ওপেনএসএসএইচ/নির্দেশিকা/প্রক্সি ও জাম্প হোস্ট

প্রক্সি (Proxy) হলো মূলত একটি মধ্যবর্তী মাধ্যম বা সার্ভার যা ক্লায়েন্ট বা ব্যবহারকারীর কম্পিউটার থেকে আসা এক্সেস রিকোয়েস্টগুলো গ্রহণ করে এবং সেগুলোকে বিভিন্ন গন্তব্যের সার্ভারে পৌঁছে দেওয়ার কাজ করে। নেটওয়ার্কের কর্মক্ষমতা বৃদ্ধি, লোড ব্যালেন্সিং বা সার্ভারের ওপর চাপের সমতা রক্ষা করা, নিরাপত্তা নিশ্চিতকরণ এবং অ্যাক্সেস কন্ট্রোল বা প্রবেশাধিকার নিয়ন্ত্রণের মতো নানাবিধ গুরুত্বপূর্ণ ও কৌশলগত কারণে প্রক্সি সার্ভার ব্যবহার করা হয়।

একটি মধ্যবর্তী মেশিনের মাধ্যমে সংযোগ স্থাপন করার ক্ষেত্রে সক্স (SOCKS) প্রক্সি ব্যবহার করা সম্ভব। বর্তমানে ওপেনএসএসএইচ সফটওয়্যারটি সক্স৪ (SOCKS4) এবং সক্স৫ (SOCKS5) উভয় ধরনের প্রক্সি প্রোটোকলই সমর্থন করে। সক্স৫^[১] প্রোটোকলটি কোনো অ্যাপ্লিকেশনের জন্য ফায়ারওয়াল বা অন্যান্য নেটওয়ার্ক বাধাগুলো স্বচ্ছভাবে অতিক্রম করার সুবিধা প্রদান করে এবং এটি জিএসএস-এপিআই (GSS-API)-এর সহায়তায় শক্তিশালী অথেন্টিকেশন বা প্রমাণীকরণ প্রক্রিয়া ব্যবহার করতে পারে। এই ধরনের ডায়নামিক অ্যাপ্লিকেশন-লেভেল পোর্ট ফরওয়ার্ডিংয়ের মাধ্যমে আউটগোয়িং পোর্টগুলো প্রয়োজন অনুযায়ী তাৎক্ষণিকভাবে বরাদ্দ করা যায়, যা মূলত টিসিপি (TCP) সেশন স্তরে একটি প্রক্সি তৈরি করে।

এখানে ওয়েব ব্রাউজারটি লোকাল হোস্টের ৫৫৫৫ পোর্টে সক্স প্রক্সির সাথে সংযুক্ত হতে পারে:

$ ssh -D 5555 server.example.org

যখন ssh(1)-কে সক্স৫ প্রক্সি হিসেবে অথবা অন্য কোনো ফরওয়ার্ডিং কাজে ব্যবহার করা হয়, তখন একটি কমান্ডের মাধ্যমেই একাধিক পোর্ট নির্দিষ্ট করে দেওয়া সম্ভব:

$ ssh -D 80 -D 8080 -f -C -q -N fred@server.example.org

ব্যবহারকারী সাধারণত চাইবেন যেন তার ডিএনএস (DNS) অনুরোধগুলোও এই প্রক্সির মাধ্যমেই সম্পন্ন হয়। উদাহরণস্বরূপ, ফায়ারফক্স (Firefox) ব্রাউজারের সাম্প্রতিক সংস্করণগুলোতে "Proxy DNS when using SOCKS v5" নামক একটি অপশন থাকে যা টিক চিহ্ন দিয়ে সক্রিয় করা যায়। অন্যদিকে, পুরনো সংস্করণগুলোতে about:config সেকশনে গিয়ে network.proxy.socks_remote_dns অপশনটিকে true হিসেবে সেট করতে হয়। তবে ক্রোমিয়াম (Chromium)^[২] ব্রাউজারের ক্ষেত্রে ব্রাউজারটি চালু করার সময় দুটি রান-টাইম অপশন যুক্ত করতে হয়; এগুলো হলো --proxy-server এবং --host-resolver-rules। এর মাধ্যমে ব্রাউজারকে প্রক্সির ঠিকানা জানিয়ে দেওয়া হয় এবং উন্মুক্ত নেটওয়ার্কের মাধ্যমে কোনো ডিএনএস অনুরোধ না পাঠানোর নির্দেশ দেওয়া হয়।

সক্স প্রক্সি সমর্থন করে এমন অন্যান্য প্রোগ্রামের ক্ষেত্রেও প্রক্রিয়াটি প্রায় একই রকম। সুতরাং, আপনি চাইলে ssh(1)-এর মাধ্যমে সাম্বা (Samba) ট্রাফিককেও টানেলিং করতে পারেন।

একটি জাম্প হোস্টের (Jump Host) মাধ্যমে সংযোগ স্থাপন করা এখন অত্যন্ত সহজ, যার জন্য কেবল ProxyJump অপশনটি ব্যবহার করতে হয়:

$ ssh -D 8899 -J jumphost.example.org server.example.org

একাধিক জাম্প হোস্টকে পর্যায়ক্রমে যুক্ত বা চেইনিং করার কাজও এই পদ্ধতিতে করা সম্ভব। জাম্প হোস্টের মধ্য দিয়ে সংযোগ স্থাপনের বিস্তারিত আলোচনা এবং উদাহরণ পরবর্তী বিভাগে প্রদান করা হয়েছে।

এক বা একাধিক মধ্যবর্তী হোস্ট বা সার্ভারের মাধ্যমে একটি দূরবর্তী হোস্টের (remote host) সাথে অত্যন্ত সুরক্ষিতভাবে সংযোগ স্থাপন করা সম্ভব, যার ফলে ব্যবহারকারী বা ক্লায়েন্ট এমনভাবে কাজ করতে পারেন যেন সংযোগটি সরাসরি ওই হোস্টের সাথেই তৈরি হয়েছে। এই ধরনের সংযোগ স্থাপনের প্রধান এবং সবচেয়ে কার্যকর পদ্ধতি হলো ProxyJump ডিরেক্টিভ (directive) ব্যবহার করা। এর মাধ্যমে একটি এনক্রিপ্ট করা সংযোগকে বিভিন্ন 'জাম্প হোস্ট' (jump hosts) বা 'ব্যাশন' (bastions) সার্ভারের মধ্য দিয়ে গন্তব্যস্থলে পৌঁছে দেওয়া হয়। নিরাপত্তাগত দিক থেকে এটিই সবচেয়ে নির্ভরযোগ্য পদ্ধতি হিসেবে বিবেচিত হয়, কারণ এখানে এনক্রিপশন প্রক্রিয়াটি 'এন্ড-টু-এন্ড' (end-to-end) বা প্রান্তিক পর্যায় পর্যন্ত বজায় থাকে। এর ফলে মধ্যবর্তী কোনো হোস্ট বা সার্ভার এই এনক্রিপ্ট করা সংযোগের তথ্য উদ্ধার বা ডিক্রিপ্ট করতে সক্ষম হয় না। এই সংযোগ শৃঙ্খলের শুধুমাত্র দুই প্রান্তের ডিভাইসগুলোই একে অপরের ট্রাফিক বা তথ্য আদান-প্রদান এনক্রিপ্ট এবং ডিক্রিপ্ট করতে পারে। ফলশ্রুতিতে, মধ্যবর্তী হোস্টগুলোর মধ্য দিয়ে যখন তথ্য প্রবাহিত হয়, তখন পরিবহণকালেও (in transit) সেই ট্রাফিক সর্বদা এনক্রিপ্ট করা অবস্থায় থাকে এবং তথ্যের গোপনীয়তা অক্ষুণ্ণ থাকে। তবে একটি বিষয় বিশেষভাবে লক্ষণীয় যে, যদি মধ্যবর্তী হোস্টগুলোতে 'পোর্ট ফরওয়ার্ডিং' (port forwarding) সুবিধাটি বন্ধ বা নিষিদ্ধ করে রাখা হয়, তবে এই পদ্ধতিটি ব্যবহার করা সম্ভব হয় না।

