Diskusia – 2. diel - Ssh - Inštalácia a nastavenie servera

Skvjelý už vím, kam půjdu, až budu příště konfigurovat ssh
Jinak, k čemu je MaxStartups 2:30:10 ? Chápu to tak, že když se bude připojovat třetí uživatel, je 30% pravděpodobnost že ho server odmítne. A 11-tého uživatele odmítne na 100%. Ale k čemu mi to je? Myslím těch 30%. Přece buď se chci připojit nebo ne, sportku můžu hrát i jinde

No, sám to nechápu, ale lepší je mít více možností na úkor malého nepohodlí než mít tam jen funkci pro max počet uživatelů

trosku mas tam chybu...

ListenAddress 192.168.1.2
ListenAddress 192.168.1.3

tam su uvedene 2 adresy z jednej, jedinej siete, co si myslim, ze bude sa bit, kedze ListenAddress urcuje, ze na akej adrese (nie porte) ma pocuvat sluzba SSH a spravny format zapisu je:

ListenAddress host|IPv4_addr|IPv6_addr
ListenAddress host|IPv4_addr:port
ListenAddress [host|IPv6_addr]:port

Mno zaprvé je to příklad - čísla jsou jednoduše smyšlená - záleží na reálné konfiguraci stroje.

Zadruhé nevidím žádný důvod, proč by to nemělo fungovat. Ten příkaz specifikuje, na jakém interface server naslouchá (resp. alespoň já to tak chápu.. v reálu jsem to zatím nezkoušel).

Hypoteticky máme server, co má 4 porty.. tři jsou připojeny do lokální sítě, jedna do nějaké jiné (na důvodu nezáleží.. někdo to tak nastavil)

fa01 - 192.168.1.1
fa02 - 192.168.1.2
fa03 - 192.168.1.3
fa04 - 154.4.6.1

V lokální síti ještě máme PC s adresou 192.168.1.4

Pokud je server nastavený jako výše, mělo by to fungovat následovně:
Pokud se PC pokusí připojit na první interface (ssh [email protected]), SSH server by na něj vůbec neměl reagovat. Pokud to zkusí na 02 nebo 03, mělo by to fungovat.. A pokud se někdo z venku pokusí připojit na 154.4.6.1, také by ho to mělo ignorovat..

Možná ještě lepší ilustrace by byla, kdyby bylo nastavení následující:

Port 222
ListenAddress 192.168.1.2:22
ListenAddress 192.168.1.3:2222
ListenAddress 154.4.6.1

Zvenku by se dalo připojit na 154.4.6.1 na port 222, zevnitř na adresu 192.168.1.2 a port 22 a na adresu 192.168.1.3 a port 2222..

Možná by to stálo za to vyzkoušet..

myslim, ze mat 2 rozhrania zariadenia pripojene do jednej siete je uplne zbytocne a pochybujem, ze to tak niekde robia... iba zbytocne su obsadene sietove rozhrania a bytocne sa plytva adresami...
skor maju na tom zariadeni 2 a viac rozhrani a kazde je prepojene do uplne inej siete

ja by som to urobil takto:

ListenAddress 154.4.6.1:222
ListenAddress 192.168.1.2:22

a k SSH by som sa pripajal cez adresu 192.168.2 a port 22 a adresa 192.168.1.3 by mohla byt pouzita pre klienta

a spravne sa nazyva interface, alebo rozhranie a nie port...

a takisto pre vlastnikov Unix like OS popis konfiguraku v anglictine:

man sshd_config

Promiň, ale.. Nevím jak lépe se už vyjádřit. Jasně jsem řekl, že to je jen příklad, který má ilustrovat chování SSH serveru v závislosti na tomto nastavení (jen tak mimochodem - zkoušel jsem a je to přesně tak, jak říkám), ne smysluplný nebo dokonce reálný příklad. Nechápu tedy, proč ho řešíš - napsal jsi, že tam máme chybu.. Ok, super. To se může stát

Doufám, že teď chápeš, proč tam chyba není (v tom nastavení). Co se týče připojování dvou rozhraní do jedné sítě, tak běžně se to samozřejmě nedělá, protože je to zbytečné. Ale zapomínáš na jednu věc.. Připojení dvou interface do jedné sitě je fakticky zdvojnásobení datové propustnosti (pokud samozřejmě není omezována jinými síťovými prvky). Takže v sítích, kde je kladen důraz na co nevyšší propustnost se toto naopak používá často.

Jinak ale, když někdo píše, že HYPOTETICKY něco nějak je a ještě je k tomu poznámka "(na důvodu nezáleží.. někdo to tak nastavil)", tak se tím autor snaží říct, že je to opravdu jen akademický příklad pro vysvětlení principu a nemá smysl řešit jeho reálnou aplikaci.

