99 сш: “Средняя школа №99” — г. Ярославль

Назад к указаниям по применению

Протокол подключения Secure Shell (SSH)

ПРЕДЛАГАЕМЫЙ СТАНДАРТ
Обновлено: 8308 Errata Exist

 Network Working Group T. Ylonen
Запрос комментариев: 4254 SSH Communications Security Corp.
Категория: Трек стандартов C. Lonvick, Ed.
                                                     Сиско Системс, Инк. 
                                                            январь 2006 г.
               Протокол подключения Secure Shell (SSH)
Статус этого меморандума
   Этот документ определяет протокол отслеживания стандартов Интернета для
   Интернет-сообщество, а также запросы на обсуждение и предложения по
   улучшения. Пожалуйста, обратитесь к текущему выпуску «Интернет
   Стандарты официальных протоколов» (STD 1) для состояния стандартизации
   и статус этого протокола. Распространение этой памятки не ограничено.
Уведомление об авторских правах
   Авторское право (C) Интернет-сообщество (2006 г.).
Абстрактный
   Secure Shell (SSH) — это протокол для безопасного удаленного входа в систему и других
   защищенные сетевые службы в незащищенной сети.
   В этом документе описывается протокол подключения SSH. Это обеспечивает
   интерактивные сеансы входа в систему, удаленное выполнение команд, переадресация
   Соединения TCP/IP и перенаправленные соединения X11. Все эти
   каналы мультиплексируются в один зашифрованный туннель. 
   Протокол подключения SSH был разработан для работы поверх
   Транспортный уровень SSH и протоколы аутентификации пользователей.
Ylonen & Lonvick Standards Track [Страница 1] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
Оглавление
   1. Введение ............................................... .....2
   2. Участники ................................................................ .....3
   3. Условные обозначения, используемые в этом документе ......................................3
   4. Глобальные запросы ....................................................... ...4
   5. Канальный механизм ....................................................... .5
      5.1. Открытие канала ......................................5
      5.2. Передача данных ................................................7
      5.3. Закрытие канала ......................................................95.4. Канальные запросы ................................................9
   6. Интерактивные сеансы . .....................................................10
      6.1. Открытие сеанса ......................................................10
      6.2. Запрос псевдотерминала ................................11
      6.3. X11 Переадресация ................................................11
           6.3.1. Запрос переадресации X11 ................................11
           6.3.2. Каналы X11 ......................................12
      6.4. Передача переменных среды ................................12
      6.5. Запуск оболочки или команды ......................13
      6.6. Передача данных сеанса ......................................14
      6.7. Сообщение об изменении размера окна ................................14
      6.8. Локальное управление потоком ................................14
      6,9. Сигналы ................................................................ ..15
      6.10. Возврат состояния выхода ......................................15
   7. Переадресация портов TCP/IP . .....................................16
      7.1. Запрос переадресации портов ................................16
      7.2. Каналы пересылки TCP/IP ................................18
   8. Кодирование режимов терминала ......................................19
   9. Сводка номеров сообщений ......................................21
   10. Соображения IANA ......................................................21
   11. Вопросы безопасности ......................................................21
   12. Ссылки ....................................................... .....22
      12.1. Нормативные ссылки ......................................22
      12.2. Информативные ссылки ......................................22
   Адреса авторов ...................................................... .23
   Уведомление о торговой марке ...................................................... ..23
1. Введение
   Протокол подключения SSH был разработан для работы поверх
   Транспортный уровень SSH и протоколы аутентификации пользователей ([SSH-TRANS]
   и [SSH-USERAUTH]).  Он обеспечивает интерактивные сеансы входа в систему, удаленный
   выполнение команд, перенаправление TCP/IP-соединений и перенаправление
   Соединения X11.
   «Имя службы» для этого протокола — «ssh-connection».
Ylonen & Lonvick Standards Track [Страница 2] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Этот документ следует читать только после прочтения архитектуры SSH.
   документ [SSH-ARCH]. В этом документе свободно используется терминология и
   нотация из архитектурного документа без ссылки или дальнейшего
   объяснение.
2. Авторы
   Основными первоначальными участниками этого набора документов были:
   Тату Илонен, Теро Кивинен, Тимо Дж. Ринне, Сами Лехтинен (все из SSH
   Communications Security Corp) и Маркку-Юхани О. Сааринен
   (Университет Ювяскюля). Даррен Моффат был первоначальным редактором
   этот набор документов, а также внес очень существенный вклад.
   Многие люди внесли свой вклад в разработку этого документа на протяжении
   годы. Люди, которых следует признать, включают Матса Андерссона, Бена
   Харрис, Билл Зоммерфельд, Брент МакКлюр, Нильс Моллер, Дэмиен Миллер,
   Дерек Фокус, Фрэнк Кьюсак, Хейкки Нусиайнен, Якоб Шлитер, Джефф
   Ван Дайк, Джеффри Альтман, Джеффри Хатцельман, Джон Брайт, Джозеф
   Гэлбрейт, Кен Хорнштейн, Маркус Фридл, Мартин Форссен, Николя
   Уильямс, Нильс Провос, Перри Мецгер, Питер Гутманн, Саймон
   Йозефссон, Саймон Татем, Вей Дай, Денис Бидер, дер Маус и др. 
   Тадаёси Коно. Перечисление их имен здесь не означает, что они
   одобряют этот документ, но что они внесли в него свой вклад.
3. Условные обозначения, используемые в этом документе
   Во всех документах, связанных с протоколами SSH, должны использоваться ключевые слова
   "ДОЛЖЕН", "НЕ ДОЛЖЕН", "ТРЕБУЕТСЯ", "ДОЛЖЕН", "НЕ ДОЛЖЕН", "ДОЛЖЕН",
   «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» для описания
   требования. Эти ключевые слова должны интерпретироваться, как описано в
   [RFC2119].
   Ключевые слова «ЧАСТНОЕ ИСПОЛЬЗОВАНИЕ», «ИЕРАРХИЧЕСКОЕ РАСПРЕДЕЛЕНИЕ», «ПЕРВЫЙ ПРИШЕЛ».
   ПЕРВОЕ ОБСЛУЖИВАНИЕ», «ЭКСПЕРТНАЯ ПРОВЕРКА», «ТРЕБУЕТСЯ СПЕЦИФИКАЦИЯ», «IESG
   УТВЕРЖДЕНИЕ", "КОНСЕНСУС IETF" и "ДЕЙСТВИЯ ПО СТАНДАРТАМ", которые появляются в
   этот документ при использовании для описания распределения пространства имен должен быть
   интерпретируется, как описано в [RFC2434].
   Поля протокола и возможные значения для их заполнения определяются в этом
   комплект документов. Поля протокола будут определены в сообщении
   определения.  Например, SSH_MSG_CHANNEL_DATA определяется как
   следует.
      байт SSH_MSG_CHANNEL_DATA
      канал получателя uint32
      строковые данные
Ylonen & Lonvick Standards Track [Страница 3] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   В этих документах при ссылках на поля они будут
   появляются в одинарных кавычках. Когда значения для заполнения этих полей
   ссылки, они будут заключены в двойные кавычки. Используя вышеизложенное
   например, возможные значения для «данных»: «foo» и «bar».
4. Глобальные запросы
   Существует несколько видов запросов, влияющих на состояние
   удаленный конец глобально, независимо от каких-либо каналов. Примером является
   запрос на запуск переадресации TCP/IP для определенного порта. Обратите внимание, что
   и клиент, и сервер МОГУТ отправлять глобальные запросы в любое время, и
   получатель ДОЛЖЕН ответить соответствующим образом. Все такие запросы используют
   следующий формат.
      байт SSH_MSG_GLOBAL_REQUEST
      Строковое имя запроса только в US-ASCII
      логическое значение хочу ответить
      . ... данные по запросу следуют
   Значение «имя запроса» соответствует именованию расширяемости DNS.
   соглашение, изложенное в [SSH-ARCH].
   Получатель ответит на это сообщение
   SSH_MSG_REQUEST_SUCCESS или SSH_MSG_REQUEST_FAILURE, если требуется ответ
   ПРАВДА.
      байт SSH_MSG_REQUEST_SUCCESS
      .... конкретные данные ответа
   Обычно «конкретные данные ответа» отсутствуют.
   Если получатель не признает или не поддерживает запрос, он просто
   отвечает SSH_MSG_REQUEST_FAILURE.
      байт SSH_MSG_REQUEST_FAILURE
   Как правило, ответные сообщения не включают тип запроса.
   идентификаторы. Чтобы инициатор запроса мог
   определить, к какому запросу относится каждый ответ, ТРЕБУЕТСЯ, чтобы
   ответы на SSH_MSG_GLOBAL_REQUESTS ДОЛЖНЫ отправляться в том же порядке, что и
   соответствующие сообщения-запросы. Для запросов канала, ответы
   которые относятся к одному и тому же каналу, также ДОЛЖНЫ быть отвечены в правильном
   заказ. Однако запросы каналов для отдельных каналов МОГУТ быть
   ответил не по порядку. 
Ylonen & Lonvick Standards Track [Страница 4] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
5. Канальный механизм
   Все терминальные сеансы, перенаправленные соединения и т. д. являются каналами.
   Любая сторона может открыть канал. Несколько каналов мультиплексированы
   в единое соединение.
   Каналы идентифицируются номерами на каждом конце. Номер, относящийся
   к каналу может быть разным с каждой стороны. Запросы на открытие
   канал содержит номер канала отправителя. Любой другой канал-
   связанные сообщения содержат номер канала получателя для
   канал.
   Каналы контролируются потоком. Никакие данные не могут быть отправлены в канал, пока
   получено сообщение, указывающее, что место в окне доступно.
5.1. Открытие канала
   Когда какая-либо из сторон желает открыть новый канал, она выделяет локальный