২০১৬ সালের আগস্ট মাসে মুক্তি পাওয়া ওপেন-এসএসএইচ (OpenSSH) ৭.৩ সংস্করণ থেকে^[৩] রান-টাইম প্যারামিটার হিসেবে -J অপশনটি ব্যবহারের সুবিধা যুক্ত করা হয়েছে। নিচে এর একটি বাস্তব উদাহরণ প্রদান করা হলো:

$ ssh -J alice@jumphost.example.org:2222 fred@192.168.5.38

উপরের উদাহরণটিতে দেখা যাচ্ছে যে, সংযোগটি প্রথমে 'alice' ব্যবহারকারী হিসেবে ২২২২ পোর্টের মাধ্যমে jumphost.example.org সিস্টেমে প্রবেশ করছে এবং সেখান থেকে 'fred' ব্যবহারকারী হিসেবে মূল গন্তব্য ১৯২.১৬৮.৫.৩৮ আইপি ঠিকানায় পৌঁছে যাচ্ছে। সচরাচর ব্যবহৃত এই অপশন বা বিকল্পগুলোকে বারবার টাইপ না করে ssh_config(5) ফাইলে সংরক্ষণ করে রাখা অত্যন্ত সুবিধাজনক এবং পেশাদার পদ্ধতি হতে পারে। তাই উপরের কমান্ডটির পরিবর্তে একটি শর্টকাট হিসেবে ssh inside ব্যবহার করা যেতে পারে, যদি কনফিগারেশন ফাইলে নিচের ডিরেক্টিভগুলো (directives) আগে থেকেই সঠিকভাবে যুক্ত থাকে:

Host inside
        HostName 192.168.5.38
        ProxyJump alice@jumphost.example.org:2222
        User fred

যদি গন্তব্যে পৌঁছাতে একের অধিক 'হপ' (hop) বা মধ্যবর্তী ধাপের প্রয়োজন হয়, তবে রান-টাইম অপশনে কমা (comma) দিয়ে আলাদা করে একাধিক জাম্প হোস্টের নাম উল্লেখ করা সম্ভব। এক্ষেত্রে তালিকায় যেভাবে হোস্টগুলোর নাম সাজানো থাকবে, সংযোগটি ঠিক সেই ক্রম অনুসারেই প্রতিটি হোস্ট অতিক্রম করবে।

$ ssh -J bob@jumphost1.example.org:22,alice@jumphost2.example.org:2222 fred@192.168.5.38

এই ক্ষেত্রে, ক্লায়েন্ট প্রথমে 'bob' ব্যবহারকারী হিসেবে ২২ পোর্টের মাধ্যমে jumphost1.example.org-এ সংযোগ স্থাপন করবে। এরপর এই হোস্টটি এনক্রিপ্ট করা সংযোগটিকে পরবর্তী ধাপ হিসেবে jumphost2.example.org-এ 'alice' ব্যবহারকারী হিসেবে ২২২২ পোর্টের মাধ্যমে পাঠিয়ে দেবে। সবশেষে, দ্বিতীয় হোস্টটি সেই এনক্রিপ্ট করা সংযোগটিকে মূল গন্তব্য ১৯২.১৬৮.৫.৩৮-এ ডিফল্ট পোর্টের মাধ্যমে 'fred' ব্যবহারকারী হিসেবে পৌঁছে দেবে। এখানে উল্লেখযোগ্য যে, মধ্যবর্তী এই দুটি জাম্প হোস্টের কেউই মূল সংযোগটি ডিক্রিপ্ট করতে পারে না; তারা কেবল সংযোগটিকে শৃঙ্খলের পরবর্তী লিঙ্কে বা ধাপে পৌঁছে দেওয়ার মাধ্যম হিসেবে কাজ করে। একই পথ বা রুটকে কনফিগারেশন ফাইলে একটি শর্টকাট হিসেবেও নিচের মতো করে লিখে রাখা যেতে পারে:

Host inside
        HostName 192.168.5.38
        ProxyJump bob@jumphost1.example.org:22,alice@jumphost2.example.org:2222
        User fred

ফলশ্রুতিতে, কনফিগারেশন ফাইলের সেটিংস সঠিকভাবে বিন্যাস করা থাকলে, দুটি জাম্প হোস্টের মধ্য দিয়ে সংযোগ স্থাপন করার জন্য ব্যবহারকারীকে শুধুমাত্র ssh inside কমান্ডটি টাইপ করতে হয়; বাকি সমস্ত জটিল প্রক্রিয়া এসএসএইচ ক্লায়েন্ট স্বয়ংক্রিয়ভাবে সম্পন্ন করে। এই কনফিগারেশন ফাইলটি অত্যন্ত নমনীয়, যা এমন পরিস্থিতিও দক্ষতার সাথে সামাল দিতে পারে যেখানে প্রতিটি জাম্প হোস্টের জন্য আলাদা আলাদা অ্যাকাউন্টের নাম, ভিন্ন ভিন্ন অথেন্টিকেশন কি (authentication keys) অথবা পৃথক পোর্ট নম্বর ব্যবহারের প্রয়োজন হয়। প্রকৃতপক্ষে, সংযোগের প্রতিটি ধাপে ভিন্ন ভিন্ন পরিচয়পত্র ব্যবহারের সুবিধা এই ব্যবস্থাকে আরও কার্যকর করে তোলে।

Host outside
        HostName bastion.example.org
        Port 22
        IdentifyFile some_key.ed25519
        User alice

Host inside
        HostName 192.168.5.38
        ProxyJump outside
        Port 2022
        IdentityFile another_key.ed25519
        User fred

