Vzdálená komunikace PowerShellu přes SSH

  • Článek

Přehled

Vzdálené komunikace PowerShellu obvykle používá WinRM pro vyjednávání připojení a přenos dat. SSH je nyní k dispozici pro platformy Linux a Windows a umožňuje skutečnou multiplatformní komunikace PowerShellu.

WinRM poskytuje robustní model hostování pro vzdálené relace PowerShellu. Vzdálená komunikace založená na SSH v současné době nepodporuje konfiguraci vzdáleného koncového bodu a just Enough Správa istration (JEA).

Vzdálené komunikace SSH umožňuje provádět základní vzdálené komunikace relace PowerShellu mezi počítači s Windows a Linuxem. Vzdálené komunikace SSH vytvoří na cílovém počítači hostitelský proces PowerShellu jako subsystém SSH. Nakonec implementujeme obecný model hostování, podobně jako WinRM, abychom podporovali konfiguraci koncových bodů a JEA.

Rutiny New-PSSessiona Invoke-Command rutiny Enter-PSSessionteď mají novou sadu parametrů pro podporu tohoto nového připojení vzdálené komunikace.

[-HostName <string>]  [-UserName <string>]  [-KeyFilePath <string>]

Pokud chcete vytvořit vzdálenou relaci, zadáte cílový počítač s parametrem HostName a zadáte uživatelské jméno s uživatelským jménem. Při interaktivním spouštění rutin se zobrazí výzva k zadání hesla. Ověřování pomocí klíče SSH můžete použít také pomocí souboru privátního klíče s parametrem KeyFilePath . Vytváření klíčů pro ověřování SSH se liší podle platformy.

Obecné informace o nastavení

PowerShell 6 nebo vyšší a SSH musí být nainstalované na všech počítačích. Nainstalujte klienta SSH () i server (ssh.exesshd.exe), abyste mohli vzdáleně přistupovat k počítačům a z počítačů. OpenSSH pro Windows je teď k dispozici ve Windows 10 buildu 1809 a Windows Serveru 2019. Další informace najdete v tématu Správa Windows pomocí OpenSSH. V případě Linuxu nainstalujte SSH, včetně serveru sshd, který je vhodný pro vaši platformu. Abyste získali funkci vzdálené komunikace SSH, musíte také z GitHubu nainstalovat PowerShell. Server SSH musí být nakonfigurovaný tak, aby vytvořil subsystém SSH pro hostování procesu PowerShellu na vzdáleném počítači. A musíte povolit ověřování pomocí hesla nebo klíče.

Instalace služby SSH na počítač s Windows

  1. Nainstalujte nejnovější verzi PowerShellu. Další informace najdete v tématu Instalace PowerShellu ve Windows.

    Výpisem New-PSSession sad parametrů můžete ověřit, že PowerShell podporuje vzdálené komunikace SSH. Všimněte si, že existují názvy sad parametrů, které začínají SSH. Tyto sady parametrů zahrnují parametry SSH .

    (Get-Command New-PSSession).ParameterSets.Name

    Name
----
SSHHost
SSHHostHashParam

  2. Nainstalujte nejnovější OpenSSH win32. Pokyny k instalaci najdete v tématu Začínáme s OpenSSH.

    Poznámka:

    Pokud chcete nastavit PowerShell jako výchozí prostředí pro OpenSSH, přečtěte si téma Konfigurace Windows pro OpenSSH.

  3. sshd_config Upravte soubor umístěný na $env:ProgramData\sshadrese .

    Ujistěte se, že je povolené ověřování heslem:

    PasswordAuthentication yes

    Vytvořte subsystém SSH, který hostuje proces PowerShellu na vzdáleném počítači:

    Subsystem powershell c:/progra~1/powershell/7/pwsh.exe -sshs -nologo

    Poznámka:

    Počínaje PowerShellem 7.4 už při spuštění PowerShellu -nologo v režimu serveru SSH nemusíte parametr používat.

    Poznámka:

    Výchozí umístění spustitelného souboru PowerShellu je c:/progra~1/powershell/7/pwsh.exe. Umístění se může lišit v závislosti na tom, jak jste nainstalovali PowerShell.

    Pro všechny cesty k souborům, které obsahují mezery, musíte použít krátký název 8.3. V OpenSSH pro Windows došlo k chybě, která brání mezerám v práci se spustitelnými cestami subsystému. Další informace najdete u tohoto problému na GitHubu.