   номер для канала. Затем он отправляет следующее сообщение на
   другую сторону и включает в себя номер местного канала и начальное окно
   размер в сообщении. 
      байт SSH_MSG_CHANNEL_OPEN
      строковый тип канала только в US-ASCII
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
      .... следуют конкретные данные о типе канала
   «Тип канала» — это имя, как описано в [SSH-ARCH] и
   [SSH-НОМЕРА] с аналогичными механизмами расширения. Отправитель
   канал» является локальным идентификатором канала, используемого отправителем
   это сообщение. «Начальный размер окна» указывает, сколько байтов
   данные канала могут быть отправлены отправителю этого сообщения без
   регулировка окна. «Максимальный размер пакета» определяет
   максимальный размер отдельного пакета данных, который может быть отправлен
   отправитель. Например, можно использовать пакеты меньшего размера для
   интерактивные соединения, чтобы получить лучший интерактивный отклик на медленных
   ссылки.
   Затем удаленная сторона решает, может ли она открыть канал, и
   отвечает либо SSH_MSG_CHANNEL_OPEN_CONFIRMATION, либо
   SSH_MSG_CHANNEL_OPEN_FAILURE. 
Ylonen & Lonvick Standards Track [Страница 5] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
      байт SSH_MSG_CHANNEL_OPEN_CONFIRMATION
      канал получателя uint32
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
      .... следуют конкретные данные о типе канала
   «Канал получателя» — это номер канала, указанный в исходном
   открытый запрос, а «канал отправителя» — это номер канала, выделенный
   Обратная сторона.
      байт SSH_MSG_CHANNEL_OPEN_FAILURE
      канал получателя uint32
      код причины uint32
      строковое описание в кодировке ISO-10646 UTF-8 [RFC3629]
      строковый языковой тег [RFC3066]
   Если получатель сообщения SSH_MSG_CHANNEL_OPEN не поддерживает
   указанный «тип канала», он просто отвечает
   SSH_MSG_CHANNEL_OPEN_FAILURE. Клиент МОЖЕТ показать «описание»
   строку пользователю. Если это сделано, клиентское программное обеспечение должно принять
   меры предосторожности, описанные в [SSH-ARCH]. 
   Значения кода причины SSH_MSG_CHANNEL_OPEN_FAILURE определены в
   следующую таблицу. Обратите внимание, что значения для «кода причины»
   даны в десятичном формате для удобства чтения, но на самом деле они uint32
   ценности.
             Код причины символического имени
             ------------- -----------
            SSH_OPEN_ADMINISTRATIVELY_PROHIBITED 1
            SSH_OPEN_CONNECT_FAILED 2
            SSH_OPEN_UNKNOWN_CHANNEL_TYPE 3
            SSH_OPEN_RESOURCE_SHORTAGE 4
   Запросы на присвоение нового «кода причины» SSH_MSG_CHANNEL_OPEN
   значения (и связанный с ними текст описания) в диапазоне 0x00000005
   на 0xFDFFFFFF ДОЛЖНО быть выполнено с помощью метода IETF CONSENSUS, т.к.
   описано в [RFC2434]. IANA не будет назначать Channel Connection
   Значения «кода причины» сбоя в диапазоне от 0xFE000000 до
   0xFFFFFFFF. Значения кода причины сбоя подключения к каналу в этом
   диапазон оставлен для ЧАСТНОГО ИСПОЛЬЗОВАНИЯ, как описано в [RFC2434].
   Хотя понятно, что IANA не будет контролировать
   диапазон от 0xFE000000 до 0xFFFFFFFF, этот диапазон будет разделен на два
   частей и управляется следующими соглашениями. 
Ylonen & Lonvick Standards Track [Страница 6] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   o Диапазон от 0xFE000000 до 0xFEFFFFFF должен использоваться вместе
      с местными назначенными каналами. Например, если канал
      предлагается с типом канала "[email protected]",
      но терпит неудачу, то ответ будет содержать либо «код причины»,
      назначается IANA (как указано выше и в диапазоне
      от 0x00000001 до 0xFDFFFFFF) или локально назначенное значение в диапазоне
      от 0xFE000000 до 0xFEFFFFFF. Естественно, если сервер не
      понять предлагаемый «тип канала», даже если это локально
      определен «тип канала», тогда «код причины» ДОЛЖЕН быть 0x00000003,
      как описано выше, если отправляется «код причины». Если сервер
      понимает "тип канала", но канал по-прежнему не может
      открыт, то сервер ДОЛЖЕН ответить локально назначенным
      Значение «кода причины», соответствующее предложенному локальному «каналу
      тип'. 32 - 1 байт.
   Передача данных осуществляется с помощью сообщений следующего типа.
      байт SSH_MSG_CHANNEL_DATA
      канал получателя uint32
      строковые данные
   Максимально допустимый объем данных определяется максимальным
   размер пакета для канала и текущий размер окна, в зависимости от того, что
   меньше. Размер окна уменьшается на количество данных
   послал. Обе стороны МОГУТ игнорировать все дополнительные данные, отправленные после разрешенного
   окно пусто.
Ylonen & Lonvick Standards Track [Страница 7] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Ожидается, что реализации будут иметь некоторые ограничения на транспорт SSH.
   размер пакета уровня (любое ограничение для полученных пакетов ДОЛЖНО быть 32768 байт
   или больше, как описано в [SSH-TRANS]). Реализация
   Уровень соединения SSH
   o НЕ ДОЛЖЕН объявлять максимальный размер пакета, который может
      транспортные пакеты большего размера, чем его транспортный уровень желает
      Получать. 
   o НЕ ДОЛЖЕН генерировать пакеты данных больше, чем его транспортный уровень
      готов отправить, даже если удаленный конец готов принять
      очень большие пакеты.
   Кроме того, некоторые каналы могут передавать несколько типов данных. Ан
   Примером этого являются данные stderr из интерактивных сеансов. Такие данные
   может передаваться с сообщениями SSH_MSG_CHANNEL_EXTENDED_DATA, где
   отдельное целое указывает тип данных. Доступные типы и
   их интерпретация зависит от типа канала.
      байт SSH_MSG_CHANNEL_EXTENDED_DATA
      канал получателя uint32
      uint32 data_type_code
      строковые данные
   Данные, отправленные с этими сообщениями, занимают то же окно, что и обычные
   данные.
   В настоящее время определен только следующий тип. Обратите внимание, что значение
   для 'data_type_code' дается в десятичном формате для удобочитаемости,
   но значения на самом деле являются значениями uint32.
               Символьное имя data_type_code
               ------------- --------------
             SSH_EXTENDED_DATA_STDERR 1
   Значения 'data_type_code' для передачи данных по расширенному каналу ДОЛЖНЫ быть
   назначаются последовательно.  Запросы на присвоение новых расширенных
   Значения 'data_type_code' передачи данных канала и связанные с ними
   Строки «данные» расширенной передачи данных канала, в диапазоне
   от 0x00000002 до 0xFDFFFFFF, ДОЛЖНО быть выполнено через IETF CONSENSUS
   как описано в [RFC2434]. IANA не будет назначать расширенный
   Значения 'data_type_code' канала передачи данных в диапазоне
   от 0xFE000000 до 0xFFFFFFFF. Передача данных по расширенному каналу
   Значения 'data_type_code' в этом диапазоне оставлены для ЧАСТНОГО ИСПОЛЬЗОВАНИЯ, т.к.
   описано в [RFC2434]. Как отмечается, фактические инструкции
   IANA находится в [SSH-NUMBERS].
Ylonen & Lonvick Standards Track [Страница 8] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
5.3. Закрытие канала
   Когда сторона больше не будет отправлять больше данных на канал, она ДОЛЖНА
   отправить SSH_MSG_CHANNEL_EOF.
      байт SSH_MSG_CHANNEL_EOF
      канал получателя uint32
   На это сообщение не отправляется явный ответ. Тем не менее
   приложение может отправить EOF тому, что находится на другом конце
   канал.  Обратите внимание, что канал остается открытым после этого сообщения, и
   больше данных все еще может быть отправлено в другом направлении. Это сообщение
   не занимает место в окне и может быть отправлено, даже если нет места в окне
   доступен.
   Когда одна из сторон хочет закрыть канал, она отправляет
   SSH_MSG_CHANNEL_CLOSE. Получив это сообщение, сторона ДОЛЖНА
   отправить обратно SSH_MSG_CHANNEL_CLOSE, если он уже не отправил это
   Сообщение для канала. Канал считается закрытым на
   сторона, когда она отправила и получила SSH_MSG_CHANNEL_CLOSE, и
   Затем сторона может повторно использовать номер канала. Сторона МОЖЕТ отправить
   SSH_MSG_CHANNEL_CLOSE без отправки или получения
   SSH_MSG_CHANNEL_EOF.
      байт SSH_MSG_CHANNEL_CLOSE
      канал получателя uint32
   Это сообщение не занимает место в окне и может быть отправлено, даже если нет
   есть место под окном.
   РЕКОМЕНДУЕТСЯ, чтобы все данные, отправленные до этого сообщения, были доставлены
   до фактического назначения, если это возможно. 
5.4. Канальные запросы
   Многие значения «типа канала» имеют расширения, специфичные для этого
   определенный «тип канала». Примером является запрос pty (псевдо
   терминал) для интерактивного сеанса.
   Все запросы, относящиеся к конкретному каналу, используют следующий формат.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строковый тип запроса только в символах US-ASCII
      логическое значение хочу ответить
      .... данные по типу следуют
Ylonen & Lonvick Standards Track [Страница 9] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Если «хочу ответить» имеет значение FALSE, на запрос не будет отправлено никакого ответа.
   В противном случае получатель отвечает либо
   SSH_MSG_CHANNEL_SUCCESS, SSH_MSG_CHANNEL_FAILURE или по запросу
   сообщения о продолжении. Если запрос не распознан или не
   поддерживается для канала, возвращается SSH_MSG_CHANNEL_FAILURE.
   Это сообщение не занимает место в окне и может быть отправлено, даже если нет
   есть место под окном.  Значения типа запроса являются локальными для
   каждого типа канала.
   Клиенту разрешено отправлять дальнейшие сообщения, не дожидаясь
   ответ на запрос.
   Имена «типа запроса» соответствуют соглашению об именовании расширяемости DNS.
   изложены в [SSH-ARCH] и [SSH-NUMBERS].
      байт SSH_MSG_CHANNEL_SUCCESS
      канал получателя uint32
      байт SSH_MSG_CHANNEL_FAILURE
      канал получателя uint32