Host *
        IdentitiesOnly yes

পূর্বের মতোই, এখানেও ssh inside কমান্ডটি প্রদানের মাধ্যমে মূলত ProxyJump ডিরেক্টিভটি সক্রিয় করা হয়। তবে বর্তমান ক্ষেত্রে পার্থক্যটি হলো, এই প্রক্রিয়ায় এসএসএইচ ক্লায়েন্ট প্রথমে ২২ নম্বর পোর্টের মাধ্যমে 'alice' ব্যবহারকারী হিসেবে এবং নির্দিষ্ট some_key.ed25519 কি (key) ব্যবহার করে bastion.example.org সার্ভারের সাথে সংযোগ স্থাপন করে। প্রাথমিক এই সংযোগটি সম্পন্ন হওয়ার পর, পুরো যোগাযোগ ব্যবস্থাটি এনক্রিপ্টেড বা সুরক্ষিত থাকে এবং সেখান থেকে সংযোগটি সরাসরি 192.168.5.38 হোস্টের দিকে অগ্রসর হয়। চূড়ান্ত পর্যায়ে, এটি ২০২২ নম্বর পোর্টের মাধ্যমে 'fred' ব্যবহারকারী হিসেবে লগ-ইন প্রক্রিয়া সম্পন্ন করে। এখানে IdentitiesOnly সেটিংসটি অত্যন্ত গুরুত্বপূর্ণ, বিশেষ করে যখন কোনো এসএসএইচ এজেন্ট (SSH agent) ব্যবহার করা হয় এবং সেই এজেন্টে অনেকগুলো কি (key) সংরক্ষিত থাকে। এই সেটিংসটি নিশ্চিত করে যেন প্রথম প্রচেষ্টাতেই সঠিক কি-টি ব্যবহার করা হয়। অন্যথায়, এসএসএইচ ক্লায়েন্ট কোন ক্রম অনুসারে কি-গুলো পরীক্ষা করবে তা অনিশ্চিত হয়ে পড়ে এবং সঠিক কি-টি ব্যবহারের আগেই অনুমোদিত ব্যর্থ সংযোগের সীমা (failed connections limit) অতিক্রম করে যাওয়ার ঝুঁকি তৈরি হয়। এর পাশাপাশি এটিও অনস্বীকার্য যে, প্রয়োজনবোধে ব্যবহারকারী সরাসরি ssh outside শর্টকাট কমান্ডটি ব্যবহার করেও bastion.example.org হোস্টে পৌঁছাতে পারেন।

প্রযুক্তিগত সীমাবদ্ধতার কারণে একই হোস্ট কনফিগারেশন ব্লকের (stanza) মধ্যে ProxyJump এবং ProxyCommand—এই উভয় ডিরেক্টিভ একসাথে ব্যবহার করা সম্ভব নয়। কনফিগারেশন ফাইলে যে ডিরেক্টিভটি প্রথমে পাওয়া যায়, ক্লায়েন্ট সেটিকেই গ্রহণ করে এবং অন্যটিকে উপেক্ষা করে। নিরাপত্তার দৃষ্টিকোণ থেকে, বিশেষ করে যখন তুলনামূলকভাবে কম বিশ্বস্ত বা অনিরাপদ সিস্টেমের মধ্য দিয়ে সংযোগ পরিচালনা করতে হয়, তখন 'এজেন্ট ফরওয়ার্ডিং'-এর (agent forwarding) তুলনায় ProxyJump ব্যবহার করা অনেক বেশি নিরাপদ এবং শ্রেয় বলে বিবেচিত হয়।

এসএসএইচ কনফিগারেশনের ক্ষেত্রে কোন জাম্প হোস্টটি ব্যবহার করা হবে, তা বিভিন্ন জটিল প্যাটার্ন বা শর্তের মাধ্যমে নির্ধারণ করা সম্ভব। শুধু তাই নয়, ক্লায়েন্ট বর্তমানে কোন নেটওয়ার্কের অধীনে রয়েছে কিংবা উপলব্ধ নেটওয়ার্কগুলোর সংযোগের ধরন কেমন, তার ওপর ভিত্তি করে অত্যন্ত সূক্ষ্ম ও জটিল সিদ্ধান্ত গ্রহণ করা যায়। এই ধরনের গতিশীল সিদ্ধান্ত গ্রহণের প্রক্রিয়াটি মূলত এসএসএইচ কনফিগারেশন ফাইলের Match exec ডিরেক্টিভ বা ডিরেক্টিভ ব্যবহারের মাধ্যমে সম্পন্ন করা হয়। নিচে এমন দুটি বাস্তবধর্মী উদাহরণ তুলে ধরা হলো, যেখানে দেখানো হয়েছে যে কীভাবে বিভিন্ন মধ্যবর্তী হোস্টের (intermediate hosts) মাধ্যমে সংযোগ স্থাপনের সময় স্বয়ংক্রিয়ভাবে ProxyJump ব্যবহারের সিদ্ধান্ত নেওয়া যায়। প্রথম উদাহরণটি এমন একটি পরিস্থিতির কথা বিবেচনা করে তৈরি করা হয়েছে, যেখানে ব্যবহারকারী এমন একটি রিমোট মেশিনে সংযোগ করার চেষ্টা করছেন যেটিতে শুধুমাত্র আইপিভি৬ (IPv6) সমর্থন বিদ্যমান, কিন্তু ব্যবহারকারীর স্থানীয় নেটওয়ার্কে কোনো আইপিভি৬ সংযোগ নেই^{[৪] [৫]}। দ্বিতীয় ক্ষেত্রটি^[৬] মূলত সেই সব পরিস্থিতির জন্য প্রযোজ্য, যখন লক্ষ্যবস্তু বা টার্গেট মেশিনগুলো সম্পূর্ণ ভিন্ন একটি নেটওয়ার্কের অধীনে অবস্থান করে।

Match host ipv6only.example.org
        User fred

Match host ipv6only.example.org !exec "route -n get -inet6 %h"
        ProxyJump dualstack.example.org

উপরোক্ত কনফিগারেশন বা সেটিংস প্রয়োগ করা হলে, ipv6only.example.org নামক মেশিনে সংযোগ স্থাপনের সময় সেটি কেবল তখনই একটি জাম্প হোস্টের মাধ্যমে পরিচালিত হবে, যদি গন্তব্য মেশিনটি সরাসরি আইপিভি৬ প্রোটোকলের মাধ্যমে সংযোগযোগ্য না হয়।

তবে উল্লেখ্য যে, জিএনইউ/লিনাক্স (GNU/Linux) অপারেটিং সিস্টেমগুলোতে এই পদ্ধতিটি বাস্তবায়ন করা কিছুটা জটিল হতে পারে, কারণ সেখানে উপলব্ধ নেটওয়ার্কিং টুলস বা সরঞ্জামগুলোর কার্যপদ্ধতি কিছুটা ভিন্ন প্রকৃতির হয়ে থাকে।

Match host ipv6only.example.org
        User fred

# and then either option one

Match host ipv6only.example.org !exec "/sbin/ip route get $(host -t AAAA %h | sed 's/^.* //')"
        ProxyJump dualstack.example.org

# or option two

Match host ipv6only.example.org !exec "/sbin/ip route get $(getent ahostsv6 google.fi | sed -n -e '/STREAM/ s/ .*//p')"
        ProxyJump dualstack.example.org

এই প্রক্রিয়ায় ব্যবহৃত স্ক্রিপ্টগুলো মূলত ব্যবহারকারীর সিস্টেমে নির্ধারিত $SHELL এনভায়রনমেন্ট ভেরিয়েবলের মাধ্যমে নির্দিষ্ট করা শেল ইন্টারপ্রেটার ব্যবহার করে কার্যকর বা রান করা হয়। এখানে একটি বিষয় বিশেষভাবে মনে রাখা প্রয়োজন যে, এসএসএইচ কনফিগারেশনের ডিরেক্টিভগুলো সর্বদা 'প্রথম ম্যাচ' (first match) নিয়ম অনুসরণ করে প্রয়োগ করা হয়। এর ফলে, অধিকতর সুনির্দিষ্ট বা স্পেসিফিক কনফিগারেশনগুলো ফাইলের উপরের দিকে রাখা উচিত এবং সাধারণ বা জেনেরিক কনফিগারেশনগুলো ফাইলের শেষের দিকে স্থান পাওয়া বাঞ্ছনীয়।

লক্ষ্যবস্তু হোস্টের নির্দিষ্ট পোর্টে সরাসরি সংযোগ আছে কি না তা যাচাই করার জন্য আরেকটি কার্যকর পদ্ধতি হলো nc(1) বা নেটক্যাট (netcat) ইউটিলিটি ব্যবহার করা।

