技術分享

[技術分享]NonStop Server SSH over TELNET實務經驗分享

作者簡歷

作者擁有超過20年IT服務資歷，現職凌群電腦NSK服務總處系統工程師，主要負責HPE NonStop證券、銀行客戶系統維運服務，專長為HPE NonStop系統整合。

前言

HPE NonStop SSH是一個完整的Enterprise Secure Shell解決方案，取代以明碼方式傳輸資料的Telnet，資料傳輸經過加密，提高機密性和安全性。

此篇文章提出的HPE NonStop SSH over Telnet架構，可保留Telnet原本的Static window設定與管理方式，並將對外連線透過SSH進行加密傳輸，轉換過程可分批移轉並保留相關window與term設定，避免系統大幅異動以降低轉換風險。SSH over Telnet連線架構設定及使用環境如下圖所示：



NonStop端環境設定及說明

一、NonStop SSH元件說明

• SSH2：SSH2是NonStop SSH最主要的程式，提供下列服務：
  
• 做為SSH Server process，可設定listen特定連線TCP/IP Port(通常為PORT 22)，對使用者和服務進行身份驗證，通過驗證後建立連線。
  
• 使用SSHCOM管理SSH configuration database。
  
• 使用者可以用SFTP或SSH client軟體與有啟動SSH daemon的系統建立連線。
  
• SSH：為一執行在Guardian環境下的Secure Shell client，可與遠端SSH daemon連線。
  
• SSHCOM：用來管理SSH環境
  
• PAUTH：對系統使用者群的使用者密碼進行身份驗證。
  
• STN：是pseudo TTY server，提供全螢幕shell給遠端SSH client使用。
  
• TELNET：forwarding選擇的標的物，包含IP、PORT及相關的SERVICE、Static Window環境設定。
  

二、SSH架構概述

• SSH2執行成SSH Daemon (Server)：SSH2 process接受遠端連線，根據使用者的資料庫對遠端使用者進行身份驗證，也可以使用PAUTH驗證使用者密碼。
  
• 在收到請求後，可使用以下的服務：
  
  • NonStop TACL、OSS Shell或SFTPSERV服務。
    
  • 使用者可以使用SSHCOM管理user database，允許管理者配置remote users public keys、控制對伺服器的功能及檔案傳輸的存取權限。

三、啟動SSH2環境

• 啟動STN Pseudo Terminal Server
  遠端SSH client要取得一個終端機連線，必須啟動一個STN process當作SSH2的PTY server。在TACL環境下執行下列obeyfile：
  ALLOW ALL ERRORS
  
  ABORT PROCESS $ZZKRN.#SSH-PTYT
  DELETE PROCESS $ZZKRN.#SSH-PTYT
  
  ADD PROCESS $ZZKRN.#SSH-PTYT, &
  NAME $PTYT, PROGRAM $SYSTEM.ZSSH.STN, DEFAULTVOL $SYSTEM.SSHTEST, &
  HOMETERM $ZHOME, INFILE $ZHOME, OUTFILE $ZHOME, &
  AUTORESTART 10, SAVEABEND OFF, STARTMODE APPLICATION, PRIORITY 150, &
  STOPMODE STANDARD, CPU FIRSTOF (1，0)
  
  START PROCESS $ZZKRN.#SSH-PTYT
  
  
• 啟動SSH2 process
  在TACL環境下執行下列obeyfile：
  
  ALLOW ALL ERRORS
  ABORT PROCESS $ZZKRN.#SSH-ZSH01
  DELETE PROCESS $ZZKRN.#SSH-ZSH01
  
  ADD PROCESS $ZZKRN.#SSH-ZSH01, &
  NAME $ZSH01, PROGRAM $SYSTEM.ZSSH.SSH2, DEFAULTVOL $SYSTEM.SSHTEST, &
  HOMETERM $ZHOME, INFILE $ZHOME, OUTFILE $ZHOME, &
  AUTORESTART 10, SAVEABEND OFF, STARTMODE APPLICATION, PRIORITY 150, &
  STOPMODE STANDARD, CPU FIRSTOF (1，0), &
  STARTUPMSG "ALL;SUBNET $ZTCT;PORT 7979;CONFIG $SYSTEM.SSHTEST.SSHTCFG"
  
  START PROCESS $ZZKRN.#SSH-ZSH01
  
  說明：
  –啟動SSH2 process，並指定DEFAULTVOL目錄
  –指定要走哪個TCPIP PROCESS：SUBNET $ZTCT
  –指定要走哪個PORT：PORT 7979
  –指定要讀哪個CONFIG FILE：CONFIG $SYSTEM.SSHTEST.SSHTCFG， CONFIG FILE內要指定該SSH2要與哪個STN PROCESS做連結，如下面紅色字串-PTYSERVER $PTYT。CONFIG內容需要預先編輯準備好。
  