   Эти сообщения не занимают место в окне и могут быть отправлены, даже если нет
   есть место под окном.
6. Интерактивные сессии
   Сеанс — это удаленное выполнение программы. Программа может быть
   оболочки, приложения, системной команды или некоторой встроенной подсистемы.
   Он может иметь или не иметь tty и может включать или не включать X11.
   пересылка. Несколько сеансов могут быть активны одновременно.
6.1. Открытие сеанса
   Сеанс запускается отправкой следующего сообщения.
      байт SSH_MSG_CHANNEL_OPEN
      строка "сеанс"
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
   Клиентские реализации ДОЛЖНЫ отклонять любой открытый канал сеанса
   запросы, чтобы затруднить атаку поврежденного сервера на
   клиент. 
Ylonen & Lonvick Standards Track [Страница 10] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
6.2. Запрос псевдотерминала
   Псевдотерминал можно выделить для сеанса, отправив
   следующее сообщение.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "pty-req"
      логическое значение want_reply
      строковое значение переменной среды TERM (например, vt100)
      Ширина терминала uint32, символов (например, 80)
      высота терминала uint32, строк (например, 24)
      Ширина терминала uint32, пиксели (например, 640)
      высота терминала uint32, пиксели (например, 480)
      строковые режимы терминала
   «Режимы кодированного терминала» описаны в разделе 8. Нуль
   параметры размера ДОЛЖНЫ игнорироваться. Размер символа/строки
   переопределить размеры в пикселях (если они не равны нулю). Размеры пикселей относятся
   в область рисования окна.
   Параметры измерения носят только информационный характер.
   Клиент ДОЛЖЕН игнорировать запросы pty. 
6.3. X11 Переадресация
6.3.1. Запрос переадресации X11
   Переадресацию X11 можно запросить для сеанса, отправив
   Сообщение SSH_MSG_CHANNEL_REQUEST.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "x11-req"
      логическое значение хочу ответить
      логическое одиночное соединение
      строковый протокол аутентификации x11
      строка cookie аутентификации x11
      uint32 x11 номер экрана
   РЕКОМЕНДУЕТСЯ, чтобы «файл cookie аутентификации x11», отправляемый
   быть поддельным, случайным файлом cookie, и этот файл cookie должен быть проверен и заменен
   реальным файлом cookie при получении запроса на подключение.
   Переадресация соединения X11 должна останавливаться, когда канал сеанса
   закрыто. Однако уже открытые переадресации не должны
   автоматически закрывается при закрытии канала сеанса.
Ylonen & Lonvick Standards Track [Страница 11] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Если 'single connection' имеет значение TRUE, должно быть установлено только одно соединение. 
   отправлено. Никакие другие соединения не будут переадресовываться после первого, или
   после закрытия сеансового канала.
   «Протокол аутентификации x11» — это имя X11.
   используемый метод аутентификации, например, «MIT-MAGIC-COOKIE-1».
   «Файл cookie аутентификации x11» ДОЛЖЕН быть закодирован в шестнадцатеричном формате.
   Протокол X задокументирован в [SCHEIFLER].
6.3.2. X11 каналов
   Каналы X11 открываются запросом на открытие канала. Результирующий
   каналы не зависят от сеанса, и закрытие сеанса
   канал не закрывает перенаправленные каналы X11.
      байт SSH_MSG_CHANNEL_OPEN
      строка "x11"
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
      адрес отправителя строки (например, "192.168,7,38")
      Порт отправителя uint32
   Получатель должен ответить SSH_MSG_CHANNEL_OPEN_CONFIRMATION
   или SSH_MSG_CHANNEL_OPEN_FAILURE.
   Реализации ДОЛЖНЫ отклонять любые запросы на открытие канала X11, если они
   не запрашивали переадресацию X11. 
6.4. Передача переменных среды
   Переменные среды могут быть переданы в оболочку/команду для
   началось позже. Неконтролируемая установка переменных окружения в
   привилегированный процесс может представлять угрозу безопасности. Рекомендуется, чтобы
   реализации либо поддерживают список допустимых имен переменных, либо
   устанавливайте переменные среды только после того, как серверный процесс упал
   достаточные привилегии.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "окружение"
      логическое значение хочу ответить
      имя строковой переменной
      значение строковой переменной
Ylonen & Lonvick Standards Track [Страница 12] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
6.5. Запуск оболочки или команды
   После того, как сессия настроена, программа запускается на удаленном
   конец. Программа может быть оболочкой, прикладной программой или
   подсистема с независимым от хоста именем. Только один из этих запросов
   может преуспеть на канал. 
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "оболочка"
      логическое значение хочу ответить
   Это сообщение запросит, чтобы оболочка пользователя по умолчанию (обычно
   определенный в /etc/passwd в системах UNIX), запускаться на другом конце.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "исполнение"
      логическое значение хочу ответить
      строковая команда
   Это сообщение попросит сервер начать выполнение
   данная команда. Строка «команда» может содержать путь. Обычный
   ДОЛЖНЫ быть приняты меры предосторожности для предотвращения выполнения несанкционированных
   команды.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "подсистема"
      логическое значение хочу ответить
      строковое имя подсистемы
   Эта последняя форма выполняет предопределенную подсистему. Ожидается, что
   они будут включать общий механизм передачи файлов и, возможно,
   Другие особенности. Реализации также могут позволять настраивать больше таких
   механизмы.  Поскольку оболочка пользователя обычно используется для выполнения
   подсистемы, желательно, чтобы протокол подсистемы имел
   «волшебный файл cookie» в начале транзакции протокола для
   отличить его от произвольного вывода, сгенерированного оболочкой
   сценарии инициализации и т. д. Этот ложный вывод оболочки может
   быть отфильтрованы либо на сервере, либо на клиенте.
   Сервер НЕ ДОЛЖЕН останавливать выполнение стека протоколов, когда
   запуск оболочки или программы. Все входы и выходы из этих
   СЛЕДУЕТ перенаправлять в канал или в зашифрованный туннель.
   РЕКОМЕНДУЕТСЯ запрашивать ответ на эти сообщения и
   проверено. Клиент ДОЛЖЕН игнорировать эти сообщения.
Ylonen & Lonvick Standards Track [Страница 13] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Имена подсистем соответствуют соглашению об именовании расширяемости DNS.
   указано в [SSH-НОМЕРА].
6.6. Передача данных сеанса
   Передача данных для сеанса выполняется с использованием SSH_MSG_CHANNEL_DATA и
   Пакеты SSH_MSG_CHANNEL_EXTENDED_DATA и оконный механизм. 
   расширенный тип данных SSH_EXTENDED_DATA_STDERR был определен для
   стандартные данные.
6.7. Сообщение об изменении размера окна
   Когда размер окна (терминала) изменяется на стороне клиента, он МОЖЕТ
   отправить сообщение другой стороне, чтобы сообщить ей о новых размерах.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "изменение окна"
      логическое ЛОЖЬ
      Ширина терминала uint32, столбцы
      высота терминала uint32, строк
      Ширина терминала uint32, пиксели
      высота терминала uint32, пиксели
   Ответ НЕ ДОЛЖЕН быть отправлен на это сообщение.
6.8. Локальное управление потоком
   Во многих системах можно определить, является ли псевдотерминал
   используя управление потоком control-S/control-Q. Когда управление потоком
   разрешено, часто желательно делать управление потоком на клиенте
   end для ускорения ответов на запросы пользователей. Этому способствует
   следующее уведомление. Изначально сервер отвечает за
   управление потоком.  (Здесь, опять же, клиент означает сторону, инициирующую
   сеанс, а сервер означает другую сторону.)
   Приведенное ниже сообщение используется сервером для информирования клиента, когда он
   может или не может выполнять управление потоком (обработка control-S/control-Q).
   Если 'client can do' имеет значение TRUE, клиенту разрешено управлять потоком данных.
   используя контроль-S и контроль-Q. Клиент МОЖЕТ игнорировать это сообщение.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "xon-xoff"
      логическое ЛОЖЬ
      логический клиент может сделать
   На это сообщение не отправляется ответ.
Ylonen & Lonvick Standards Track [Страница 14] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
6.9. Сигналы
   Сигнал может быть доставлен удаленному процессу/службе с помощью
   следующее сообщение. Некоторые системы могут не реализовывать сигналы, в которых
   случае они ДОЛЖНЫ игнорировать это сообщение.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "сигнал"
      логическое ЛОЖЬ
      строковое имя сигнала (без префикса "SIG")
   Значения «имя сигнала» будут закодированы, как описано в отрывке
   описывая сообщения SSH_MSG_CHANNEL_REQUEST с использованием «сигнала выхода» в
   эта секция. 
6.10. Возврат статуса выхода
   Когда команда, работающая на другом конце, завершается, следующее
   сообщение может быть отправлено, чтобы вернуть статус выхода команды.
   РЕКОМЕНДУЕТСЯ вернуть статус. Подтверждение не отправляется
   это сообщение. Канал нужно закрыть
   SSH_MSG_CHANNEL_CLOSE после этого сообщения.
   Клиент МОЖЕТ игнорировать эти сообщения.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "статус выхода"
      логическое ЛОЖЬ
      uint32 exit_status
   Удаленная команда также может быть принудительно завершена из-за сигнала.
   На такое состояние может указывать следующее сообщение. ноль
   'exit_status' обычно означает, что команда завершилась успешно.
      байт SSH_MSG_CHANNEL_REQUEST
      канал получателя uint32
      строка "сигнал выхода"
      логическое ЛОЖЬ
      строковое имя сигнала (без префикса "SIG")
      логическое ядро ​​сброшено
      строковое сообщение об ошибке в кодировке ISO-10646 UTF-8
      строковый языковой тег [RFC3066]
Ylonen & Lonvick Standards Track [Страница 15] 