    Krátký název Program Files složky ve Windows 8.3 je obvykle Progra~1. Pomocí následujícího příkazu se ale můžete ujistit:

    Get-CimInstance Win32_Directory -Filter 'Name="C:\\Program Files"' |
  Select-Object EightDotThreeFileName

    EightDotThreeFileName
---------------------
c:\progra~1

    Volitelně můžete povolit ověřování pomocí klíče:

    PubkeyAuthentication yes

    Další informace najdete v tématu Správa klíčů OpenSSH.

  4. Restartujte službu sshd.

    Restart-Service sshd

  5. Přidejte cestu, do které je nainstalovaný OpenSSH, do proměnné prostředí Path. Například C:\Program Files\OpenSSH\. Tato položka umožňuje ssh.exe nalezení položky.

Instalace služby SSH na počítač s Ubuntu Linuxem

  1. Nainstalujte si nejnovější verzi PowerShellu, viz Instalace PowerShellu v Ubuntu.

  2. Nainstalujte Ubuntu OpenSSH Server.

    sudo apt install openssh-client
sudo apt install openssh-server

  3. sshd_config Upravte soubor v umístění /etc/ssh.

    Ujistěte se, že je povolené ověřování heslem:

    PasswordAuthentication yes

    Volitelně můžete povolit ověřování pomocí klíče:

    PubkeyAuthentication yes

    Další informace o vytváření klíčů SSH na Ubuntu najdete v manpage pro ssh-keygen.

    Přidejte položku subsystému PowerShellu:

    Subsystem powershell /usr/bin/pwsh -sshs -nologo

    Poznámka:

    Výchozí umístění spustitelného souboru PowerShellu je /usr/bin/pwsh. Umístění se může lišit v závislosti na tom, jak jste nainstalovali PowerShell.

    Poznámka:

    Počínaje PowerShellem 7.4 už při spuštění PowerShellu -nologo v režimu serveru SSH nemusíte parametr používat.

  4. Restartujte službu SSH.

    sudo systemctl restart sshd.service

Instalace služby SSH na počítač s macOS

  1. Nainstalujte nejnovější verzi PowerShellu. Další informace najdete v instalaci PowerShellu v systému macOS.

    Pomocí následujícího postupu se ujistěte, že je povolená komunikace SSH:

    1. Otevře záznam typu System Settings.
    2. Klikněte na General
    3. Klikněte na Sharing.
    4. Zkontrolujte Remote Login , jestli chcete nastavit Remote Login: On.
    5. Povolte přístup příslušným uživatelům.

  2. sshd_config Upravte soubor v umístění /private/etc/ssh/sshd_config.

    Použijte textový editor, jako je nano:

    sudo nano /private/etc/ssh/sshd_config

    Ujistěte se, že je povolené ověřování heslem:

    PasswordAuthentication yes

    Přidejte položku subsystému PowerShellu:

    Subsystem powershell /usr/local/bin/pwsh -sshs -nologo

    Poznámka:

    Výchozí umístění spustitelného souboru PowerShellu je /usr/local/bin/pwsh. Umístění se může lišit v závislosti na tom, jak jste nainstalovali PowerShell.

    Poznámka:

    Počínaje PowerShellem 7.4 už při spuštění PowerShellu -nologo v režimu serveru SSH nemusíte parametr používat.

    Volitelně můžete povolit ověřování pomocí klíče:

    PubkeyAuthentication yes

  3. Restartujte službu sshd.

    sudo launchctl stop com.openssh.sshd
sudo launchctl start com.openssh.sshd

Poznámka:

Při upgradu operačního systému může být konfigurační soubor SSH přepsán. Po upgradu zkontrolujte konfigurační soubor.

Ověřování

Vzdálené komunikace PowerShellu přes SSH závisí na výměně ověřování mezi klientem SSH a službou SSH a neimplementuje žádná schémata ověřování sama. Výsledkem je, že všechna nakonfigurovaná schémata ověřování, včetně vícefaktorového ověřování, zpracovává SSH a nezávislá na PowerShellu. Můžete například nakonfigurovat službu SSH tak, aby vyžadovala ověření veřejného klíče a jednorázové heslo pro přidání zabezpečení. Konfigurace vícefaktorového ověřování je mimo rozsah této dokumentace. Než se ho pokusíte použít se vzdálené komunikace PowerShellu, přečtěte si dokumentaci k SSH, jak správně nakonfigurovat vícefaktorové ověřování a ověřit, jestli funguje mimo PowerShell.

Poznámka:

Uživatelé zachovají stejná oprávnění ve vzdálených relacích. To znamená, že Správa istrátory mají přístup k prostředí se zvýšenými oprávněními a normální uživatelé ne.