Match !host jumphost.example.org !exec "nc -z -w 1 %h %p"
        ProxyJump jumphost.example.org

উপরে আলোচিত উদাহরণটি মূলত এমন একটি বিশেষ পরিস্থিতিকে নির্দেশ করে যেখানে গন্তব্য সার্ভারে সরাসরি পৌঁছানো সম্ভব না হলে সমস্ত সংযোগকে জাম্প হোস্টের মধ্য দিয়ে প্রবাহিত করা হয়। তবে এখানে ধরে নেওয়া হয়েছে যে শুধুমাত্র একটি জাম্প হোস্ট ব্যবহৃত হচ্ছে। অধিকতর নির্ভুলতা এবং সুনির্দিষ্ট নিয়ন্ত্রণের জন্য এই কনফিগারেশনটিকে অন্যান্য Match শর্তাবলীর সাথে সমন্বয় করা যেতে পারে, যা নেটওয়ার্ক ব্যবস্থাপনাকে আরও দক্ষ করে তোলে।

Match host 192.168.1.* !host jumphostone.example.org !exec "nc -z -w 1 %h %p"
        ProxyJump jumphostone.example.org

Match host 192.168.2.* !host jumphosttwo.example.org !exec "nc -z -w 1 %h %p"
        ProxyJump jumphosttwo.example.org

এই কনফিগারেশনটি ১৯২.১৬৮.১.* নেটওয়ার্কে প্রেরিত সমস্ত সংযোগ শনাক্ত করবে এবং যদি সরাসরি কোনো সংযোগ উপলব্ধ না থাকে, তবে সেগুলোকে প্রথম জাম্প হোস্টের মাধ্যমে চালিত করবে। একইভাবে, এটি ১৯২.১৬৮.২.* নেটওয়ার্কের ক্ষেত্রেও যদি সরাসরি সংযোগ স্থাপন করা না যায়, তবে স্বয়ংক্রিয়ভাবে দ্বিতীয় জাম্প হোস্ট ব্যবহার করবে। তবে লক্ষণীয় যে, যদি কোনো ক্ষেত্রে সরাসরি সংযোগের সুযোগ থাকে, তবে ক্লায়েন্ট কোনো জাম্প হোস্টের সাহায্য ছাড়াই সরাসরি গন্তব্যে পৌঁছাতে সক্ষম হবে।

অবশ্য যদি ক্লায়েন্ট মেশিনটি মোবাইল বা বহনযোগ্য হয় এবং এটি একই আইপি নাম্বারিং বিশিষ্ট বিভিন্ন নেটওয়ার্কের মধ্যে স্থানান্তরিত হয়, তবে এই পরীক্ষা বা যাচাইকরণ প্রক্রিয়াটি আরও জটিল আকার ধারণ করতে পারে। সেক্ষেত্রে নেটওয়ার্কের অবস্থান এবং আইপি অ্যাড্রেসের ওভারল্যাপিং বিবেচনায় নিয়ে শর্তাবলী আরও সুচারুভাবে সাজানোর প্রয়োজন হতে পারে।

যখন এমন কোনো জাম্প হোস্টের মধ্য দিয়ে সংযোগ স্থাপন করতে হয় যার সংশ্লিষ্ট ইন্টারফেসগুলো ভিন্ন ভিন্ন রাউটিং টেবিল বা rdomain(4)-এর অধীনে থাকে, তখন রাউটিং টেবিলগুলো ম্যানুয়ালি বা হাতে-কলমে পরিচালনা করার প্রয়োজন পড়ে। সুনির্দিষ্টভাবে বলতে গেলে, এর অর্থ হলো ট্রানজিটের ক্ষেত্রে অপেক্ষাকৃত পুরনো একটি পদ্ধতিতে ফিরে যাওয়া। এই পদ্ধতিটি মূলত netcat টুলের ওপর নির্ভর করে এবং আধুনিক ProxyJump-এর পরিবর্তে এখানে ProxyCommand ব্যবহার করা হয়, যাতে কমান্ডের মাঝপথে route(8) কমান্ডটি যুক্ত করা সম্ভব হয়। নিচে রান-টাইম প্যারামিটার ব্যবহার করে আর-ডোমেইন ২ (rdomain 2) এর মধ্য দিয়ে সংযোগ স্থাপনের একটি বাস্তব উদাহরণ প্রদান করা হলো:

$ ssh -o ProxyCommand="ssh user1@jumphost.example.org route -T 2 exec nc %h %p" fred@server.example.org

এই কনফিগারেশনটিকে স্থায়ী রূপ দিতে এবং ব্যবহারের সুবিধার্থে ক্লায়েন্টের কনফিগারেশন ফাইল অর্থাৎ ssh_config(5)-এ প্রয়োজনীয় তথ্য যুক্ত করা যেতে পারে:

Host jump jumphost.example.org
        HostName jumphost.example.org
        User user1
        IdentitiesOnly yes
        IdentityFile ~/.ssh/jump_key

Host server server.example.com
        HostName 10.100.200.44
        User fred
        IdentitiesOnly yes
        IdentityFile ~/.ssh/inside_key
        ProxyCommand ssh jump route -T 2 exec nc %h %p

একবার এই সেটিংসগুলো সঠিকভাবে সম্পন্ন হলে, ব্যবহারকারী শুধুমাত্র ssh server কমান্ডটি ব্যবহার করেই লোকাল এরিয়া নেটওয়ার্ক বা ল্যান-এ অবস্থিত হোস্টের সাথে জাম্প হোস্টের মাধ্যমে সংযুক্ত হতে পারবেন। এক্ষেত্রে কনফিগারেশন ফাইলে থাকা সমস্ত প্যারামিটার এবং রাউটিং নির্দেশাবলী স্বয়ংক্রিয়ভাবে কার্যকর হবে।

পুরনো আমলের ProxyCommand ডিরেক্টিভ ব্যবহারের বিস্তারিত পদ্ধতি সম্পর্কে জানতে এই অধ্যায়ের পরবর্তী অংশে থাকা ProxyCommand with Netcat অনুচ্ছেদটি দেখুন। তবে রাউটিং টেবিল সংক্রান্ত কোনো বিশেষ জটিলতা না থাকলে, পূর্বে বর্ণিত আধুনিক ProxyJump পদ্ধতিটি ব্যবহার করাই হবে সবচেয়ে যুক্তিযুক্ত এবং পেশাদারী পন্থা।

বেশ কিছু লোকাল এরিয়া নেটওয়ার্ক বা ল্যানের (LAN) নিজস্ব অভ্যন্তরীণ ডোমেইন নেম সার্ভিস (DNS) থাকে, যার মাধ্যমে তারা নেটওয়ার্কের অন্তর্ভুক্ত ডিভাইসগুলোর জন্য আলাদা হোস্ট নেম বরাদ্দ করে থাকে। এই নামগুলো সাধারণত ল্যানের বাইরের কোনো সিস্টেম বা কম্পিউটার থেকে সরাসরি অ্যাক্সেস করা সম্ভব হয় না। ফলশ্রুতিতে, বাইরের কোনো নেটওয়ার্ক থেকে -J অথবা ProxyJump অপশন ব্যবহার করা অসম্ভব হয়ে পড়ে, কারণ ক্লায়েন্ট কম্পিউটারটি জাম্প হোস্টের ওপাশে থাকা ল্যানের অভ্যন্তরীণ নামগুলো খুঁজে বের করতে বা 'লুকআপ' করতে ব্যর্থ হয়। তবে, জাম্প হোস্টটি যেহেতু নিজেই ওই ল্যানের একটি অংশ, তাই এটি সহজেই ওই অভ্যন্তরীণ নামগুলো শনাক্ত করতে পারে। এই কারিগরি সমস্যার সমাধান হিসেবে ProxyCommand অপশনটি ব্যবহার করা যেতে পারে, যা জাম্প হোস্টের ভেতরে থাকা একটি এসএসএইচ ক্লায়েন্টকে কল করে ল্যানের অভ্যন্তরীণ নামগুলো খুঁজে বের করতে এবং সংযোগ স্থাপনে সহায়তা করে।