Jo a k tvé opravě termínů.. Všimni si, co používám:

Ten příkaz specifikuje, na jakém **interface** server naslouchá
Pokud se PC pokusí připojit na první **interface**

Jednou jsem to nazval "port", aby rozumněli případně i lidi, co tuto terminologii neznají. A jinak v tomto případě je to navíc zaměnitelný termín, protože fa rozhraní (pokud není virtuální) opravdu port je, ale na tom nezáleží...

Připojení dvou interface do jedné sitě je fakticky zdvojnásobení datové propustnosti

pripajanie viac rozhrani do jednej, jedinej siete neriesi datovu priepustnost, skor sa moze stat, ze sa siet rychlejsie zahlti, ak to vykon serveru bude zvladat, ked pridu naraz poziadavky na tie rozhrania...
chcel by som vediet, kto to tak hlupo ma nastavene...

a ked prehadzujes terminy, ze raz interface, raz port, tak sa to moze zaciatocnikom miesat...

Jak neřeší? V našem případě máme jako rozhraní fast ethernet, což je 100Mb/s - tedy nic moc.. a použít dvě rozhraní je naprosto validní a u větších sítí dokonce nutné - pro zajištění redundance. Vysvětlím..

Dnes je typické řešit síť hiearchicky - opomenu rozdělování do podsítí případně virtuálních sítí a trunking. Pointa je v tom že existuje dvě a více úrovní switchů, které jsou mezi sebou spojeny podle určitých pravidel (a to víc než je na pohled třeba - redundance). Je to kvůli tomu, aby když vypadne jeden switch, neodpadla celá část sítě a také kvůli rozložení zátěže (každý switch má jen určitý výkon a zvládne přepínat jen x rámců/s).

Na screenu je ukázka takové základní, běžné konfigurace firemní sítě. Většinou se teda používají tři úrovně, ale pro ukázku to bude stačit. Pokud by to bylo jak říkáš, tak za serverem by byl jeden switch, do kterého by byly zapojeny switche, které jsou v kancelářích.. Kdyby měl tenhle hlavní switch závadu (což se běžně stává), celá síť přestane fungovat.. Z jedné kanceláře se nepřipojí do druhé a nikdo se nedostane k serveru..

Když to zapojíš, jak říkám já, tak v případě selhání jednoho hlavního switche se nic neděje (jen se zpomalí provoz). pří běžném provozu to funguje tak, že rámce jsou poslány tou nejrychlejší cestou k cíli - tj. počítač z kanceláře 1 pošle zprávu serveru - zpráva projde nejspíš Switchem8 a Switchem6 (řekněme, že jsou mezi nimi kratší dráty).. Dejme tomu, že toho posílá hodně a zahlcuje to jedno rozhraní (popř. i switch) - když v tu chvíli pošle zprávu někdo z kanceláře 2 (ta by normálně šla stejnou cestou jako z kanceláře 1 (jsou fyzicky hned vedle sebe), ale jelikož si switche udržují statistiku, která cesta je jak rychlá, tak bude komunikace probíhat přes Switch7, což vyústí v lepší čas odezvy a obecně vyšší výkon.

Jinak můžu třeba potvrdit, že přesně tohle se používá na Ekonomické fakultě Masarykovy univerzity v Brně - byl jsem tam v IT oddělení na praxi (trochu offtopic: mají moc pěknouo serverovnu a zajímavé vybavení.. )

sice tym nezahltis to jedno rozhranie, ale zahlcujes celu siet...
v tomto pripade by nebolo prejst zo 100ME na aspon 1GE? alebo zaviest este jednu duplikovanu siet? v tom druhom pripade sa zataz rozdeli na dve separatne siete a nezahlhcuje sa zbytocne ani rozhranie, ako ani switch a pri vypadku switchu sa nestraca ziadna konektivita

je to jen hypotetické...

a nezahltí se vůbec nic.. proč by prosím tě mělo?
To nejsou rozbočovače.. To jsou switche! je to point-to-point spojení.. Můžeš server do jedné sítě připojit skrze 4 rozhraní a nic se zahlcovat nebude - data jdou jen tomu, kdo si o ně požádá..

Naopak, pokud máš jen jedno rozhraní a jeden switch, tak hrozí zahlcení! Máš nějakou divnou představu o tom, jak to funguje.. Server to nijak nezahltí - nemá jak.. On typicky sám o sobě nic generovat nebude.. a doba broadcastů je dávno pryč..

Samozřejmě, že v reálném nasazení by se použily 1GE rozhraní.. a nejspíš by se to rozdělilo do virtuálních sítí (normální podsítě jsou těžce na ústupu).. ale to se tu neřeší - ber to jako příklad principu..