screen -D -R ...如果需要远程分离和注销 - 这里“远程注销”的目的是什么?

screen -D -R ...如果需要远程分离和注销 - 这里“远程注销”的目的是什么?

我当前在使用工作中传递给我的用例screenssh服务器,su技术用户帐户,然后screen -RD。当ssh会话由于超时而自动丢失时,我重复这些步骤,并让该技术帐户在服务器上的“终端状态”看起来与没有发生连接重置一样。

我想了解-RD旗帜等的重要性屏幕手册页我读过(我强调的):

-D -R

立即附上。详细来说,这意味着:如果会话正在运行,则重新连接。如有必要,请拆下并远程注销第一的。如果它没有运行,则创建它并通知用户。这是作者最喜欢的。

我尝试过网络搜索logout remotely screen,相关的最高结果只是https://www.howtoing.com/keep-remote-ssh-sessions-running-after-disconnection/,我在那里读到过有关分离的内容:

拆卸屏幕

当您想要注销远程会话,但又想保持在该计算机上创建的会话处于活动状态时,您需要做的就是将屏幕与终端分离,以便它不再有控制终端。完成此操作后,您可以安全地注销。

在SE上我发现如何从另一个终端远程分离屏幕https://askubuntu.com/questions/526972/remotely-log-out-of-graphical-gnome-session但这些都是其他具体问题。

我尝试阅读有关登录、退出等的维基百科,但仍然不清楚。我可以远程注销什么会话?我正在服务器上运行screen...也许这些标志与我的特定用例无关?-RD(远程注销)最常见的用例是什么?

答案1

当您screen在服务器上运行时,您实际上同时有两个终端会话:第一个是您通过 SSH 连接的终端会话,第二个是由命令管理的“本地”会话screen。如果第一个会话因任何原因终止而没有screen先正确退出,这两个会话将自动彼此分离,并且当您建立新的 SSH 会话时,screen允许您重新连接到现有的第二个会话。

如果切断连接的超时类似于防火墙因不活动而切断现有连接,则问题在于防火墙可能无法向连接的任一端发出切断信号,直到有问题的一端尝试发送一些东西覆盖已切断的连接。

因此,如果防火墙切断 SSH 连接,然后您在 SSH 连接上输入哪怕一个字符,防火墙都会向 SSH 客户端发回 TCP 重置,您会看到连接已被切断。但SSH服务器端不一定意识到这一点:如果服务器没有尝试向您发送任何内容,则它可能仍然在 TCP 连接上等待您的任何输入,据服务器所知,该连接仍处于连接状态但处于空闲状态。

在这种特殊情况下,您将需要从旧的 SSH 会话中删除会话的-D选项,即使您认为它仍然处于连接状态。screen -DRscreenscreen

作为副作用,它将导致服务器尝试screen在初始、切断的 SSH 会话上发送输出(来自 的“断开连接”消息和新的 shell 提示符),防火墙将发送回 TCP 重置,等等服务器端sshd最终会得到旧的 SSH 连接在网络级别已中断的信息,并将其清理。

但是,如果导致您的 SSH 会话超时的原因是服务器上的某些原因导致您的第一个 SSH 会话终止,例如服务器管理员将ClientAliveCountMax0sshd_configClientAliveInterval某个非零值设置为 hack 以获得某种效果如果从 开始不活动超时sshd,那么您的旧 SSH 会话将完全断开连接,并且该screen会话已经在已分离的状态下等待您。在这种情况下,screen -R重新连接就足够了......但-D在这种情况下另外指定该选项不会有什么坏处。


顺便说一句,以这种方式滥用ClientAliveIntervalClientAliveCountMax设置sshd_config是设置用户不活动超时的一种非常不可靠的方法,因为客户端可以在不知道他们正在这样做的情况下解决它。这是因为ClientAliveInterval这是关于监视 SSH 连接级别的活动,而不是实际的用户活动。

如果 SSH 客户端的用户遇到网络超时问题,他们可能会ServerAliveInterval在其设置~/.ssh/config(或非 OpenSSH 客户端上的等效设置)中进行设置。如果客户端的ServerAliveInterval设置短于防火墙的连接不活动超时,则会导致 SSH 客户端自动发送加密的 SSH“你还在吗?”数据包处于不活动状态,sshd服务器将回复它,重置防火墙上的不活动计时器。

但是,将客户端设置为较短的超时值也会导致只要 SSH 连接实际工作,ServerAliveInterval服务器就永远不会达到超时,从而破坏了所谓的“用户不活动超时”。ClientAliveInterval

不幸的是,一些安全强化标准似乎已经纳入了这种ClientAliveInterval基于用户不活动超时的黑客攻击,因此一些安全审核员可能需要它,即使它并不真正适合其预期目的。

相关内容