RFC 4254 Протокол подключения SSH, январь 2006 г. 
   «Имя сигнала» может быть одним из следующих (они взяты из [POSIX]).
            АБРТ
            БУДИЛЬНИК
            СПЭ
            ХУП
            БОЛЬНОЙ
            INT
            УБИЙСТВО
            ТРУБКА
            ПОКИДАТЬ
            SEGV
            СРОК
            USR1
            USR2
   Дополнительные значения «имени сигнала» МОГУТ быть отправлены в формате
   "sig-name@xyz", где "sig-name" и "xyz" могут быть любыми
   хочет конкретный разработчик (кроме знака "@"). Тем не менее, это
   предположил, что если используется сценарий «configure», любой нестандартный
   Значения «имени сигнала», которые он находит, должны быть закодированы как «[email protected]»,
   где «SIG» — это «имя сигнала» без префикса «SIG», а «xyz»
   - это тип хоста, определенный в "config.guess".
   «Сообщение об ошибке» содержит дополнительное текстовое объяснение
   сообщение об ошибке. Сообщение может состоять из нескольких строк, разделенных
   парами CRLF (возврат каретки — перевод строки).  Клиентское ПО МОЖЕТ
   показать это сообщение пользователю. Если это сделано, клиент
   программное обеспечение должно принимать меры предосторожности, описанные в [SSH-ARCH].
7. Переадресация портов TCP/IP
7.1. Запрос переадресации портов
   Стороне не нужно явно запрашивать переадресацию со своего конца на
   другое направление. Однако, если он желает, чтобы соединения с
   порт на другой стороне должен быть переадресован на локальную сторону, он должен
   явно запросить это.
      байт SSH_MSG_GLOBAL_REQUEST
      строка "tcpip-вперед"
      логическое значение хочу ответить
      строковый адрес для привязки (например, "0.0.0.0")
      номер порта uint32 для привязки
Ylonen & Lonvick Standards Track [Страница 16] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   «Адрес для привязки» и «Номер порта для привязки» указывают IP
   адрес (или доменное имя) и порт, на котором соединения для переадресации
   должны быть приняты. Некоторые строки, используемые для «адреса для привязки», имеют
   семантика особого случая. 
   o "" означает, что соединения должны приниматься по всем протоколам.
      семейства, поддерживаемые реализацией SSH.
   o "0.0.0.0" означает прослушивание всех адресов IPv4.
   o "::" означает прослушивание всех адресов IPv6.
   o "localhost" означает прослушивание всех семейств протоколов, поддерживаемых
      реализация SSH только на петлевых адресах ([RFC3330] и
      [RFC3513]).
   o "127.0.0.1" и "::1" указывают на прослушивание по шлейфу
      интерфейсы для IPv4 и IPv6 соответственно.
   Обратите внимание, что клиент по-прежнему может фильтровать соединения на основе
   информация, переданная в открытом запросе.
   Реализации должны разрешать перенаправление привилегированных портов, только если
   пользователь прошел аутентификацию как привилегированный пользователь.
   Клиентские реализации ДОЛЖНЫ отклонять эти сообщения; они есть
   обычно отправляется только клиентом.
   Если клиент передает 0 в качестве номера порта для привязки и имеет «хочу ответить» в качестве
   ИСТИНА, тогда сервер выделяет следующий доступный непривилегированный порт
   номер и отвечает следующим сообщением; в противном случае нет
   данные, относящиеся к ответу. 
      байт SSH_MSG_REQUEST_SUCCESS
      порт uint32, который был привязан к серверу
   Переадресацию портов можно отменить с помощью следующего сообщения. Примечание
   что запросы на открытие канала могут быть получены до тех пор, пока не будет получен ответ на этот
   сообщение получено.
      байт SSH_MSG_GLOBAL_REQUEST
      строка "отмена-tcpip-вперед"
      логическое значение хочу ответить
      строка address_to_bind (например, "127.0.0.1")
      номер порта uint32 для привязки
   Клиентские реализации ДОЛЖНЫ отклонять эти сообщения; они есть
   обычно отправляется только клиентом.
Ylonen & Lonvick Standards Track [Страница 17] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
7.2. Каналы пересылки TCP/IP
   Когда соединение приходит на порт, для которого удаленная переадресация
   был запрошен, открывается канал для переадресации порта на другой
   сторона.
      байт SSH_MSG_CHANNEL_OPEN
      строка "forwarded-tcpip"
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
      строковый адрес, который был подключен
      порт uint32, который был подключен
      IP-адрес создателя строки
      Порт отправителя uint32
   Реализации ДОЛЖНЫ отклонять эти сообщения, если они не имеют
   ранее запросил переадресацию удаленного порта TCP/IP с заданным
   номер порта. 
   Когда соединение поступает на локально переадресованный порт TCP/IP,
   следующий пакет отправляется другой стороне. Обратите внимание, что эти сообщения
   МОЖЕТ также быть отправлено для портов, для которых не было переадресации.
   явно запрошено. Принимающая сторона должна решить, следует ли
   разрешить переадресацию.
      байт SSH_MSG_CHANNEL_OPEN
      строка "прямой-tcpip"
      канал отправителя uint32
      uint32 начальный размер окна
      максимальный размер пакета uint32
      строка хост для подключения
      uint32 порт для подключения
      IP-адрес создателя строки
      Порт отправителя uint32
   «Хост для подключения» и «порт для подключения» указывают хост TCP/IP.
   и порт, к которому получатель должен подключить канал. Гостья
   для подключения» может быть либо доменным именем, либо числовым IP-адресом.
   «IP-адрес отправителя» — это числовой IP-адрес машины.
   откуда исходит запрос на соединение, и "инициатор
   port» — это порт на хосте, с которого было установлено соединение. 
   Переадресованные каналы TCP/IP не зависят ни от каких сессий, и
   закрытие сеансового канала никоим образом не означает, что перенаправленный
   соединения должны быть закрыты.
Трек стандартов Ylonen & Lonvick [Страница 18] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   Клиентские реализации ДОЛЖНЫ отклонять прямые запросы на открытие TCP/IP для
   причины безопасности.
8. Кодирование терминальных режимов
   Все «закодированные режимы терминала» (как передано в запросе pty) закодированы
   в поток байтов. Предполагается, что кодирование будет переносимым
   в разных средах. Поток состоит из кода операции
   пары аргументов, в которых код операции является значением байта. Коды операций от 1 до 159
   иметь один аргумент uint32. Опкоды с 160 по 255 еще не
   определены и вызывают остановку синтаксического анализа (их следует использовать только после
   любые другие данные). Поток завершается кодом операции TTY_OP_END.
   (0x00).
   Клиент ДОЛЖЕН помещать в поток любые известные ему режимы, а
   сервер МОЖЕТ игнорировать любые режимы, о которых он не знает.  Это позволяет некоторым
   степень машинной независимости, по крайней мере, между системами, использующими
   POSIX-подобный интерфейс tty. Протокол может поддерживать другие системы как
   хорошо, но клиенту может потребоваться ввести разумные значения для числа
   параметров, поэтому pty сервера устанавливается в разумный режим (
   сервер оставляет все неуказанные биты режима в их значениях по умолчанию, и
   имеют смысл только некоторые комбинации).
   Именование значений кода операции в основном соответствует режиму терминала POSIX.
   флаги. Определены следующие значения кода операции. Обратите внимание, что
   значения, приведенные ниже, даны в десятичном формате для удобства чтения, но они
   на самом деле являются байтовыми значениями.
          мнемоническое описание опкода
          ------ -------- -----------
          0 TTY_OP_END Указывает на конец опций.
          1 символ прерывания VINTR; 255, если нет. Сходным образом
                             для других персонажей.  Не все из этих
                             символы поддерживаются во всех системах.
          2 VQUIT Символ выхода (отправляет сигнал SIGQUIT на
                             системы POSIX).
          3 VERASE Удалить символ слева от курсора.
          4 VKILL Удалить текущую строку ввода.
          5 VEOF Символ конца файла (посылает EOF из
                             Терминал).
          6 VEOL Символ конца строки в дополнение к
                             возврат каретки и/или перевод строки.
          7 VEOL2 Дополнительный символ конца строки.
          8 VSTART Продолжает приостановленный вывод (обычно
                             контроль-Q).
          9VSTOP Приостанавливает вывод (обычно Control-S).
          10 VSUSP Приостанавливает текущую программу.
          11 VDSUSP Другой символ приостановки.
Трек стандартов Ylonen & Lonvick [Страница 19] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
          12 VREPRINT Повторно печатает текущую строку ввода. 
          13 VWERASE Стирает слово слева от курсора.
          14 VLNEXT Введите следующий символ буквально,
                             даже если это специальный символ
          15 VFLUSH Символ для сброса вывода.
          16 VSWTCH Переключение на другой уровень оболочки.
          17 VSTATUS Выводит строку состояния системы (загрузка, команда,
                             пид и др.).
          18 VDISCARD Переключает очистку вывода терминала.
          30 IGNPAR Флаг игнорирования четности. Параметр
                             ДОЛЖЕН быть 0, если этот флаг ЛОЖЬ,
                             и 1, если это ИСТИНА.
          31 PARMRK Пометить ошибки четности и кадрирования.
          32 INPCK Включить проверку ошибок четности.
          33 ISTRIP Удаление 8-го бита символов.
          34 INLCR Преобразовать NL в CR при вводе.
          35 IGNCR Игнорировать CR на входе.
          36 ICRNL Преобразовать CR в NL на входе.
          37 IUCLC Преобразование символов верхнего регистра в
                             нижний регистр. 
          38 IXON Включить управление выходным потоком.
          39IXANY Любой персонаж перезапустится после остановки.
          40 IXOFF Включить управление входным потоком.
          41 IMAXBEL Звонок при заполнении входной очереди.
          50 Сигналы включения ISIG INTR, QUIT, [D]SUSP.
          51 ICANON Канонизировать строки ввода.
          52 XCASE Включить ввод и вывод заглавных букв.
                             символы, предшествующие их нижнему регистру
                             эквиваленты с "\".
          53 ECHO Включить эхо.
          54 ECHOE Визуально удалить символы.
          55 ECHOK Уничтожение символа отбрасывает текущую строку.
          56 ECHONL Echo NL, даже если ECHO выключен.
          57 NOFLSH Не сбрасывать после прерывания.
          58 TOSTOP Остановить фоновые задания из вывода.
          59(Чар).
          61 ECHOKE Визуальное стирание для уничтожения линии.
          62 PENDIN Повторно введите ожидающий ввод.
          70 OPOST Включить обработку вывода. 
          71 OLCUC Преобразование нижнего регистра в верхний.
          72 ONLCR Преобразовать NL в CR-NL.
          73 OCRNL Переводить возврат каретки на новую строку
                             (выход).
          74 ONOCR Перевод новой строки в каретку
                             возврат-новая строка (вывод).
          75 ONLRET Новая строка выполняет возврат каретки
                             (выход).
Ylonen & Lonvick Standards Track [Страница 20] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
          90 CS7 7-битный режим.
          91 8-битный режим CS8.
          92 PARENB Включение четности.
          93 PARODD Нечетность, иначе четность.
          128 TTY_OP_ISPEED Определяет входную скорость передачи в
                              бит в секунду.
          129 TTY_OP_OSPEED Определяет выходную скорость передачи в
                              бит в секунду.
9. Сводка номеров сообщений
   Ниже приводится сводка сообщений и связанных с ними сообщений. 
   количество.
            SSH_MSG_GLOBAL_REQUEST 80
            SSH_MSG_REQUEST_SUCCESS 81
            SSH_MSG_REQUEST_FAILURE 82
            SSH_MSG_CHANNEL_OPEN 90
            SSH_MSG_CHANNEL_OPEN_CONFIRMATION 91
            SSH_MSG_CHANNEL_OPEN_FAILURE 92
            SSH_MSG_CHANNEL_WINDOW_ADJUST 93
            SSH_MSG_CHANNEL_DATA 94
            SSH_MSG_CHANNEL_EXTENDED_DATA 95
            SSH_MSG_CHANNEL_EOF 96
            SSH_MSG_CHANNEL_CLOSE 97
            SSH_MSG_CHANNEL_REQUEST 98
            SSH_MSG_CHANNEL_SUCCESS 99
            SSH_MSG_CHANNEL_FAILURE 100
10. Соображения IANA
   Этот документ является частью комплекта. Соображения IANA относительно SSH
   протокол, определенный в [SSH-ARCH], [SSH-TRANS], [SSH-USERAUTH] и
   этого документа, подробно описаны в [SSH-NUMBERS].
11. Вопросы безопасности
   Предполагается, что этот протокол работает поверх защищенного, аутентифицированного
   транспорт. Аутентификация пользователя и защита от атак на сетевом уровне.
   Предполагается, что атаки обеспечиваются базовыми протоколами. 
   Полные соображения безопасности для этого протокола представлены в
   [SSH-АРКА]. В отношении данного документа РЕКОМЕНДУЕТСЯ
   реализации отключают все потенциально опасные функции (например,
   переадресация агента, переадресация X11 и переадресация TCP/IP), если хост
   ключ был изменен без уведомления или объяснения.
Ylonen & Lonvick Standards Track [Страница 21] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
12. Ссылки
12.1. Нормативные ссылки
   [SSH-ARCH] Ylonen, T. и C. Lonvick, Ed., "Безопасная оболочка
                  (SSH) Архитектура протокола», RFC 4251, январь 2006 г.
   [SSH-TRANS] Илонен, Т. и К. Лонвик, изд., "Безопасная оболочка
                  (SSH) протокол транспортного уровня», RFC 4253, январь
                  2006.
   [SSH-USERAUTH] Илонен, Т. и К. Лонвик, изд., "Безопасная оболочка
                  (SSH) Протокол аутентификации», RFC 4252, январь
                  2006.
   [SSH-НОМЕРА] Лехтинен, С. и К. Лонвик, изд., "Безопасная оболочка
                  (SSH) Protocol Assigned Numbers», RFC 4250, январь
                  2006. 
   [RFC2119] Брэднер, С., «Ключевые слова для использования в RFC для указания
                  Уровни требований», BCP 14, RFC 2119, март 1997 г.
   [RFC2434] Нартен, Т. и Х. Альвестранд, «Рекомендации по написанию
                  раздел рекомендаций IANA в документах RFC», BCP 26, RFC
                  2434, октябрь 1998 г.
   [RFC3066] Альвестранд, Х., «Теги для идентификации
                  Языки», BCP 47, RFC 3066, январь 2001 г.
   [RFC3629] Yergeau, F., "UTF-8, формат преобразования ISO
                  10646", стандарт 63, RFC 3629, ноябрь 2003 г.
12.2. Информативные ссылки
   [RFC3330] IANA, «Адреса IPv4 специального назначения», RFC 3330,
                  Сентябрь 2002 г.
   [RFC3513] Хинден, Р. и С. Диринг, "Версия интернет-протокола
                  6 (IPv6) Архитектура адресации», RFC 3513, апрель.
                  2003.
   [SCHEIFLER] Шайфлер, Р., «Система X Window: полная
                  Ссылка на Xlib, X Protocol, Icccm, Xlfd, 3rd
                  издание.», Digital Press ISBN 1555580882, февраль
                  1992. 
Трек стандартов Ylonen & Lonvick [Страница 22] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
   [POSIX] ISO/IEC, 9945-1., «Информационные технологии.
                  Интерфейс операционной системы (POSIX) — Часть 1: Система
                  Интерфейс прикладных программ (API) C Language", ANSI/
                  IEE Std 1003.1, июль 1996 г.
Адреса авторов
   Тату Юлонен
   Корпорация безопасности связи SSH
   Валимотие 17
   00380 Хельсинки
   Финляндия
   Электронная почта: [email protected]
   Крис Лонвик (редактор)
   Сиско Системс, Инк.
   12515 Исследовательский бул.
   Остин 78759США
   Электронная почта: [email protected]
Уведомление о торговой марке
   "ssh" является зарегистрированным товарным знаком в США и/или других странах.
   страны.
Трек стандартов Ylonen & Lonvick [Страница 23] 