নিচের কমান্ডগুলোর ক্রমানুসারে প্রথমে দেখানো হয়েছে যে, ল্যানের ভেতরের হোস্টের জন্য বাইরের ডিএনএস (DNS) রেকর্ডে কোনো তথ্য নেই। এরপর জাম্প হোস্টের এসএসএইচ ক্লায়েন্ট এবং -W অপশন ব্যবহার করে জাম্প হোস্টের মাধ্যমে অভ্যন্তরীণ হোস্টের সাথে একটি সংযোগ স্থাপন করা হয়েছে। যদিও নিরাপত্তার খাতিরে কি (Key) বা ডিজিটাল সার্টিফিকেট ব্যবহার করে সংযোগ স্থাপন করাই আধুনিক নেটওয়ার্কিংয়ে সর্বোত্তম এবং সুপারিশকৃত পদ্ধতি, তবে এই উদাহরণে পাসওয়ার্ড ব্যবহারের প্রক্রিয়াটি দেখানো হয়েছে যাতে সংযোগ স্থাপনের প্রতিটি ধাপ ব্যবহারকারীর কাছে আরও স্পষ্টভাবে দৃশ্যমান হয়:

$ host fuloong04.localnet.lan
Host fuloong04.localnet.lan not found: 3(NXDOMAIN)

$ host fuloong04
Host fuloong04 not found: 2(SERVFAIL)

$ ssh -o ProxyCommand="ssh -W fuloong04.localnet.lan:22 jumphost.example.org" fred@fuloong04
fred@jumphost.example.org's password: 
fred@fuloong04's password: 
Last login: Sun May 24 04:06:21 2020 from 203.0.113.131
OpenBSD 6.7-current (GENERIC) #44: Sun May 24 04:06:31 MDT 2020

$ host fuloong04.localnet.lan
fuloong04.localnet.lan has address 10.10.10.193

এখানে ব্যবহৃত -W অপশনটি নিশ্চিত করে যে, সংযোগটি একটি সুরক্ষিত চ্যানেলের মাধ্যমে ফরোয়ার্ড করা হচ্ছে এবং এটি জাম্প হোস্টের মধ্য দিয়ে যাওয়ার সময় ডিক্রিপ্ট বা উন্মুক্ত হয় না, বরং এনক্রিপ্টেড অবস্থাতেই সরাসরি গন্তব্যে পৌঁছে যায়। এই প্রক্রিয়াটি সফলভাবে সম্পন্ন করার জন্য জাম্প হোস্টের দুটি বিশেষ সক্ষমতা থাকা জরুরি: প্রথমত, একে ল্যানের অভ্যন্তরীণ নামগুলোর ডিএনএস লুকআপ করতে সক্ষম হতে হবে এবং দ্বিতীয়ত, উক্ত জাম্প হোস্টে একটি এসএসএইচ ক্লায়েন্ট সফটওয়্যার অবশ্যই বিদ্যমান থাকতে হবে।

ক্লায়েন্ট যখন প্রথমবার হোস্ট কি (host key) সংগ্রহ করে এবং ব্যবহারকারীর কাছে এটি গ্রহণ করার অনুমতি প্রার্থনা করে, তখন প্রাথমিক সংযোগটি দেখতে কেমন হয় তা নিচে বিস্তারিতভাবে তুলে ধরা হলো:

$ ssh -o ProxyCommand="ssh -W fuloong04.localnet.lan:22 jumphost.example.org" fred@fuloong04
fred@jumphost.example.org's password: 
The authenticity of host 'fuloong04 (<no hostip for proxy command>)' can't be established.
ECDSA key fingerprint is SHA256:TGH6fbXRswaP7iR1OBrJuhJ+c1JiEvvc2GJ2krqaJy4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'fuloong04' (ECDSA) to the list of known hosts.
fred@fuloong04's password: 
Last login: Thu May  7 21:06:18 2020 from 203.0.113.131
OpenBSD 6.7-current (GENERIC) #44: Sun May 24 04:06:21 MDT 2020

একটি বিষয় বিশেষভাবে লক্ষ্যণীয় যে, কমান্ডের সাধারণ অবস্থানে একটি নাম প্রদান করা হলেও এটি মূলত কোন হোস্ট কি-টি (host key) এই সংযোগের সাথে যুক্ত হবে তা শনাক্ত করতে ব্যবহৃত হয়। সেই প্রাথমিক সংযোগটি সফলভাবে সম্পন্ন হওয়ার পর, গন্তব্য হিসেবে উল্লিখিত fuloong04 নামের বিপরীতে একটি হোস্ট কি স্বয়ংক্রিয়ভাবে known_hosts ফাইলে সংরক্ষিত হয়। প্রকৃতপক্ষে, এই কি-টি ProxyCommand অপশনে দেওয়া নামের জন্য সংরক্ষিত হয় না, বরং সরাসরি গন্তব্য হোস্টের নামের জন্যই সংরক্ষিত হয়।

$ ssh-keygen -F fuloong04
# Host fuloong04 found: line 55 
fuloong04 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKwZOXY7wP1lCvlv5YC64QvWPxSrhCa0Dn+pK4b97jjeUqGy/wII5zCnuv6WZKCEjSQnKFP+8K9cmSGnIvUisPg= 

$ ssh-keygen -F fuloong04.localnet.lan

এখানে লক্ষ্যণীয় যে, টার্গেট হোস্ট নেম বা গন্তব্য কম্পিউটারের নামটি মূলত কোন হোস্ট কি (host keys) প্রত্যাশা করা হচ্ছে তা শনাক্ত করার জন্য ব্যবহৃত হয়। এর সাথে ProxyCommand অপশনে প্রদান করা প্রকৃত হোস্ট নেম বা আইপি অ্যাড্রেসের কোনো সরাসরি সম্পর্ক নেই। এমনকি এটি একটি যথেচ্ছ বা র‍্যান্ডম স্ট্রিংও হতে পারে। উপরের উদাহরণে fuloong04 নামটি এককভাবে ব্যবহৃত হয়েছে, তবে এটি যেকোনো নাম হতে পারে। এমনকি HostKeyAlias অপশনটি ব্যবহার করে এই নামটিকে পরিবর্তন বা ওভাররাইড করাও সম্ভব।

সচরাচর যেমনটি দেখা যায়, টাইপিংয়ের কষ্ট কমাতে এবং ভুলভ্রান্তি এড়ানোর জন্য এই এসএসএইচ অপশনগুলোকে ssh_config(5) ফাইলের ভেতরে একটি স্থায়ী শর্টকাট হিসেবে সংরক্ষণ করে রাখা যেতে পারে। এর ফলে ব্যবহারকারীকে বারবার দীর্ঘ কমান্ড টাইপ করতে হয় না এবং কমান্ডে ভুল হওয়ার সম্ভাবনাও হ্রাস পায়। পুরনো আমলের ProxyCommand ডিরেক্টিভ ব্যবহারের বিস্তারিত জানতে এই অধ্যায়ের পরবর্তী অংশে থাকা ProxyCommand with Netcat অনুচ্ছেদটি দেখা যেতে পারে।

