SSH - всегда делал то, что многие хотят сделать

sshfs - это клиент SSH?, который позволяет смонтировать файловую систему (или папку) удаленного сервера в любую (существующую) папку локальной файловой системы вашего компьютера.

Вообще, для GNU/Linux хватает клиентов SSH. Однако все они ограничиваются тем, что позволяют производить только базовые операции с файлами: копирование, перенос, удаление.

На мой взгляд, sshfs - незаменимое средство для любого веб-программиста (работающего с GNU/Linux), превосходящее на голову все (испробованные мной) клиенты SSH. Только представьте себе: после подключения при помощи sshfs к удаленному серверу, вы можете работать с файлами на нем, как будто они расположены в вашей домашней папке. Соответственно, с ними можно производить любые операции, как с любыми другими файлами в вашей локальной файловой системе: копировать, редактировать, сравнивать при помощи Meld Diff Viewer или искать в них текст при помощи regexxer Search Tool. При этом все данные передаются зашифрованными. Ваши приложения даже не будут догадываться, что они работают с файлами, которые, может быть, находятся на другом конце света! Удобно, не так ли?

УСТАНОВКА

Клиент sshfs входит в дистрибутивы Ubuntu 7.10, 7.04 и дистрибутив Debian Etch. Думаю, что он есть и в предыдующих версиях Ubuntu/Debian (однако я не проверял). И наверняка sshfs будет включен во все последующие дистрибутивы Ubuntu/Debian.

Установка клиента sshfs элементарна, как и установка любого приложения из пакета для Ubuntu/Debian. sshfs можно установить при помощи менеджера пакетов Synaptic?, а можно набрать команду в терминале:

sudo apt-get install sshfs

По умолчанию репозиторий RPMForge не подменяет апакетов из базового репозитория CentOS. Это было в прошлом, теперь данные пакеты выведенены в отдельный репозиторий (RPMForge-Extras), который по умолчанию отключен.Вы можете найти полный список пакетов RPMForge наhttp://packages.sw.be/.

Теперь убедитесь, что вы скачали пакет без ошибок.

Это добавит конфигурационный файл репозитория и импорт соответствующих ключей GPG.

Для пробы установите что-то вроде:

На данный момент более не требуется установки пакета priorities, для защиты системы от обновления не стабильными пакетами из данного репозитория.

Скачайте пакет rpmforge-release. Выберите одну из двух ссылок ниже, в зависимости от вашей архитектуры. Если не уверены, какую из них использовать, то узнайте свою архитектуру командой uname -i

Это позволит добавить файл конфигурации репозитория в YUM и импортировать соответствующие ключи GPG.

Можно попробовать установить что-нибудь, например:

НАСТРОЙКА

Вообще, после установки sshfs не требует настройки, однако одно действие все же нужно сделать: добавить вашего пользователя в группу fuse. Иначе при монтировании файловой системы удаленного сервера вы увидите ошибку:

fuse: failed to open /dev/fuse: Permission denied

Чтобы добавить пользователя в группу fuse, выполните в консоли команду:

sudo usermod -a -G fuse user

где user - логин вашего пользователя. После этого нужно перелогиниться, чтобы попасть в группу fuse.

Добавить своего пользователя в группу fuse можно также при помощи графической среды GNOME. Откройте меню System -> Administration -> Users and Groups. В появившемся окне со списком пользователей выберите своего пользователя и щелкните по кнопке Properties. В появившемся окне (Account Properties) откройте закладку User Privileges и поставьте галочку Allow user of fuse filesystems like LTSP Thin Client blockdevices. Сохраните изменения, нажав кнопку OK. Не забудьте перелогиниться, чтобы попасть в группу fuse.

ИСПОЛЬЗОВАНИЕ

Монтирование файловой системы удаленного сервера при помощи sshfs выполняется следующей командой:

sshfs -C -p 22 user@example.com:/ /home/user/mnt/example.com

Опция -C сообщает sshfs, чтобы он сжимал передаваемые данные, а опция -p задает номер рабочего порта. Номер порта можно опустить, если это стандартный порт SSH (22).

Обратите внимание, что папка /home/user/mnt/example.com, в которую монтируется удаленная файловая система, должна существовать.

Во время установки соединения sshfs спросит у вас пароль пользователя для подключения к серверу. Если имя пользователя и пароль указаны верно и нет проблем с доступом к папке /home/user/mnt/example.com, клиент sshfs не выдаст никаких сообщений после успешного монтирования ФС удаленного сервера.

Отмонтировать файловую систему удаленного сервера можно следующей командой:

fusermount -u /home/user/mnt/example.com

ПОЛЕЗНЫЙ СОВЕТ

Для более удобной работы с sshfs я использую свои скрипты Bash?. Они позволяют мне несколько упростить работу с sshfs. См. пример кода скриптаuser@example.com.sh ниже.