RFC 4254 Протокол подключения SSH, январь 2006 г.
Полное заявление об авторских правах
   Авторское право (C) Интернет-сообщество (2006 г.).
   На этот документ распространяются права, лицензии и ограничения
   содержится в BCP 78, и, за исключением случаев, указанных в нем, авторы
   сохраняют все свои права. 
   Этот документ и информация, содержащаяся в нем, предоставляются на
   Принцип «КАК ЕСТЬ» и УЧАСТНИК, ОРГАНИЗАЦИЯ, КОТОРУЮ ОН/ОНА ПРЕДСТАВЛЯЕТ
   ИЛИ ПОДДЕРЖИВАЕТСЯ (ЕСЛИ ЕСТЬ) ОБЩЕСТВОМ ИНТЕРНЕТ И ИНТЕРНЕТОМ
   ENGINEERING TASK FORCE ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ,
   ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ​​ЛЮБОЙ ГАРАНТИЕЙ ТОГО, ЧТО ИСПОЛЬЗОВАНИЕ
   ДАННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ КАКИХ-ЛИБО ПОДРАЗУМЕВАЕМЫХ
   ГАРАНТИИ КОММЕРЧЕСКОЙ ПРИГОДНОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.
Интеллектуальная собственность
   IETF не занимает никакой позиции в отношении законности или объема любого
   Права на интеллектуальную собственность или другие права, которые могут быть заявлены
   относятся к внедрению или использованию технологии, описанной в
   этот документ или степень, в которой любая лицензия в соответствии с такими правами
   может быть или не быть доступным; и не представляет, что у него есть
   предприняли какие-либо независимые усилия для определения любых таких прав.  Информация
   о процедурах в отношении прав в документах RFC можно
   найдено в BCP 78 и BCP 79.
   Копии раскрытия информации о правах интеллектуальной собственности, сделанные в Секретариат IETF, и любые
   гарантии предоставления лицензий или результат
   предпринята попытка получить генеральную лицензию или разрешение на использование
   такие права собственности со стороны разработчиков или пользователей этого
   Спецификацию можно получить в онлайн-репозитории IPR IETF по адресу
   http://www.ietf.org/ipr.
   IETF предлагает любой заинтересованной стороне доводить до ее сведения любые
   авторские права, патенты или заявки на патенты, или другие проприетарные
   права, которые могут охватывать технологии, которые могут потребоваться для реализации
   этот стандарт. Пожалуйста, отправьте информацию в IETF по адресу
   [email protected].
Подтверждение
   Финансирование функции редактора RFC предоставляется IETF.
   Деятельность по административной поддержке (IASA).
Трек стандартов Ylonen & Lonvick [Страница 24]
 

