Utilizzo di CA AppLogic › Guida per sviluppatori di appliance › Kit di appliance › Ricettario delle appliance › Creazione di un template VPS › Impostazione di due istanze del server SSH

Impostazione di due istanze del server SSH

In questo passaggio viene configurato un server secondario SSH, in modo che il VPS sia accessibile sia per il client che l'affitta, sia per il provider del VPS (nonché per gli stessi amministratori della griglia di CA AppLogic), mentre ogni istanza di SSH mantiene la propria configurazione e le modifiche apportate non interferiscono con il funzionamento dell'altra istanza. L'istanza primaria di SSH, poiché configurata tramite l'installazione del sistema operativo è destinata all'utilizzo da parte degli utenti del VPS, i quali possono configurarla. L'istanza secondaria è dedicata all'accesso dalla griglia, per il provider/amministratore del VPS.

Notare che il programma di configurazione attuale potrebbe variare a seconda del tipo di sistema operativo e della versione del server SSH. Gli esempi mostrati qui presuppongono che il sistema operativo sia di tipo UNIX e il server sia OpenSSH.

Le due istanze del server SSH possono essere configurate con impostazioni di protezione diverse, per soddisfare esigenze specifiche dell'utente del VPS.

1. Copiare la configurazione di sshd in una nuova sottodirectory, ad esempio:
   mkdir /etc/ssh_grid
   cp /etc/ssh/sshd_config /etc/ssh_grid
2. Modificare la configurazione originale del file (/etc/ssh/sshd_config) e:
   • rimuovere tutte le direttive ListenAddress, se presenti
   • aggiungere le seguenti righe al file di configurazione (senza righe vuote tra di esse):
     # $$propN: 1111:primary_ip
     ListenAddress 1111
3. Modificare il file di configurazione copiato (/etc/ssh_grid/sshd_config) e apportare le seguenti modifiche:
   • disabilitare le ricerche DNS inverse:
     Usare DNS no (o LookupClientHostnames no in alcune implementazioni SSH)
   • disabilitare accesso con password:
     PasswordAuthentication no
   • consentire accesso principale (solo con chiave):
     PermitRootLogin without-password
   • Impostare il nome del file di chiave personalizzato, che funziona solo per la radice:
     AuthorizedKeysFile /root/.ssh/alt_authorized_keys
   • disabilitare l'autenticazione GSSAPI (non può essere utilizzata dal controller di CA AppLogic):
     GSSAPIAuthentication no
   • rimuovere tutte le opzioni ListenAddress
4. Creare un nuovo script di avvio automatico per il secondo server SSH, che comprenda i comandi seguenti:
   # get service IP address
   f=/var/run/applogic/appliance.desc
   p=instance:`udlparse elst $f instance`/interface:default
   addr=`udlparse get $f $p/ip`
   
   # start ssh daemon
   sshd -f /etc/ssh_grid/sshd_config -o ListenAddress=$addr