Příklad vzdálené komunikace PowerShellu

Nejjednodušší způsob, jak otestovat vzdálené komunikace, je vyzkoušet ho na jednom počítači. V tomto příkladu vytvoříme vzdálenou relaci zpět do stejného počítače s Linuxem. Používáme rutiny PowerShellu interaktivně, takže se zobrazí výzvy od SSH s žádostí o ověření hostitelského počítače a zobrazení výzvy k zadání hesla. Totéž můžete udělat na počítači s Windows, abyste měli jistotu, že vzdálené komunikace funguje. Potom mezi počítači vzdáleně změňte název hostitele.

Linux do Linuxu

$session = New-PSSession -HostName UbuntuVM1 -UserName TestUser

The authenticity of host 'UbuntuVM1 (9.129.17.107)' can't be established.
ECDSA key fingerprint is SHA256:2kCbnhT2dUE6WCGgVJ8Hyfu1z2wE4lifaJXLO7QJy0Y.
Are you sure you want to continue connecting (yes/no)?
TestUser@UbuntuVM1s password:

$session

 Id Name   ComputerName    ComputerType    State    ConfigurationName     Availability
 -- ----   ------------    ------------    -----    -----------------     ------------
  1 SSH1   UbuntuVM1       RemoteMachine   Opened   DefaultShell             Available

Enter-PSSession $session

[UbuntuVM1]: PS /home/TestUser> uname -a
Linux TestUser-UbuntuVM1 4.2.0-42-generic 49~16.04.1-Ubuntu SMP Wed Jun 29 20:22:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

[UbuntuVM1]: PS /home/TestUser> Exit-PSSession

Invoke-Command $session -ScriptBlock { Get-Process pwsh }

Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName    PSComputerName
-------  ------    -----      -----     ------     --  -- -----------    --------------
      0       0        0         19       3.23  10635 635 pwsh           UbuntuVM1
      0       0        0         21       4.92  11033 017 pwsh           UbuntuVM1
      0       0        0         20       3.07  11076 076 pwsh           UbuntuVM1

Linux do Windows

Enter-PSSession -HostName WinVM1 -UserName PTestName

PTestName@WinVM1s password:

[WinVM1]: PS C:\Users\PTestName\Documents> cmd /c ver

Microsoft Windows [Version 10.0.10586]

Windows do Windows

C:\Users\PSUser\Documents>pwsh.exe

PowerShell
Copyright (c) Microsoft Corporation. All rights reserved.

$session = New-PSSession -HostName WinVM2 -UserName PSRemoteUser

The authenticity of host 'WinVM2 (10.13.37.3)' can't be established.
ECDSA key fingerprint is SHA256:kSU6slAROyQVMEynVIXAdxSiZpwDBigpAF/TXjjWjmw.
Are you sure you want to continue connecting (yes/no)?
Warning: Permanently added 'WinVM2,10.13.37.3' (ECDSA) to the list of known hosts.
PSRemoteUser@WinVM2's password:

$session

 Id Name            ComputerName    ComputerType    State         ConfigurationName     Availability
 -- ----            ------------    ------------    -----         -----------------     ------------
  1 SSH1            WinVM2          RemoteMachine   Opened        DefaultShell             Available

Enter-PSSession -Session $session

[WinVM2]: PS C:\Users\PSRemoteUser\Documents> $PSVersionTable

Name                           Value
----                           -----
PSEdition                      Core
PSCompatibleVersions           {1.0, 2.0, 3.0, 4.0...}
SerializationVersion           1.1.0.1
BuildVersion                   3.0.0.0
CLRVersion
PSVersion                      6.0.0-alpha
WSManStackVersion              3.0
PSRemotingProtocolVersion      2.3
GitCommitId                    v6.0.0-alpha.17


[WinVM2]: PS C:\Users\PSRemoteUser\Documents>

Omezení

  • Příkaz sudo nefunguje ve vzdálené relaci s počítačem s Linuxem.

  • PsRemoting přes SSH nepodporuje profily a nemá přístup k $PROFILE. Po dokončení relace můžete profil načíst tak, že dot sourcing profil načte pomocí úplného cesty k souboru. To nesouvisí s profily SSH. Server SSH můžete nakonfigurovat tak, aby jako výchozí prostředí používal PowerShell a načetl profil přes SSH. Další informace najdete v dokumentaci SSH.

  • Před PowerShellem 7.1 vzdálená komunikace přes SSH nepodporuje vzdálené relace druhého směrování. Tato funkce byla omezená na relace používající WinRM. PowerShell 7.1 umožňuje Enter-PSSession a Enter-PSHostProcess pracuje z jakékoli interaktivní vzdálené relace.

Viz také