 sshtunnel@[address of my server] -N -p 22 -i /root/.ssh/id_rsa_insecure
Restart=always
RestartSec=60

[Install]
WantedBy=multi-user.target

如何开始服务：

在服务器上创建sshtunnel用户（不要赋予root权限）
将未加密的 RSA 密钥“id_rsa_insecure”放在这里 /root/.ssh/。您应该将公共部分放在服务器上的 /home/sshtunnel/.ssh/authorized_keys 中
使用上面的代码创建一个文件“autossh.service”并将其放在 /etc/systemd/system 中
运行以下命令

sudo systemctl daemon-reload
sudo systemctl start autossh
sudo systemctl enable autossh

一些解释性说明：

ExitOnForwardFailure

这是我第一次错过的。如果没有此选项，如果端口转发由于某种原因失败（相信我，这种情况确实发生了），SSH 隧道将存在，但毫无用处。所以需要将其杀死并重新启动。

/root/.ssh/id_rsa_insecure

从名称中可以看出，该密钥未加密，因此它必须是一个特殊的密钥，并且您必须限制使用该密钥的用户在服务器端执行任何操作，但创建反向通道。最简单的方法是限制服务器端的authorized_keys 文件中的行为。

# /home/sshtunnel/.ssh/authorized_keys
command="/bin/true" ssh-rsa [the public key]

这可以防止“sshtunnel”用户启动 shell 并执行任何命令。

额外的安全保障：

我尝试过但不起作用：1）在服务器端：将“sshtunnel”用户的 /etc/passwd 中的 shell 更改为 /bin/false 2）在服务器端：在authorized_keys 文件中添加 Permitopen=host:port sshtunnel id_rsa_insecure 密钥

我没有尝试，但我认为它应该有效：您可以通过配置 SELinux 用户配置文件进一步限制“sshtunnel”用户（仅允许特定端口转发） - 但我没有方便的代码。如果有人有代码，请告诉我。

我很想听听我当前的解决方案中存在的任何安全错误。谢谢

Answer