টানেলিং (Tunneling), যাকে পোর্ট ফরওয়ার্ডিংও বলা হয়, হলো এমন একটি প্রক্রিয়া যেখানে একটি মেশিনের নির্দিষ্ট পোর্টকে অন্য একটি মেশিনের পোর্টের সাথে সংযুক্ত বা ম্যাপ করা হয়। এই পদ্ধতির মাধ্যমে দূরবর্তী কোনো সার্ভিস বা পরিষেবাকে এমনভাবে ব্যবহার করা যায় যেন সেটি স্থানীয় বা লোকাল মেশিনেই চলছে। আবার রিভার্স পোর্ট ফরওয়ার্ডিংয়ের ক্ষেত্রে এর ঠিক উল্টোটি ঘটে। এই ফরওয়ার্ডিং প্রক্রিয়াটি সরাসরি এক মেশিন থেকে অন্য মেশিনে করা যেতে পারে অথবা মাঝপথে অন্য কোনো মেশিনকে মাধ্যম হিসেবে ব্যবহার করেও সম্পন্ন করা সম্ভব।

যখন সুবিধা থাকে, তখন ProxyJump অপশনটি ব্যবহার করাই সবচেয়ে শ্রেয় বা সুবিধাজনক। পোর্ট ফরওয়ার্ডিংয়ের ক্ষেত্রেও এটি অত্যন্ত সহজভাবে কাজ করে। নিচে একটি উদাহরণ দেওয়া হলো যেখানে localhost থেকে machine2 পর্যন্ত একটি টানেল তৈরি করা হয়েছে, যা একটি জাম্প হোস্টের (jump host) পেছনে অবস্থিত।

$ ssh -L 8900:localhost:80 -J jumphost.example.org machine2

এর ফলে localhost-এর ৮৯০০ নম্বর পোর্টটি আসলে machine2-এর ৮০ নম্বর পোর্টের একটি টানেল হিসেবে কাজ করবে। বিষয়টি এতটাই সহজ হতে পারে। সাধারণ ProxyJump অপশনের মতোই, কমা (comma) ব্যবহার করে একাধিক জাম্প হোস্টকে একটির পর একটি যুক্ত বা চেইন করা সম্ভব।

$ ssh -L 8900:localhost:80 -J jumphost1.example.org,jumphost2.localnet.lan machine2

প্রয়োজন অনুযায়ী এই পদ্ধতিতে বিকল্প অ্যাকাউন্ট এবং পোর্টও নির্দিষ্ট করে দেওয়া যেতে পারে। এই পদ্ধতিটি কি (key) বা সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের ক্ষেত্রে সবচেয়ে ভালো কাজ করে। এই প্রক্রিয়ায় এসএসএইচ-এর অন্যান্য সমস্ত অপশনও ব্যবহার করা সম্ভব, যেমন X11 ফরওয়ার্ডিংয়ের জন্য -X অপশন। একইভাবে সক্স (SOCKS) প্রক্সি তৈরির জন্য -D অপশনটিও ব্যবহার করা যেতে পারে।

টর নেটওয়ার্কের মাধ্যমে এসএসএইচ ব্যবহার করার প্রধানত দুটি উপায় রয়েছে। প্রথমটি হলো টর নেটওয়ার্ক ব্যবহার করে ক্লায়েন্ট পরিচালনা করা, আর দ্বিতীয়টি হলো এসএসএইচ সার্ভারটিকে একটি অনিয়ন (Onion) সার্ভিস হিসেবে হোস্ট করা। টরের মাধ্যমে ক্লায়েন্ট চালালে ব্যবহারকারীর প্রকৃত উৎস বা অরিজিন গোপন রাখা সম্ভব হয়। অন্যদিকে, সঠিক সতর্কতা অবলম্বন করলে টরের পেছনে সার্ভার হোস্ট করার মাধ্যমে এর প্রকৃত অবস্থান বা লোকেশন লুকিয়ে রাখা যায়। এমনকি এই দুটি পদ্ধতিকে একত্রে সমন্বয় করেও ব্যবহার করা সম্ভব।

এই নির্দেশাবলীতে ৯০৫০ (9050) পোর্ট নম্বরটি ব্যবহার করা হয়েছে, যা মূলত টর (Tor) সিস্টেম ডেমনের (system daemon) জন্য নির্ধারিত। আপনি যদি টর ব্রাউজার (Tor Browser) ব্যবহার করেন, তবে এর পরিবর্তে ৯১৫০ (9150) পোর্টটি ব্যবহার করুন এবং নিশ্চিত করুন যে টর ব্রাউজারটি আপনার সিস্টেমে সচল বা খোলা রয়েছে।

এসএসএইচ (ssh(1))-কে একটি সক্স (SOCKS) প্রক্সি হিসেবে ব্যবহার করার পাশাপাশি, এসএসএইচ প্রোটোকলটিকেই অন্য কোনো সক্স প্রক্সির মাধ্যমে টানেলিং করা সম্ভব, যেমন টর (Tor)। টর হলো একটি বিশেষায়িত অ্যানোনিমিটি বা পরিচয় গোপনকারী সফটওয়্যার এবং এর সাথে সংশ্লিষ্ট একটি নেটওয়ার্ক ব্যবস্থা, যা ব্যবহারকারীর প্রকৃত অবস্থান এবং নেটওয়ার্কের যাবতীয় কর্মকাণ্ড গোপন রাখার জন্য বিভিন্ন রিলে হোস্ট (relay hosts) বা মধ্যবর্তী সার্ভার ব্যবহার করে থাকে। এই নেটওয়ার্কের স্থাপত্য বা আর্কিটেকচার এমনভাবে ডিজাইন করা হয়েছে যাতে এটি যেকোনো ধরনের নজরদারি (surveillance) এবং ট্রাফিক অ্যানালাইসিস বা তথ্য আদান-প্রদানের গতিবিধি বিশ্লেষণ প্রতিরোধ করতে পারে। যেসব ক্ষেত্রে এসএসএইচ ক্লায়েন্টের সংযোগের উৎসস্থল বা অরিজিন পয়েন্ট গোপন রাখা অত্যন্ত জরুরি, সেসব ক্ষেত্রে টর নেটওয়ার্ক ব্যবহার করা একটি অত্যন্ত কার্যকর সমাধান হতে পারে। এছাড়াও, টর নেটওয়ার্ক ব্যবহার করে বিভিন্ন অনিয়ন সার্ভিস (onion services) বা ডার্ক ওয়েব সাইটগুলোর সাথেও সরাসরি সংযোগ স্থাপন করা সম্ভব। তবে দুর্ভাগ্যবশত, টর নেটওয়ার্কের মাধ্যমে সংযোগ স্থাপনের ফলে প্রায়শই নেটওয়ার্কের গতি কিছুটা ধীর হয়ে যায় এবং ল্যাটেন্সি বা সংযোগের বিলম্ব পরিলক্ষিত হয়।