linux – SSH – соединение закрывается сразу после попытки входа в систему

Таким образом возникает проблема с попыткой войти на сервер через SSH.

 debug3: отправить пакет: тип 50
debug2: мы отправили пакет паролей, ждем ответа
debug3: получить пакет: тип 52
debug1: аутентификация прошла успешно (пароль).
Авторизован по адресу 193.68.68.50 ([193.68.68.50]:22).
debug1: канал 0: новый [клиентский сеанс]
отладка3: ssh_session2_open: канал_новый: 0
debug2: канал 0: отправить открытым
debug3: отправить пакет: тип 90
debug1: Запрос [email protected]
debug3: отправить пакет: введите 80
debug1: вход в интерактивный сеанс.
debug1: залог: файловая система заполнена
debug3: получить пакет: введите 91
debug2: channel_input_open_confirmation: канал 0: запуск обратного вызова
debug2: настройка fd 3 TCP_NODELAY
debug3: set_sock_tos: установить сокет 3 IP_TOS 0x48
debug2: client_session2_setup: идентификатор 0
debug2: канал 0: запрос pty-req подтверждает 1
debug3: отправить пакет: введите 98
debug1: среда отправки.
debug3: Игнорируется ПОЛЬЗОВАТЕЛЬ env
debug3: игнорируется env __CFBundleIdentifier
debug3: игнорируется env COMMAND_MODE
debug3: Игнорируется env LOGNAME
debug3: Игнорируется env PATH
debug3: игнорируется env SSH_AUTH_SOCK
debug3: игнорируется env SHELL
debug3: игнорируется env HOME
debug3: игнорируется env __CF_USER_TEXT_ENCODING
debug3: игнорируется env TMPDIR
debug3: игнорируется env XPC_SERVICE_NAME
debug3: игнорируется env XPC_FLAGS
debug3: игнорируется env ORIGINAL_XDG_CURRENT_DESKTOP
debug1: канал 0: настройка env LANG = "en_US. UTF-8"
debug2: канал 0: запрос env подтвердить 0
debug3: отправить пакет: тип 98
debug3: Игнорируется env TERM
debug3: игнорируется env COLORTERM
debug3: игнорируется env TERM_PROGRAM
debug3: игнорируется env TERM_PROGRAM_VERSION
debug3: игнорируется env PWD
debug3: игнорируется env SHLVL
debug3: игнорируется env OLDPWD
debug3: игнорируется env HOMEBREW_PREFIX
debug3: игнорируется env HOMEBREW_CELLAR
debug3: игнорируется env HOMEBREW_REPOSITORY
debug3: Игнорируется env MANPATH
debug3: игнорируется env INFOPATH
debug3: игнорируется env rvm_prefix
debug3: игнорируется env rvm_path
debug3: игнорируется env rvm_bin_path
debug3: игнорируется env rvm_version
debug3: игнорируется env GEM_HOME
debug3: игнорируется env GEM_PATH
debug3: игнорируется env MY_RUBY_HOME
debug3: игнорируется env IRBRC
debug3: игнорируется env RUBY_VERSION
debug3: игнорируется env _
debug2: канал 0: подтверждение оболочки запроса 1
debug3: отправить пакет: тип 98
debug2: channel_input_open_confirmation: канал 0: обратный вызов выполнен
debug2: канал 0: открыть подтверждение rwindow 0 rmax 32768
debug3: получить пакет: введите 99
debug2: channel_input_status_confirm: введите 99 id 0
debug2: запрос на выделение PTY принят на канале 0
debug2: канал 0: настройка rcvd 2097152
debug3: получить пакет: введите 99
debug2: channel_input_status_confirm: введите 99 id 0
debug2: запрос оболочки принят на канале 0
debug3: получить пакет: введите 96
debug2: канал 0: rcvd eof
debug2: канал 0: выход открыт -> слив
debug3: получить пакет: тип 98
debug1: client_input_channel_req: канал 0 rtype ответ состояния выхода 0
debug3: получить пакет: введите 98
debug1: client_input_channel_req: канал 0 rtype eow@openssh. com ответ 0
debug2: канал 0: rcvd eow
debug2: chan_shutdown_read: канал 0: (i0 o1 sock -1 wfd 4 efd 6 [запись])
debug2: канал 0: вход открыт -> закрыт
debug3: получить пакет: введите 97
debug2: канал 0: rcvd закрыть
debug3: канал 0: не будет отправлять данные после закрытия
Последний вход: 2 апреля 05:52:40 2022 с 192.168.133.1
debug3: канал 0: не будет отправлять данные после закрытия
debug2: канал 0: obuf пустой
debug2: chan_shutdown_write: канал 0: (i3 o1 sock -1 wfd 5 efd 6 [запись])
debug2: канал 0: выходной сток -> закрыт
debug2: канал 0: почти мертв
debug2: канал 0: gc: уведомить пользователя
debug2: канал 0: gc: пользователь отключен
debug2: канал 0: отправить закрыть
debug3: отправить пакет: тип 97
debug2: канал 0: мертв
debug2: канал 0: сборка мусора
debug1: канал 0: свободен: клиент-сеанс, nchannels 1
debug3: канал 0: статус: открыты следующие соединения:
  # 0 клиент-сеанс (t4 r0 i3/0 o3/0 e[write]/0 fd -1/-1/6 sock -1 cc -1)
debug3: отправить пакет: тип 1
debug3: fd 1 не O_NONBLOCK
Соединение с 193. 68.68.50 закрыто.
Передано: отправлено 3200, получено 2648 байт за 0,0 секунды
Байт в секунду: отправлено 143439,9, получено 118696,5
debug1: статус выхода 254
 

С нетерпением ждем вашей помощи, как решить эту проблему. Это происходит при входе в систему от обычного пользователя.

Если я пытаюсь сделать это через пользователя root, я получаю

 Невозможно получить действительный контекст для root
 

• линукс
• центос
• ssh

5

Твой ответ

Зарегистрируйтесь или войдите в систему

Зарегистрируйтесь с помощью Google

Зарегистрироваться через Facebook

Зарегистрируйтесь, используя электронную почту и пароль

Опубликовать как гость

Электронная почта

Обязательно, но не отображается

Опубликовать как гость

Электронная почта

Требуется, но не отображается

Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания, политикой конфиденциальности и политикой использования файлов cookie

Настройка — документация Kallithea 0.

Настройка экземпляра Kallithea

Некоторые дополнительные подробности шагов, упомянутых в обзоре.

Создать низкоуровневый файл конфигурации

Сначала вам необходимо создать файл конфигурации Kallithea. файл конфигурации представляет собой файл .ini , который содержит различные низкоуровневые настройки. для Калифеи, например. настройка того, как использовать базу данных, веб-сервер, электронную почту, и ведение журнала.

Перейдите в нужный каталог (например, /srv/kallithea ) в качестве правого пользователя и выполните следующую команду, чтобы создать файл my.ini в текущем каталог:

 kallithea-cli config-create my.ini http_server=waitress
 

Чтобы получить хорошую отправную точку для вашей конфигурации, укажите http-сервер вы собираетесь использовать. Это может быть официантка , коробка передач , gevent , gunicorn или uwsgi . (Апач mod_wsgi не будет использовать это файл конфигурации, и можно оставить конфигурацию http_server по умолчанию. неиспользованный. mod_wsgi настроен с использованием директив httpd.conf и WSGI сценарий оболочки.)

Можно указать дополнительные пользовательские настройки, например:

 kallithea-cli config-create my.ini host=8.8.8.8 "[handler_console]" formatter=color_formatter
 

Заполнить базу данных

Далее необходимо создать базы данных, используемые Kallithea. Калифея в настоящее время поддерживает базы данных PostgreSQL, SQLite и MariaDB/MySQL. Рекомендуется начните с SQLite (по умолчанию) и перейдите на PostgreSQL, если он станет узкое место или получить «правильную» базу данных. Также поддерживается MariaDB/MySQL.

Для PostgreSQL запустите pip install psycopg2 , чтобы получить драйвер базы данных. Делать убедитесь, что сервер PostgreSQL инициализирован и работает. Убедитесь, что у вас есть пользователь базы данных с аутентификацией по паролю с разрешениями на создание баз данных – например, выполнив:

 sudo -u postgres createuser 'kallithea' --pwprompt --createdb
 

Для MariaDB/MySQL запустите pip install mysqlclient , чтобы получить MySQLdb драйвер базы данных. Убедитесь, что сервер базы данных инициализирован и работает. Делать убедитесь, что у вас есть пользователь базы данных с аутентификацией по паролю с разрешениями на создайте базу данных – например, запустив:

 echo 'СОЗДАТЬ ПОЛЬЗОВАТЕЛЯ "kallithea"@"localhost" ИДЕНТИФИКИРОВАННОГО "паролем"' | sudo -u mysql mysql
echo 'ПРЕДОСТАВИТЬ ВСЕ ПРИВИЛЕГИИ НА `kallithea`.* КОМУ "kallithea"@"localhost"' | sudo -u mysql mysql
 

Проверьте и настройте sqlalchemy.url в файле конфигурации my.ini для использования эту базу данных.

Создайте базу данных, таблицы и начальное содержимое, выполнив следующие действия. команда:

 kallithea-cli db-create -c my.ini
 

Сначала вам будет предложено ввести «корневой» путь. Этот «корневой» путь является местоположением где Kallithea будет хранить все свои репозитории на текущей машине. Этот location должен быть доступен для записи работающему приложению Kallithea. Следующий, db-create запросит у вас имя пользователя и пароль для первоначального администратора учетную запись, которую он создает для вас.

Значения db-create также можно указать в командной строке. Пример:

 kallithea-cli db-create -c my.ini --user=nn --password=secret [email protected] --repos=/srv/repos
 

Команда db-create создаст все необходимые таблицы и учетная запись администратора. При выборе корневого пути вы можете либо использовать новый пустое местоположение или местоположение, которое уже содержит существующие репозитории. Если вы выберете место, содержащее существующие репозитории Kallithea добавит все репозитории в выбранный местоположение в свою базу данных. (Примечание: убедитесь, что вы указали правильный путь к корню).

Примечание

Также можно использовать существующую базу данных. Например, при использовании PostgreSQL без предоставления общих привилегий createdb пользователь PostgreSQL kallithea, установите sqlalchemy.url = postgresql://kallithea:password@localhost/kallithea и создайте база данных, например:

 sudo -u postgres createdb 'kallithea' --owner 'kallithea'
kallithea-cli db-create -c my. ini --reuse
 

Выполняется

Теперь вы готовы использовать Kallithea. Чтобы запустить его с помощью веб-сервера коробки передач, просто выполнить:

 коробка передач -c my.ini
 

• Эта команда запускает сервер Kallithea. Веб-приложение должно быть доступно по адресу http://127.0.0.1:5000. IP-адрес и порт настраиваются через файл конфигурации, созданный на предыдущем шаге.
• Войдите в Kallithea, используя учетную запись администратора, созданную при запуске db-create .
• Разрешения по умолчанию для каждого репозитория читаются, а владельцем является администратор. Не забудьте обновить их, если это необходимо.
• В панели администратора вы можете переключать LDAP, анонимность и разрешения настройки, а также редактировать дополнительные параметры для пользователей и репозитории.

Интернационализация (поддержка i18n)

Веб-интерфейс Kallithea автоматически отображается в предпочитаемом пользователем язык, указанный браузером. Таким образом, разные пользователи могут видеть приложения на разных языках. Если запрошенный язык недоступен (поскольку файл перевода для этого языка еще не существует или неполный), используется английский язык.