#!/bin/bash

MOUNT_PATH=/home/user/mnt/example.com

if [ "$1" = "-u" ]; then
fusermount -u -z $MOUNT_PATH
else
sshfs -C user@example.com:/home/user/public_html $MOUNT_PATH
fi

Чтобы смонтировать файловую систему удаленного сервера в локальную папку /home/user/mnt/example.com, я запускаю скрипт user@example.com.sh без параметров, указываю пароль и работаю.

/home/user/mnt/ user@example.com.sh

Когда нужно отключится, я запускаю скрипт с параметром -u и клиент sshfs немедленно рвет соединение с удаленным сервером.

/home/user/mnt/ user@example.com.sh -u

Удалённое исполнение кода

Проброс stdin/out

Алиасы

Опции по умолчанию

Проброс X-сервера

Socks-proxy

Проброс портов

Вложенные туннели

Реверс-сокс-прокси

Туннелирование

using openSSH as a layer-2 ethernet bridge (VPN)

Consider the following network setup (which I live with by the way):

[main LAN] <-----------------------------------------------------> [remote datacenter LAN]
(192.168.0.0/16) <-------- leased point-to-point ------------> (192.168.0.0/16)

Both locations also have separate connections to the public Internet with different public IP subnets. However, for this discussion it's not necessary to have different public IP subnets. Under normal circumstances the local LAN and the remote LAN are the same logical LAN via the magic of the leased point to point line.

However, today that p2p connection broke (physically between the two locations, out of our control). This outage lasted several hours, but brought out an interesting use of SSH tunneling for ethernet bridging aka Layer-2 VPN or tunneling. For this to work, you'll need to have at least openSSH 4.3, a somewhat recent linux distro and the bridge-utils package for your distro. This also assumes you have a basic knowledge of IP and the linux command line. I use openSuSE 11.0, but this should work for almost any similar linux.

Let's say for example, the main location has a linux box (router1) with two NICs:
eth0: 1.1.1.1 (the public interface)
eth1: unassigned IP, but connected to your LAN (192.168.0.0/16 in my case)

On the other box, at the remote location (router2) we also have two NICs:
eth0: 2.2.2.2 (the public interface)
eth1: unassigned IP, but connected to your LAN (192.168.0.0/16 in my case)

Both routers should be set with it's public IP gateway as the default route, working DNS, etc. You'll want to enable IP forwarding (consult your specific distro) and in my case, I disabled the distro's firewall. On the remote side (consider it the "server"), you'll need to edit your sshd config to allow remote root logins and tunnels via SSH.

/etc/ssh/sshd_config:
PermitRootLogin yes
PermitTunnel yes

The root login is necessary to allow ssh to create the TAP devices for the bridge. Because of that, you'll also want to add your local side's IPs to /etc/hosts.allow for the sshd process. Now, on the local side (IP 1.1.1.1, which you might consider the client now) you'll want to "su root" and do the following:

ssh -o Tunnel=ethernet -f -w 0:0 2.2.2.2 true

The -o switch sets client options on the command line. We're specifying the tunnel type as ethernet (bridge) as opposed to point-to-point, which it'll do by default (for Layer-3 type VPN routing). The -f switch just forks ssh in the background so we're returned to our "client's" command line and not remote's. Since we've done that, ssh will expect a remote command of some kind, so we'll just run "true", effectively doing nothing. The -w 0:0 switch actually sets up our tap devices on either side as tap0. You can do -w 1:1 for tap1, -w 0:1 for tap0 on one side and tap1 on the other, etc.

On both sides now, you should be able to see via ifconfig -a your eth0, eth1 and tap0 devices. Make sure to call ifconfig with -a, or you'll only see interfaces with defined IPs. Now that the two boxes are connected via the public Internet to each other via SSH, you can finally start to establish the bridge interface. Now we'll use the bridge-utils binary to create a bridge interface called br0:

brctl addbr br0
brctl addif br0 eth1
brctl addif br0 tap0

Then you'll want to bring up all of your interfaces, if they aren't already:

ifconfig eth1 up
ifconfig tap0 up
ifconfig br0 up

Doing so will create the br0 interface, then bridge your eth1 and tap0 together and bring up the interfaces. Don't forget, YOU MUST RUN THE brctl and ifconfig COMANDS ON BOTH SIDES!!! Once you've done this, you can check the remote side to see if it knows about the MAC addresses (from Layer-2) on the local side:

brctl showmacs br0

This will report on the known MAC address from the ARP protocol. Depending on your network, you'll see a few or many. Depending on your setup, you can get a DHCP address on the "other side" of the tunnel now or configure an appropriate IP and ping across as if you were on the same physical broadcast domain!

As a final note, there's always a downside. TCP encapsulated TCP is bad and will put a STRAIN on your hardware. Make sure it's decent for the amount of anticipated traffic and use only as a quick and dirty solution or a temporary measure. The following is good reading for why this is not a long-term, permanent solution:
http://sites.inka.de/~W1011/devel/tcp-tcp.html