ক্লায়েন্টের প্রান্ত থেকে দেখলে, টর একটি সাধারণ সক্স৫ (SOCKS5) প্রক্সি হিসেবে কাজ করে এবং একে অন্য যেকোনো সক্স৫ প্রক্সির মতোই অনায়াসে ব্যবহার করা যায়। ফলস্বরূপ, এই প্রক্রিয়াটি মূলত একটি সক্স প্রক্সির মাধ্যমে এসএসএইচ প্রোটোকলকে টানেলিং করার একটি পদ্ধতি হিসেবে গণ্য হয়। যদি আপনার সিস্টেমে torsocks ইউটিলিটিটি উপলব্ধ থাকে, তবে এটি করার সবচেয়ে সহজ উপায় হলো এসএসএইচ কমান্ডের ঠিক আগে এই ইউটিলিটিটি যুক্ত করা:^[৭]

$ torsocks ssh fred@server.example.org

তবে, torsocks ছাড়াও নেটক্যাট (netcat) ব্যবহার করে এই একই কাজ সফলভাবে সম্পন্ন করা সম্ভব:

$ ssh -o ProxyCommand="nc -X 5 -x localhost:9050 %h %p" fred@server.example.org

এই ধরনের সংযোগ স্থাপনের সময় অত্যন্ত সতর্ক থাকতে হয় যাতে কোনোভাবেই গুরুত্বপূর্ণ তথ্য ফাঁস (information leak) না ঘটে। বিশেষ করে, ডিএনএস লুকআপ (DNS lookup) বা ডোমেইন নাম খোঁজার প্রক্রিয়াটি অবশ্যই টর নেটওয়ার্কের মাধ্যমেই সম্পন্ন হওয়া উচিত এবং এটি যেন কোনোভাবেই ক্লায়েন্ট নিজে সরাসরি সম্পন্ন না করে। আপনি যদি সংযোগের ক্ষেত্রে VerifyHostKeyDNS অপশনটি ব্যবহার করেন, তবে নিশ্চিত করুন যে এর মান 'no' হিসেবে সেট করা আছে। যদিও ডিফল্ট বা স্বয়ংক্রিয়ভাবে এটি 'no' থাকে, তবুও নিরাপত্তার খাতিরে একবার যাচাই করে নেওয়া বুদ্ধিমানের কাজ হবে। যেকোনো ধরনের সন্দেহ বা অনিশ্চয়তা দূর করার জন্য কমান্ডটি চালানোর সময় রান-টাইম আর্গুমেন্ট হিসেবে এটি সরাসরি যুক্ত করে দেওয়া যেতে পারে।

$ ssh -o VerifyHostKeyDNS=no -o ProxyCommand="nc -X 5 -x localhost:9050 %h %p" server.example.org

নেটক্যাট-ওপেনবিএসডি (netcat-openbsd) nc(1) প্যাকেজটি ব্যবহার করলে দেখা যায় যে এটি কোনো ডিএনএস তথ্য ফাঁস করে না। তবে অন্যান্য নেটক্যাট প্যাকেজগুলোর ক্ষেত্রে ফলাফল ভিন্ন হতে পারে এবং সেগুলো একইভাবে কাজ নাও করতে পারে। এছাড়া এই পদ্ধতির মাধ্যমে অন্য কোনো উপায়ে তথ্য ফাঁস হওয়ার সম্ভাবনা আছে কি না, সে বিষয়েও পুরোপুরি নিশ্চিত হওয়া কঠিন। তাই আপনার সিস্টেমের পরিবেশ এবং কনফিগারেশনের ওপর ভিত্তি করে ফলাফলের তারতম্য হতে পারে (YMMV)।

যেহেতু এই পদ্ধতিগুলো টর নেটওয়ার্কের মাধ্যমে প্রক্সি হিসেবে কাজ করে, তাই এগুলোর মাধ্যমে অনিয়ন সার্ভিসগুলোর (onion services) সাথেও সংযোগ স্থাপন করা সম্ভব হবে। আপনি চাইলে এসএসএইচ-কে এমনভাবে কনফিগার করতে পারেন যাতে এটি অন্যান্য সাধারণ সংযোগগুলোকে প্রভাবিত না করেই স্বয়ংক্রিয়ভাবে টরের মাধ্যমে এই অনিয়ন সার্ভিসগুলোতে সংযুক্ত হতে পারে। এর জন্য আপনার সিস্টেমের প্রধান কনফিগারেশন ফাইল ssh_config অথবা ব্যবহারকারীর নিজস্ব কনফিগারেশন ফাইল ~/.ssh/config-এ নিচের মতো একটি এন্ট্রি বা কোড ব্লক যুক্ত করা যেতে পারে:

Host *.onion
        VerifyHostKeyDNS no
        ProxyCommand nc -x localhost:9050 -X 5 %h %p

ব্যবহারকারী চাইলে যেকোনো Host ঘোষণার পূর্বে অতিরিক্ত নিরাপত্তা ও সুবিধার জন্য CanonicalizeHostname yes কমান্ডটি যুক্ত করতে পারেন। এর ফলে, আপনি যদি আপনার অনিয়ন সার্ভিসগুলোর (onion services) জন্য কোনো নির্দিষ্ট ডাকনাম বা নিকনেম ব্যবহার করেন, তবে এসএসএইচ হোস্টনেমটি একটি .onion ঠিকানা হিসেবে নিশ্চিত করার পর স্বয়ংক্রিয়ভাবে এই কনফিগারেশনটি প্রয়োগ করবে।

ক্লায়েন্ট এবং একটি নির্দিষ্ট সীমা পর্যন্ত সার্ভারের গোপনীয়তা ও পরিচয়হীনতা (anonymity) নিশ্চিত করার লক্ষ্যে একটি .onion ঠিকানার মাধ্যমে এসএসএইচ পরিষেবা প্রদান করা সম্ভব। এই প্রক্রিয়ায় ক্লায়েন্ট বা সার্ভার—কেউই একে অপরের প্রকৃত ভৌগোলিক অবস্থান সম্পর্কে জানতে পারে না। তবে সার্ভারটিকে সম্পূর্ণভাবে পরিচয়হীন করার জন্য বেশ কিছু অতিরিক্ত সতর্কতামূলক ব্যবস্থা গ্রহণ করা অপরিহার্য এবং ব্যবহারকারীদের ওপর অন্তত ন্যূনতম স্তরের আস্থা রাখা এক্ষেত্রে প্রয়োজন হতে পারে।

টর (Tor) নেটওয়ার্কের মাধ্যমে এসএসএইচ উপলব্ধ করার প্রাথমিক ধাপ হলো sshd_config(5) ফাইলটি এমনভাবে বিন্যাস বা সেটআপ করা, যাতে এসএসএইচ পরিষেবাটি শুধুমাত্র এবং কেবলমাত্র লোকালহোস্ট (localhost) ঠিকানায় সক্রিয় থাকে।

ListenAddress 127.0.0.1:22

যদি একাধিক পোর্ট ব্যবহারের প্রয়োজন হয়, তবে সেক্ষেত্রে একাধিক ListenAddress ডিরেক্টিভ (directives) ব্যবহার করা যেতে পারে। তবে মনে রাখা জরুরি যে, প্রদত্ত যেকোনো ListenAddress ডিরেক্টিভ অবশ্যই ১২৭.০.০.০/৮ (127.0.0.0/8) নেটওয়ার্কের অন্তর্ভুক্ত ঠিকানা অথবা এর সমতুল্য আইপিভি৬ (IPv6) ঠিকানার সাথে যুক্ত বা বাইন্ড করা উচিত। যেকোনো ওয়ান (WAN) বা ল্যান (LAN) ঠিকানায় এই পরিষেবাটি সক্রিয় রাখলে টর নেটওয়ার্কের মূল উদ্দেশ্য অর্থাৎ পরিচয়হীনতা ব্যাহত হতে পারে; কারণ এর ফলে এসএসএইচ সার্ভারের পাবলিক কি (public keys) ব্যবহার করে সেটিকে শনাক্ত করা সম্ভব হয়ে পড়ে।