  SSH CONFIG FILE (SSHTCFG) 內容如下：
  
  CUSTOMER HP
  AUTOADDSYSTEMUSERS TRUE
  STRICTHOSTKEYCHECKING FALSE
  CLIENTMODEOWNERPOLICY GUARDIANNAME
  PTYSERVER $PTYT
  SSHCTL SSHBDB
  SSHCTLAUDIT FALSE
  BACKUPCPU 0
  BANNER
  HOSTKEY HOSTKEYB
  #---------------------------------------
  # log configuration
  #---------------------------------------
  # SET THE LEVEL
  LOGLEVEL 50
  # Do not log to hometerm and EMS
  LOGCONSOLE *
  LOGEMS *
  # Log to log file
  LOGFILE $SYSTEM.SSHTEST.SSHTLOG
  
  #---------------------------------------
  # audit configuration
  #---------------------------------------
  # Turn on basic auditing
  AUDITFILE $SYSTEM.SSHTEST.AUDITT
  
  
• 設定user
  
  採用SSH的連線方式，SSH會對user進行驗證，所以需在user的database中對每個登入的user設定；user name為連線時ssh的登入使用者名，可以是系統的user，或是自訂的user name。如登入的使用者採用系統的user，則可以不用先建立user；若是自訂的user，則需先建立。以下為加一個user的範例：
  
  open $ZSH01
  DELETE USER USERTACL
  ADD USER USERTACL, &
  ALLOWED-AUTHENTICATIONS (NONE), &
  ALLOW-SHELL YES, SHELL-PROGRAM TELNET 10.1.10.1 23, ALLOW-CI YES, &
  CI-PROGRAM TELNET 10.1.10.1 23, ALLOWED-SUBSYSTEMS (SFTP, TACL, OSH), &
  ALLOW-TCP-FORWARDING YES, OWNER *NONE*,SYSTEM-USER *NONE*
  
  說明：此範例為加一個SSH user - USERTACL，它登入後不再提供二次驗證方式(NONE)，該USER有權限使用SFTP、TACL及OSH程式，不對應Guardian系統使用者，通過認證後，會自動導向TELNET 10.1.10.1(port 23)的連線，並依據該TELNET設定配置static window。亦即網路傳輸過程，傳輸資料透過SSH進行加密處理，進入到NonStop系統後，透過SSH2 forwarding功能，與原來的TELNET連線環境做MAPPING；同時可透過SSHCOM查詢該SSH process所管理的session狀態資訊並進行管理。

Client端連線軟體設定(DRSE)

• 安裝DRSE版本2.06.10以上的版本(支援SSH連線)
  
• 新增連線profile。
  
• 於Session分頁填入新session名稱(ex：NSX-profile)
  
  
  
  
  
• Properties分頁，填入SSH連線資訊。包含Host Address/Port Number，Secure Socket需勾選，並於SSH Configuration之Service Name填選對應到SSH2內設定連線的USER名稱，因不再對此SSH連線做二次認證，Password/Keyboard Interactive無須勾選。

填選完畢，請SAVE此設定。

連線，確認該PROFILE可以與NonStop端的SSH建立連線，並Forwarding到TELNET環境，如下圖所示。

SSHCOM檢查連線
TACL>SSHCOM
% STATUS SESSION *, RECURSIVE

查看AUTH-USR欄位是否有 USERTACL認證成功的SESSION存在，若有，此即為該建立連線的SESSION資訊)

• 由上述查詢的SID(SESSION ID)，藉由STATUS CHANNEL指令可以看到詳細資訊。
  % STATUS CHANNEL 12, DETAIL
  
  
  
  
(可以藉由此資訊，連結到SSH forwarding到TELNET的關係)

SSH over TELNET特性說明

• 說明：當在原有的TELNET使用環境，評估導入SSH加密的資料傳輸模式時，可以在不變動原始的TELNET設定環境，利用NonStop SSH所提供的forwarding架構，把資料傳輸加密的需求納入使用環境。
  


• [SERVER端] SSH over Telnet建置程序
  (1)規劃SSH需求的網段，並收集相關資訊。
  (2)建置SSH / STN process(建議設定成Generic process，由$ZZKRN管理)。
  (3)SSH內建置USER(需選定登入認證方式、CI-PROGRAM及SHELL-PROGRAM需指定forwarding的Telnet連線資訊)
  
  
• 降低SSH加解密時CPU使用率
  請調整SSH2下列兩個參數(使用SSHCOM動態調整設定或SSH CONFIG File調整DEFAULT值)。
  (1)SLOWDOWNTICKS 1
  (2)SLOWDOWNIOS 2
  
  
• [Client端]DRSE client設定：
  SSH連線資訊設定：包含Host Address/Port Number，勾選Secure Socket，並於SSH Configuration之Service Name填選對應到SSH2內設定連線的USER名稱；若不再對此SSH連線做二次認證，Password/Keyboard Interactive無須勾選。若有要做二次認證，可以依據Server端環境，配合勾選適當的選項。
  
  
• 管理部分：
  (1)由SSHCOM查看SSH SESSION或CHANNEL資訊。
  (2)由SCF LISTOPENS PROCESS $查看由SSH forwarding到TELNET的Session連線資訊。

參考資料

HPE NonStop SSH Reference Manual。