我当前在使用工作中传递给我的用例screen
是ssh
服务器,su
技术用户帐户,然后screen -RD
。当ssh
会话由于超时而自动丢失时,我重复这些步骤,并让该技术帐户在服务器上的“终端状态”看起来与没有发生连接重置一样。
我想了解-RD
旗帜等的重要性屏幕手册页我读过(我强调的):
-D -R
立即附上。详细来说,这意味着:如果会话正在运行,则重新连接。如有必要,请拆下并远程注销第一的。如果它没有运行,则创建它并通知用户。这是作者最喜欢的。
我尝试过网络搜索logout remotely screen
,相关的最高结果只是https://www.howtoing.com/keep-remote-ssh-sessions-running-after-disconnection/,我在那里读到过有关分离的内容:
拆卸屏幕
当您想要注销远程会话,但又想保持在该计算机上创建的会话处于活动状态时,您需要做的就是将屏幕与终端分离,以便它不再有控制终端。完成此操作后,您可以安全地注销。
在SE上我发现如何从另一个终端远程分离屏幕和https://askubuntu.com/questions/526972/remotely-log-out-of-graphical-gnome-session但这些都是其他具体问题。
我尝试阅读有关登录、退出等的维基百科,但仍然不清楚。我可以远程注销什么会话?我正在服务器上运行screen
...也许这些标志与我的特定用例无关?-RD
(远程注销)最常见的用例是什么?
答案1
当您screen
在服务器上运行时,您实际上同时有两个终端会话:第一个是您通过 SSH 连接的终端会话,第二个是由命令管理的“本地”会话screen
。如果第一个会话因任何原因终止而没有screen
先正确退出,这两个会话将自动彼此分离,并且当您建立新的 SSH 会话时,screen
允许您重新连接到现有的第二个会话。
如果切断连接的超时类似于防火墙因不活动而切断现有连接,则问题在于防火墙可能无法向连接的任一端发出切断信号,直到有问题的一端尝试发送一些东西覆盖已切断的连接。
因此,如果防火墙切断 SSH 连接,然后您在 SSH 连接上输入哪怕一个字符,防火墙都会向 SSH 客户端发回 TCP 重置,您会看到连接已被切断。但SSH服务器端不一定意识到这一点:如果服务器没有尝试向您发送任何内容,则它可能仍然在 TCP 连接上等待您的任何输入,据服务器所知,该连接仍处于连接状态但处于空闲状态。
在这种特殊情况下,您将需要从旧的 SSH 会话中删除会话的-D
选项,即使您认为它仍然处于连接状态。screen -DR
screen
screen
作为副作用,它将导致服务器尝试screen
在初始、切断的 SSH 会话上发送输出(来自 的“断开连接”消息和新的 shell 提示符),防火墙将发送回 TCP 重置,等等服务器端sshd
最终会得到旧的 SSH 连接在网络级别已中断的信息,并将其清理。
但是,如果导致您的 SSH 会话超时的原因是服务器上的某些原因导致您的第一个 SSH 会话终止,例如服务器管理员将ClientAliveCountMax
0sshd_config
和ClientAliveInterval
某个非零值设置为 hack 以获得某种效果如果从 开始不活动超时sshd
,那么您的旧 SSH 会话将完全断开连接,并且该screen
会话已经在已分离的状态下等待您。在这种情况下,screen -R
重新连接就足够了......但-D
在这种情况下另外指定该选项不会有什么坏处。
顺便说一句,以这种方式滥用ClientAliveInterval
和ClientAliveCountMax
设置sshd_config
是设置用户不活动超时的一种非常不可靠的方法,因为客户端可以在不知道他们正在这样做的情况下解决它。这是因为ClientAliveInterval
这是关于监视 SSH 连接级别的活动,而不是实际的用户活动。
如果 SSH 客户端的用户遇到网络超时问题,他们可能会ServerAliveInterval
在其设置~/.ssh/config
(或非 OpenSSH 客户端上的等效设置)中进行设置。如果客户端的ServerAliveInterval
设置短于防火墙的连接不活动超时,则会导致 SSH 客户端自动发送加密的 SSH“你还在吗?”数据包处于不活动状态,sshd
服务器将回复它,重置防火墙上的不活动计时器。
但是,将客户端设置为较短的超时值也会导致只要 SSH 连接实际工作,ServerAliveInterval
服务器就永远不会达到超时,从而破坏了所谓的“用户不活动超时”。ClientAliveInterval
不幸的是,一些安全强化标准似乎已经纳入了这种ClientAliveInterval
基于用户不活动超时的黑客攻击,因此一些安全审核员可能需要它,即使它并不真正适合其预期目的。