SSH
Sie können das SSH-Protokoll als Proxy-Richtlinie verwenden, ein Äquivalent zu ssh -D.
Profilsyntax:
- Passwort-Authentifizierung
[Proxy]
proxy = ssh, 1.2.3.4, 22, root, password=pw
- Public-Key-Authentifizierung
[Proxy]
proxy = ssh, 1.2.3.4, 22, root, private-key=base64(privateKeyFileContent)
- Bitte beachten Sie, dass Sie base64 verwenden müssen, um die gesamte Private-Key-Datei erneut zu kodieren, auch wenn die Private-Key-Datei selbst bereits base64-Kodierung verwendet. Sie können
OpenSSLverwenden, um einen base64-kodierten String zu erstellen:
// OpenSSL 1.x
openssl enc -base64 -in /path/to/privatefile
// OpenSSL 3+
openssl base64 -in /path/to/privatefile
Alle vier Typen von privaten Schlüsseln, RSA/ECDSA/ED25519/DSA, werden unterstützt.
Chute unterstützt die folgenden KEX-Methoden und SSH-Chiffren:
| KEX-Methode |
|---|
| diffie-hellman-group1-sha1 |
| diffie-hellman-group14-sha1 |
| ecdh-sha2-nistp256 |
| ecdh-sha2-nistp384 |
| ecdh-sha2-nistp521 |
| [email protected] |
| curve25519-sha256 |
| diffie-hellman-group16-sha512 |
| diffie-hellman-group18-sha512 |
| diffie-hellman-group14-sha256 |
| Chiffre |
|---|
| 3des_cbc |
| aes128_cbs |
| aes192_cbc |
| aes256_cbc |
| aes128_ctr |
| aes196_ctr |
| aes256_ctr |
| aead_aes128_gcm |
| aead_aes256_gcm |
| aead_chacha20_poly1305 |
- Sie können jetzt den Leerlauf-Timeout-Parameter angeben. Der Standardwert ist
180s.
[Proxy]
proxy = ssh, 1.2.3.4, 22, root, password=pw, idle-timeout=180
Server-Fingerprint
Um MITM-Angriffen entgegenzuwirken, können Sie den öffentlichen Schlüssel-Fingerprint des Servers mit server-fingerprint angeben, wodurch sichergestellt wird, dass nur legitime Server verbunden werden.
[Proxy]
proxy = ssh, 1.2.3.4, 22, root, password=pw, idle-timeout=180, server-fingerprint = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5ABCAIO9KYmO+KZQH3VXU5C1aO2xl4G8+7NLkOYDNBxfZUqep"
Da es mehrere öffentliche Schlüssel für einen Server geben kann, unterstützt der Parameter server-fingerprint die Konfiguration mehrerer Fingerprints.
server-fingerprint = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5ABCAIO9KYmO+KZQH3VXU5C1aO2xl4G8+7NLkOYDNBxfZUqep,ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrklKEp4vuMqqNiS2lvDL7g3rQ2dAwvik+KIC4iVJNoaHhkLRAEv1y/dQYixf71ORZUI+w3AFKp1RzfiuwciTsMnp7Hq9uvcHqDRDaCrYe1EDx3Dr0XlH1wsdUcr+6DOAUzRSXK9LSEPVK1xHb6WJBaTkNOHruPCmrINA/DEIiflMN2q77AWlsMt+unhmY2YWgJprY+vpDOcXk8+CnL4K+QWNlHB8mTfB58p1oadz1xWG9so//rUMp7JHtUt6QpVJvwf/Qh7IcFNDhSHwSTJu2Px2P9biuUOPkmPtZmTIdnDx25EUWtmE/+VE3lZAYuur7KuGsG0o+X8dYnEMAN3ar"
Sie können den Server-Fingerprint aus der Datei ~/.ssh/known_hosts beziehen. Oder Sie können den Befehl ssh-keyscan example.com in einer vertrauenswürdigen Netzwerkumgebung verwenden, um ihn abzurufen. Bitte entfernen Sie den Hostnamen am Anfang der Zeile, bevor Sie ihn in Chute kopieren.