Если вы хотите отключить автоматическое определение языка и вместо этого настроить фиксированный язык независимо от предпочтений пользователя, установите i18n.enabled = ложь и укажите другой язык, установив i18n.lang в Kallithea конфигурационный файл.

Использование Kallithea с SSH

Kallithea поддерживает доступ к репозиторию через аутентификацию на основе ключа SSH. Это означает:

• URL-адреса репозитория, такие как ssh://[email protected]/name/of/repository
• весь сетевой трафик для чтения и записи происходит по протоколу SSH на порт 22, без использования HTTP/HTTPS и приложения Kallithea WSGI
Протоколы шифрования и аутентификации
• управляются системным sshd . процесса, когда все пользователи используют одного и того же системного пользователя Kallithea (например, kallithea ) при подключении к SSH-серверу, но с публичными ключами пользователей в файле .ssh/authorized_keys пользователя системы Kallithea, предоставляющем каждому пользователю изолированный доступ к репозиториям.
• пользователи и администраторы могут управлять открытыми ключами SSH в веб-интерфейсе
• в своей конфигурации клиента SSH, пользователи могут настроить, как клиент должен управлять доступом к своему ключу SSH – без парольной фразы, с парольной фразой и опционально с кэшированием парольной фразы в сеансе локальной оболочки ( ssh-агент ). Это стандартная функциональность SSH, а не то, что Kallithea предоставляет или мешает.
• сетевая связь между клиентом и сервером происходит в двунаправленном режиме. поток с отслеживанием состояния и в некоторых случаях будет быстрее, чем HTTP/HTTPS с несколькими поездки туда и обратно без гражданства.

Примечание

На данный момент доступ к репозиторию через SSH протестирован на Unix Только. Пользователям Windows, которым небезразличен SSH, предлагается протестировать его и сообщить проблемы, в идеале внося исправления, которые решают эти проблемы.

Пользователи и администраторы могут загружать открытые ключи SSH (например, .ssh/id_rsa.pub ) через веб-интерфейс. Файл сервера .ssh/authorized_keys автоматически поддерживается записью для каждого ключа SSH. Каждая запись будет указывать sshd для запуска kallithea-cli с подкомандой ssh-serve и правильным идентификатором пользователя Kallithea при обнаружении соответствующего ключа SSH.

Чтобы включить доступ к репозиторию SSH, Kallithea должен быть настроен с указанием пути к .ssh/authorized_keys для пользователя Kallithea и путь к команда kallithea-cli . Поместите что-то вроде этого в файл . ini :

 ssh_enabled = true
ssh_authorized_keys = /home/kallithea/.ssh/authorized_keys
kallithea_cli_path = /srv/kallithea/venv/bin/kallithea-cli
 

Служба SSH должна быть запущена, а учетная запись пользователя Kallithea должна быть активной. (не обязательно с доступом по паролю, но должен быть включен доступ с открытым ключом), все права доступа к файлам должны быть установлены так, как хочет sshd, и author_keys обязательно быть доступным для записи пользователю Kallithea.

Примечание

Файл author_keys будет перезаписан с нуля каждое обновление. Если он уже существует с другими данными, Калифея не будет перезаписать существующие author_keys , и серверный процесс вместо этого сгенерируйте исключение. Таким образом, системный администратор не может использовать ssh. напрямую пользователю Kallithea, но должен использовать su/sudo из другой учетной записи.

Если /home/kallithea/.ssh/ (директория пути, указанного в ssh_authorized_keys параметр файла . ini ) не существует как каталог, Kallithea попытается создать его. Если этот путь существует, но не каталог, или сервер не может читать-записывать-исполнять серверный процесс будет вызывать исключение каждый раз, когда он попытается напишите файл author_keys .

Примечание

Можно настроить сервер SSH для поиска авторизованных ключи в нескольких файлах, например резервирование ssh/authorized_keys будет используется для обычного SSH и с Kallithea с использованием .ssh/authorized_keys_kallithea . В /etc/ssh/sshd_config установить AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys_kallithea и перезапустить sshd, а в my.ini установить ssh_authorized_keys= /home/kallithea/.ssh/authorized_keys_kallithea . Обратите внимание, что этот новый местоположение будет применяться ко всем пользователям системы, и что несколько записей для один и тот же ключ SSH будет скрывать друг друга.

Предупреждение

Обработка доступа SSH управляется непосредственно командой указан в файле author_keys . Нет взаимодействия с веб-интерфейс. Как только доступ по SSH будет правильно настроен и включен, он будет работать. независимо от того, запущен ли на самом деле веб-процесс Kallithea. Следовательно, если вы хотите выполнять обслуживание репозитория или сервера и хотите полностью отключить весь доступ к репозиториям, отключить доступ по SSH, установив ssh_enabled = ложь в правильный файл .ini (т.е. файл .ini указан в файле author_keys .)

Файл author_keys можно обновить вручную с помощью kallithea-cli ssh-update-authorized-keys -c my.ini . Эта команда не нужна в обычном операция, но, например, полезна после изменения настроек, связанных с SSH, в .ini или переименовать этот файл. (Путь к файлу .ini используется в сгенерированный author_keys файл).

Настройка полнотекстового поиска Whoosh

Kallithea обеспечивает полнотекстовый поиск репозиториев с использованием Whoosh.

Для создания добавочного индекса выполните:

 kallithea-cli index-create -c my.ini
 

Для полной перестройки индекса выполните:

 kallithea-cli index-create -c my.ini --full
 

Параметр --repo-location позволяет переопределить расположение репозиториев; обычно местоположение извлекается из базы данных Kallithea.

Опция --index-only может использоваться для ограничения индексированных репозиториев списком, разделенным запятыми:

 kallithea-cli index-create -c my.ini --index-only=vcs,kallithea
 

Для поддержания индекса в актуальном состоянии необходимо периодически создавать индексы; для этого рекомендуется использовать запись crontab. Пример:

 0 3 * * * /path/to/virtualenv/bin/kallithea-cli index-create -c /path/to/kallithea/my.ini
 

При использовании инкрементного режима (по умолчанию) Whoosh проверит последний дату изменения каждого файла и добавить его для переиндексации, если появится более новый файл. доступный. Демон индексации проверяет все удаленные файлы и удаляет их. из индекса.

Если вы хотите перестроить индекс с нуля, вы можете использовать флаг -f , как указано выше, либо в админке поставить галочку “создать с нуля”.

Интеграция с системами отслеживания проблем

Kallithea обеспечивает простую интеграцию с системами отслеживания проблем. Это возможно чтобы определить регулярное выражение, которое будет соответствовать идентификатору проблемы в сообщениях фиксации, и замените его URL-адресом проблемы.

Это достигается следующими тремя переменными в ini-файле:

 issue_pat = #(\d+)
issue_server_link = https://issues.example.com/{repo}/issue/\1
issue_sub =
 

issue_pat — это регулярное выражение, описывающее, какие строки в сообщения фиксации будут рассматриваться как ссылки на проблемы. Выражение может/должно иметь одну или несколько групп в скобках, на которые впоследствии можно ссылаться в issue_server_link и issue_sub (см. ниже). Если хотите, именованные группы можно использовать вместо простых групп в скобках. 9|(?<=\s)) . Если шаблон должен совпадать только в том случае, если за ним следует пробел, добавьте следующая строка после фактического шаблона: (?:$|(?=\s)) . В этих выражениях используются утверждения с просмотром назад и с просмотром вперед регулярного выражения Python. модуль выражения, чтобы пробелы не были частью фактического шаблона, в противном случае текст ссылки также будет содержать этот пробел.

Ссылки на соответствующие проблемы заменяются ссылкой, указанной в issue_server_link , в котором разрешены любые обратные ссылки. обратные ссылки может быть \1 , \2 , … или для именованных групп \g . Специальный токен {repo} заменяется полным путем к репозиторию. (включая группы репозиториев), а токен {repo_name} заменен на имя репозитория (без групп репозитория).

Текст ссылки определяется issue_sub , который может быть строкой, содержащей обратные ссылки на группы, указанные в issue_pat . Если issue_sub пусто, то текст соответствует issue_pat используется дословно.

Примеры настроек, показанные выше, соответствуют задачам в формате #<число> . Это приведет к преобразованию текста #300 в ссылку:

 #300.
 

В следующем примере текст, начинающийся с «pullrequest», преобразуется в «запрос на вытягивание» или «PR», за которым следует необязательный пробел, затем символ решетки (#) и одну или несколько цифр в ссылку с текстом «PR #», за которым следует цифры: 9|(?<=\s))#(\d+) issue_server_link = https://issues.example.com/\1 issue_sub =

При необходимости можно указать более одного шаблона, добавив уникальный суффикс к переменные. Например, также демонстрируется использование именованных групп:

 issue_pat_wiki = wiki-(?P\S+)
issue_server_link_wiki = https://wiki. example.com/\g<имя страницы>
issue_sub_wiki = WIKI-\g<имя страницы>
 

С этими настройками на вики-страницы можно ссылаться как на wiki-some-id, и каждый такая ссылка будет преобразована в:

 WIKI-some-id
 

Дополнительные сведения о регулярных выражениях Python см. в документации по регулярным выражениям. поддерживаемый синтаксис в issue_pat , issue_server_link и issue_sub .

Управление хуками

Пользовательскими хуками Mercurial можно управлять так же, как и в файлах .hgrc . Чтобы управлять хуками, выберите Admin > Settings > Hooks .

Чтобы добавить еще один пользовательский хук, просто заполните первое текстовое поле . и второй с путем крюка. Примеры хуков можно найти по адресу kallithea.lib.hooks .

Kallithea также будет использовать некоторые крючки внутри. Их нельзя изменить, но некоторые из них можно включить или отключить в разделе VCS .

Kallithea активно не поддерживает пользовательские хуки Git, но хуки можно установить вручную в файловой системе. Kallithea установит и будет использовать post-receive Git hook внутренне, но затем вызовет после получения, пользовательский , если он присутствует.

