<p>~/.ssh/configって便利ですよね。<br>
色々楽出来ますもんね。</p>
<p>レガシー開発してるお前がsshなんて使うのか？って思われるかも知れませんね<br>
確かに商用サーバはtelnetしか無いんですけどね。<br>
それでも開発用VMとかにはsshつながったりするのとレガシー故に使わざるを得ない状況もあって使ってるんで備忘録代わりにここに残しときます。</p>
<h1 id="%E5%85%B1%E9%80%9A%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#%E5%85%B1%E9%80%9A%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 共通設定</h1>
<div class="code-block-container"><pre class="language-vim"><code class="language-vim">Host <span class="token operator">*</span>
    GSSAPIAuthentication no
    StrictHostKeyChecking no
    UserKnownHostsFile<span class="token operator">=</span><span class="token operator">/</span>dev<span class="token operator">/</span>null
    LogLevel ERROR
    Compression yes
    ServerAliveInterval <span class="token number">60</span>
    ServerAliveCountMax <span class="token number">3</span>
</code></pre></div><h2 id="gssapiauthentication">
<a class="header-anchor-link" href="#gssapiauthentication" aria-hidden="true"></a> GSSAPIAuthentication</h2>
<p>GSSAPIとかいうAPIでユーザ認証するかどうかの設定。</p>
<p>現場にこんなハイカラ認証してるサーバなんて無いのでnoにしてます。<br>
yesにしてると最初にはいからさんが通るので無駄な時間がかかります。</p>
<h2 id="stricthostkeychecking%2Cuserknownhostsfile%2Cloglevel">
<a class="header-anchor-link" href="#stricthostkeychecking%2Cuserknownhostsfile%2Cloglevel" aria-hidden="true"></a> StrictHostKeyChecking,UserKnownHostsFile,LogLevel</h2>
<p>認証情報を/dev/nullに捨てて毎回初めて繋ぐかのように見せかけ繋ぐかどうか聞かれたら問答無用でyesって自動で答える賢いsshくんを馬鹿にするための設定。</p>
<blockquote>
<p>弊害として毎回警告出るようになるのでLogLevelで警告も出ないようにしている。</p>
</blockquote>
<p>初めて繋ぐサーバってつないでええか？ってsshくんに聞かれますよね？<br>
繋いでくれって答えると繋いだ情報をローカルに保存するんですがケチケチ貧乏サーバってよく死ぬんですよねラックマウントだけど殻割ったら中に中華ノートでも入ってんじゃね？ってレベルで死にます。<br>
そして壊れた時はその時の担当の力量にに基づいたクローン度のそれっぽいものが復旧されるんですが大抵そのサーバに繋ぐ時に賢いままのsshくんは保存してる情報と違うからコイツ偽物や！って繋いでくれなくなります。<br>
というわけでこの設定を入れてsshくんを鳥頭にするんですね。</p>
<h2 id="compression">
<a class="header-anchor-link" href="#compression" aria-hidden="true"></a> Compression</h2>
<p>通信を圧縮する設定</p>
<p>サーバ、クライアント側のCPU負荷が多少犠牲になります。<br>
とりあえずつながればいいだろ的な思想で足元に転がってるHUBを継ぎ足して作られたんじゃないかと思われるようなヤバイネットワーク使ってるのでたまに10MbpsみたいなトンデモHUBが紛れ込んでたりします。<br>
こっちはネットワークなんてどうなってるか知らないし知りたくもないのでこの設定を入れて雀の涙ほどでもいいので速度アップを図ろうという涙ぐましい設定の痕跡です。</p>
<h2 id="serveraliveinterval%2Cserveralivecountmax">
<a class="header-anchor-link" href="#serveraliveinterval%2Cserveralivecountmax" aria-hidden="true"></a> ServerAliveInterval,ServerAliveCountMax</h2>
<p>繋いだまま放置してたら切ってくるサーバとかいるので<br>
定期的にkeepaliveを送って切られないようにする設定。</p>
<h1 id="%E5%80%8B%E5%88%A5%E8%A8%AD%E5%AE%9A%EF%BC%88%E9%81%95%E3%81%86%E3%82%B5%E3%83%BC%E3%83%90%E7%B5%8C%E7%94%B1%E3%81%97%E3%81%AA%E3%81%84%E3%81%A8%E3%81%A4%E3%81%AA%E3%81%8C%E3%82%89%E3%81%AA%E3%81%84%E6%99%82%EF%BC%89">
<a class="header-anchor-link" href="#%E5%80%8B%E5%88%A5%E8%A8%AD%E5%AE%9A%EF%BC%88%E9%81%95%E3%81%86%E3%82%B5%E3%83%BC%E3%83%90%E7%B5%8C%E7%94%B1%E3%81%97%E3%81%AA%E3%81%84%E3%81%A8%E3%81%A4%E3%81%AA%E3%81%8C%E3%82%89%E3%81%AA%E3%81%84%E6%99%82%EF%BC%89" aria-hidden="true"></a> 個別設定（違うサーバ経由しないとつながらない時）</h1>
<div class="code-block-container"><pre class="language-vim"><code class="language-vim">Host server1
    HostName 繋ぎたいサーバのIP