Изменение кодировки по умолчанию

По умолчанию Kallithea использует кодировку UTF-8. Это настраивается как default_encoding в файле .ini. Это влияет на многие части Kallithea, включая имена пользователей, имена файлов и кодирование сообщений фиксации. Кроме того, Kallithea может определить, является ли charde библиотека установлена. Если charde обнаружит , Kallithea откажется от него. когда есть ошибки кодирования/декодирования.

Кодировку Mercurial можно настроить как hgencoding . Это похоже на установив переменную среды HGENCODING , но переопределит ее.

Конфигурация Celery

Kallithea может использовать систему распределенной очереди задач Celery для запуска таких задач, как клонирование репозиториев или отправка электронных писем.

Kallithea в большинстве случаев отлично работает сразу после установки (без Celery), выполняя все задачи в процессе веб-сервера. Однако некоторые задачи могут требуется некоторое время для запуска, и может быть лучше запускать такие задачи асинхронно в отдельный процесс, чтобы веб-сервер мог сосредоточиться на обслуживании веб-запросов.

Сведения об установке и настройке Celery см. в документации по Celery. Обратите внимание, что для Celery требуется служба брокера сообщений, такая как RabbitMQ (рекомендуется) или Редис.

Использование Celery настраивается в файле конфигурации Kallithea ini. Чтобы включить его, просто установите:

 use_celery = true
 

и добавить или изменить celery.* переменных конфигурации.

Параметры конфигурации имеют префикс «сельдерей», поэтому, например, параметр broker_url в Celery означает установку celery.broker_url в конфигурации файл.

Чтобы запустить процесс Celery, выполните:

 kallithea-cli celery-run -c my. ini
 

Дополнительные параметры рабочего процесса Celery могут быть переданы после -- — см. -- -h для получения дополнительной информации.

Примечание

Убедитесь, что вы запускаете эту команду из того же виртуального окружения и с тем же пользователь, которым управляет Kallithea.

Настройки прокси-сервера

Когда Kallithea обрабатывает HTTP-запросы от пользователя, она увидит и использует некоторые из основных свойств соединения, как на уровне TCP/IP, так и на уровень HTTP. Сервер WSGI предоставит эту информацию Kallithea в окружение”.

В некоторых настройках прокси-сервер будет принимать запросы от пользователей и пересылать их на настоящий сервер Kallithea. Таким образом, прокси-сервер будет непосредственный клиент сервера Kallithea WSGI, и Kallithea в основном увидит это как таковое. Чтобы убедиться, что Каллифея увидит запрос в том виде, в каком он поступил от клиента к прокси-серверу, прокси-сервер должен быть настроен на каким-то образом передать первоначальную информацию Калифее, и Калифея должна быть настроен на получение этой информации и доверие к ней.

Kallithea по умолчанию будет полагаться на свой сервер WSGI для предоставления IP-адреса клиент в среде WSGI как REMOTE_ADDR , но его можно настроить на получить его из заголовка HTTP, который был установлен прокси-сервером. За например, если прокси-сервер помещает IP-адрес клиента в X-Forwarded-For Заголовок HTTP, набор:

 remote_addr_variable = HTTP_X_FORWARDED_FOR
 

Kallithea по умолчанию будет полагаться на поиск протокола ( http или https ) в среде WSGI как wsgi.url_scheme . Если прокси-сервер ставит протокол клиентского запроса в HTTP-заголовке X-Forwarded-Proto , Kallithea можно настроить так, чтобы он доверял этому заголовку, установив:

 url_scheme_variable = HTTP_X_FORWARDED_PROTO
 

Поддержка HTTPS

Kallithea по умолчанию создает URL-адреса на основе среды WSGI.

Кроме того, вы можете использовать некоторые специальные параметры конфигурации для управления непосредственно какую схему/протокол Kallithea будет использовать при генерации URL:

• При установке url_scheme_variable схема будет взята из этого HTTP заголовок.
• При force_https = true схема будет видна как https .
• С use_htsts = true Kallithea установит Strict-Transport-Security при использовании https.

Пример виртуального хоста Nginx

Пример конфигурации для Nginx с использованием прокси:

 вверх по течению kallithea {
    сервер 127.0.0.1:5000;
    # добавить больше экземпляров для балансировки нагрузки
    #сервер 127.0.0.1:5001;
    #сервер 127.0.0.1:5002;
}
## гист псевдоним
сервер {
   слушать 443;
   имя_сервера gist.example.com;
   журнал_доступа /var/log/nginx/gist.access.log;
   error_log /var/log/nginx/gist.error.log;
   SSL включен;
   ssl_certificate gist.your.kallithea.server.crt;
   ssl_certificate_key gist.your.kallithea.server.key;
   ssl_session_timeout 5 м;
   ssl_protocols SSLv3 TLSv1;
   ssl_ciphers DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-SHA:DES-CBC3-SHA:AES128-SHA:RC4-SHA:RC4-MD5;
   ssl_prefer_server_ciphers включен;
   переписать ^/(. +)$ https://kallithea.example.com/_admin/gists/$1;
   переписать (.*) https://kallithea.example.com/_admin/gists;
}
сервер {
   слушать 443;
   имя_сервера kallithea.example.com
   журнал_доступа /var/log/nginx/kallithea.access.log;
   error_log /var/log/nginx/kallithea.error.log;
   SSL включен;
   ssl_certificate your.kallithea.server.crt;
   ssl_certificate_key ваш.kallithea.server.key;
   ssl_session_timeout 5 м;
   ssl_protocols SSLv3 TLSv1;
   ssl_ciphers DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-SHA:DES-CBC3-SHA:AES128-SHA:RC4-SHA:RC4-MD5;
   ssl_prefer_server_ciphers включен;
   ## раскомментируйте корневую директиву, если вы хотите обслуживать статические файлы с помощью nginx
   ## требует static_files = false в файле .ini
   #root /srv/kallithea/kallithea/kallithea/public;
   включить /etc/nginx/proxy.conf;
   расположение / {
        try_files $uri @kallithea;
   }
   местоположение @kallithea {
        прокси_пароль http://127.0.0.1:5000;
   }
}
 

Вот файл proxy. conf. Он настроен так, что не будет тайм-аута на долгое время push-уведомления или большие push-уведомления:

 proxy_redirect выключен;
proxy_set_header Хост $host;
## требуется для аутентификации контейнера
#proxy_set_header REMOTE_USER $remote_user;
#proxy_set_header X-Forwarded-User $remote_user;
proxy_set_header X-URL-схема $схема;
proxy_set_header X-хост $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Прокси-хост $proxy_host;
прокси_буферизация выключена;
proxy_connect_timeout 7200;
proxy_send_timeout 7200;
proxy_read_timeout 7200;
proxy_buffers 8 32k;
client_max_body_size 1024 м;
client_body_buffer_size 128 КБ;
large_client_header_buffers 8 64 КБ;
 

Пример обратного прокси виртуального хоста Apache

Вот пример файла конфигурации для Apache с использованием прокси:

 
        Имя сервера kallithea.example.com
        <Прокси *>
          # Для Apache 2. 4 и выше:
          Требовать все предоставленные
          # Для Apache 2.2 и более ранних версий вместо этого используйте:
          # Заказать разрешить, запретить
          # Разрешить от всех
        
        #важный !
        #Директива по правильному созданию URL-адреса (URL-клона) для Kallithea
        ProxyPreserveHost включен
        экземпляр #kallithea
        ПроксиПасс / http://127.0.0.1:5000/
        ПроксиПассРеверс / http://127.0.0.1:5000/
        # для включения https используйте строку ниже
        #SetEnvIf Схема X-URL https HTTPS=1

 

Дополнительный учебник http://pylonsbook.com/en/1.1/deployment.html#using-apache-to-proxy-requests-to-pylons

Apache как подкаталог

Часть подкаталога Apache:

 
  Прокси-пасс http://127.0.0.1:5000/PREFIX
  ProxyPassReverse http://127.0.0.1:5000/PREFIX
  SetEnvIf X-URL-схема https HTTPS=1

 

Помимо обычной настройки apache вам нужно будет добавить следующую строку в раздел [app:main] вашего файла . ini:

 фильтр-с = прокси-префикс
 

Добавьте в конец файла .ini следующее:

 [фильтр:прокси-префикс]
использование = яйцо: PasteDeploy # префикс
префикс = /ПРЕФИКС
 

, затем измените ПРЕФИКС на выбранный вами префикс

Apache с mod_wsgi

В качестве альтернативы Kallithea можно настроить с помощью Apache под mod_wsgi. За что вам нужно:

• Установить mod_wsgi. Если вы используете дистрибутив на основе Debian, вы можете установить пакет libapache2-mod-wsgi:

   aptitude установить libapache2-mod-wsgi
   

• Включить mod_wsgi:

   a2enmod wsgi
   

• Добавьте глобальную конфигурацию Apache, чтобы сообщить mod_wsgi, что только Python будет используется в процессах WSGI и не должен быть инициализирован в Apache процессы:

   WSGIRestrictEmbedded Вкл.
   

• Создайте сценарий отправки WSGI, как показано ниже. Процесс WSGIDaemonProcess Директива python-home гарантирует, что он использует правильный виртуальный Python. Таким образом, окружающая среда и эта паста могут подобрать правильную Калифею. заявление.

   ini = '/srv/kallithea/my.ini'
  из файла logging.config импортировать файлConfig
  fileConfig(ini, {'__file__': ini, 'здесь': '/srv/kallithea'})
  из paste.deploy импортировать loadapp
  приложение = loadapp('config:' + ini)
   

• Добавьте необходимые директивы WSGI* в конфигурацию виртуального хоста Apache. файл, как в примере ниже. Обратите внимание, что сценарий отправки WSGI, созданный выше упоминается с директивой WSGIScriptAlias ​​. Настройки локали по умолчанию, которые Apache предоставляет для веб-служб, часто не адекватный, с C в качестве языка по умолчанию и ASCII в качестве кодировки. Вместо этого используйте параметр lang WSGIDaemonProcess , чтобы указать подходящая локация. См. также раздел Обзор установки и Документация WSGIDaemonProcess.

  Apache по умолчанию будет работать как специальный пользователь Apache в системах Linux.