    ProxyCommand sshpass <span class="token operator">-</span><span class="token keyword">p</span>経由サーバのPW ssh <span class="token operator">-</span>YC <span class="token operator">-</span>qW <span class="token operator">%</span><span class="token keyword">h</span><span class="token punctuation">:</span><span class="token operator">%</span><span class="token keyword">p</span> username@経由サーバのIP
</code></pre></div><p>ProxyCommandにsshpassコマンド噛ませてsshコマンド使うようにすると経由サーバのパスワード認証すっとばせて楽ですセキュリティは死んでるけど😆<br>
パスワードが平文で残っちゃうのが嫌な場合があればsshpass -pxxxxを消して対応するけど<br>
そもそもローカルネットワークで完結してるのでこれでいいのだ</p>
<blockquote>
<p>ローカルネットワークなのに直接繋がるIPが欲しければ金を払えとか誘拐犯みたいな事言われます。<br>
しかもIP1個ずつサブスク契約だったりします。<br>
流石技術立国日本ですね<br>
おもてなしの心は有料ってことですね</p>
</blockquote>
<h1 id="%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E8%A8%AD%E5%AE%9A%EF%BC%88localhost%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E4%BB%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%82%92%E7%B9%8B%E3%81%90%EF%BC%89">
<a class="header-anchor-link" href="#%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AB%E8%A8%AD%E5%AE%9A%EF%BC%88localhost%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E4%BB%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%82%92%E7%B9%8B%E3%81%90%EF%BC%89" aria-hidden="true"></a> トンネル設定（localhostのポートに他のサーバのポートを繋ぐ）</h1>
<div class="code-block-container"><pre class="language-vim"><code class="language-vim">Host tunnel
    HostName 繋ぎたいサーバ
    User UserID
    GatewayPorts yes
    LocalForward <span class="token number">15432</span> localhost<span class="token punctuation">:</span><span class="token number">5432</span>
    LocalForward <span class="token number">25432</span> 繋ぎたいサーバを経由して繋ぎたいサーバ<span class="token punctuation">:</span><span class="token number">5432</span>
</code></pre></div><p>これでssh -Nf tunnelと実行するとローカルの<br>
15432に繋ぎたいサーバの5432が繋がって<br>
25432に繋ぎたいサーバを経由して繋ぎたいサーバの5432ポートが繋がる<br>
ようになります。<br>
又GatewayPortsなのですがlocalhost以外からのアクセスを受け付けるかどうかの設定なので人によっては不要です。</p>
<blockquote>
<p>なんで私がGatewayPorts入れてるかって言うと<br>
他の開発者がこれやってるの見て<br>
「僕もやりたい」<br>
みたいな事言われるときがあるのですが他の人の開発環境はWindowsオンリーなので<br>
「LinuxのsshでトンネルしてるだけだからWindowsでも出来ると思うよ？ググったら？」<br>
って返してたんですが大体出来ずに何度も聞かれる羽目になるので<br>
「私のIP:15432、私のIP:25432でアクセスして下さい。私が動かしてるときなら繋がります。」<br>
って言う為に入れるようになりました。</p>
</blockquote>
<h1 id="%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> 終わりに</h1>
<p>というわけで書きながら私以外に需要があるのか微妙な内容だと思いましたが<br>
私の為の備忘録なのでまぁ良いかと思って書ききりました。</p>
<p>他にもCiphersの順序を変更したりしてましたがOSによって使える暗号違ってきたりするので書く必要もないかなとおもって省略したりしてます。</p>
<p>それでは皆さん</p>
<p>しゃみしゃっきり〜</p>
<h1 id="p.s.">
<a class="header-anchor-link" href="#p.s." aria-hidden="true"></a> P.S.</h1>
<p>安物ラックマウントサーバが中華ノート並に壊れるって話で思い出した</p>
<p>昔某言語のシステムを違う言語にリプレースするっていう案件をやった事があって<br>
その時検証用にそのシステムのコピーが入ったラックマウントサーバを渡されたんですがそれが安物ってレベルじゃないレベルで遅いので中身開けて見たら</p>
<p><strong>ノートPC用の2.5incHDDが3.5incベイにガムテープで固定されてました😆</strong></p>
<p>その時は爆笑したけど案の定炎上して案件ポシャったので上の人は笑えなかっただろうな自業自得だけど</p>


私の~/.ssh/config

StrictHostKeyChecking,UserKnownHostsFile,LogLevel

個別設定（違うサーバ経由しないとつながらない時）

トンネル設定（localhostのポートに他のサーバのポートを繋ぐ）

Discussion