টরের মাধ্যমে এসএসএইচ পরিচালনার পরবর্তী পদক্ষেপ হলো একটি টর ক্লায়েন্ট সেটআপ করা, যেখানে একটি হিডেন সার্ভিস (hidden service) স্থানীয় এসএসএইচ সার্ভারের দিকে ফরওয়ার্ড করা থাকবে। টর প্রজেক্টের অফিসিয়াল ওয়েবসাইটে প্রদত্ত টর ক্লায়েন্ট ইনস্টল করার নির্দেশনাবলী অনুসরণ করুন^[৮]; তবে যদি ওয়েব সার্ভারের প্রয়োজন না থাকে, তবে সেই সংক্রান্ত অংশটি এড়িয়ে যেতে পারেন। এরপর sshd(8) যে ঠিকানাটি ব্যবহার করছে, তার সাথে সামঞ্জস্য রেখে সঠিক HiddenServicePort ডিরেক্টিভটি যুক্ত করুন।

HiddenServicePort 22 127.0.0.1:22

প্রয়োজনবোধে অতিরিক্ত পোর্টের জন্য আরও ডিরেক্টিভ যোগ করা যেতে পারে। টরের আধুনিক সংস্করণগুলোতে ৫৬-অক্ষরের ভার্সন ৩ অনিয়ন ঠিকানা^[৯] তৈরি করা সম্ভব; এজন্য টর কনফিগারেশনে HiddenServiceVersion 3 কোডটি যুক্ত করতে হবে, যদি আপনার ব্যবহৃত সংস্করণটি এটি সমর্থন করে।

আপনার সিস্টেমের জন্য উপযুক্ত একটি ডিরেক্টরি বা ফোল্ডারকে নির্দেশ করতে HiddenServiceDir ব্যবহার নিশ্চিত করুন। নতুন এসএসএইচ পরিষেবার অনিয়ন ঠিকানাটি তখন HiddenServiceDir ডিরেক্টিভয় উল্লিখিত ডিরেক্টরির ভেতরে থাকা hostname নামক ফাইলে পাওয়া যাবে। এই ঠিকানাটি ইন্টারনেটের যেকোনো প্রান্ত থেকে অ্যাক্সেস করা যাবে, এমনকি এটি যদি একাধিক স্তরের ন্যাট (NAT) বা নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশনের আড়ালে থাকে, তবুও এটি কার্যকর হবে। এসএসএইচ পরিষেবাটি ব্যবহার করতে এবং এটি প্রকৃতপক্ষে টরের মাধ্যমে উপলব্ধ কি না তা যাচাই করতে, Netcat ব্যবহার করে টরের মাধ্যমে এসএসএইচ ক্লায়েন্ট ব্যবহারের পূর্ববর্তী বিভাগটি দেখুন।

শুধুমাত্র টর (Tor) নেটওয়ার্কের মাধ্যমে কোনো সার্ভারকে লভ্য বা উপলব্ধ করে তোলাই সেই সার্ভারটিকে সম্পূর্ণভাবে বেনামী বা অ্যানোনিমাইজ করার জন্য যথেষ্ট নয়। তবে এই বিশেষ প্রক্রিয়ার একটি অত্যন্ত গুরুত্বপূর্ণ এবং কার্যকর সুবিধা হলো 'ন্যাট পাঞ্চিং' (NAT punching) করার সক্ষমতা। যদি কোনো এসএসএইচ পরিষেবা নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন বা ন্যাট-এর (NAT) একাধিক স্তরের অন্তরালে অবস্থান করে, তবে সেটিকে একটি 'অনিয়ন সার্ভিস' (Onion service) হিসেবে পরিচালনা করলে প্রতিটি স্তরের রাউটারকে পৃথকভাবে কনফিগার করার ঝামেলা ছাড়াই অত্যন্ত সাবলীলভাবে সেই স্তরগুলো ভেদ করে সংযোগ স্থাপন করা সম্ভব হয়। এই পদ্ধতিটি কোনো বহিঃস্থ সার্ভারের সাথে 'রিভার্স টানেল' (reverse tunnel) তৈরি করার চিরাচরিত প্রয়োজনীয়তাকে পুরোপুরি দূর করে দেয় এবং এটি ন্যাটের যেকোনো সংখ্যক স্তরের মধ্য দিয়েও কার্যকরভাবে কাজ করতে সক্ষম, যা বর্তমানে আধুনিক মোবাইল ফোন মডেম বা মোবাইল নেটওয়ার্ক অবকাঠামোতে সচরাচর পরিলক্ষিত হয়।

নেটওয়ার্কের শেষ প্রান্তের ডিভাইস বা এন্ড পয়েন্টগুলোতে টানেল ব্যবহারের উপযোগী করে নেটওয়ার্ক রাউটিং কনফিগার করার মাধ্যমে এসএসএইচ সংযোগের ওপর ভিত্তি করে দুটি পৃথক সাবনেটকে একে অপরের সাথে সংযুক্ত করা সম্ভব। এই প্রক্রিয়ার মাধ্যমে কার্যত একটি ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএন (VPN) তৈরি হয়। তবে এই পদ্ধতির একটি প্রধান সীমাবদ্ধতা বা অসুবিধা হলো, সংযোগের উভয় প্রান্তের হোস্ট বা কম্পিউটারেই 'রুট' (root) প্রিভিলেজ বা প্রশাসনিক ক্ষমতার প্রয়োজন হয়। অন্যথায়, অন্ততপক্ষে sudo(8) ব্যবহারের অনুমতি থাকতে হবে যাতে ifconfig(8) এবং route(8) এর মতো গুরুত্বপূর্ণ কমান্ডগুলো কার্যকর করা যায়। এই বিষয়ের সাথে সম্পর্কিত আরও একটি কিছুটা সীমাবদ্ধ এবং প্রাচীন বা সেকেলে পদ্ধতি রয়েছে, যা বর্তমান আলোচনায় বিস্তারিতভাবে তুলে ধরা হয়নি। এই পদ্ধতির বিশেষত্ব হলো এতে দূরবর্তী বা রিমোট প্রান্তে রুট অ্যাক্সেসের প্রয়োজন হয় না। এই প্রক্রিয়ায় প্রথমে ssh ব্যবহার করে প্রাথমিক সংযোগ স্থাপন করা হয় এবং পরবর্তীতে পিপিপি (PPP) ও slirp ব্যবহারের মাধ্যমে একটি কার্যকর নেটওয়ার্ক গড়ে তোলা হয়।^[১০]

এখানে বিশেষভাবে উল্লেখ্য যে, বাস্তব ক্ষেত্রে ভিপিএন (VPN) ব্যবহারের অপরিহার্য প্রয়োজনীয়তা খুব কম ক্ষেত্রেই দেখা দেয়। এর কারণ এই নয় যে ভিপিএন ব্যবহার করা অবৈধ (প্রকৃতপক্ষে বিষয়টি এর সম্পূর্ণ বিপরীত; বিশ্বের অনেক দেশের তথ্য সুরক্ষা আইন অনুযায়ী স্থানান্তরের সময় তথ্যের গোপনীয়তা বজায় রাখতে ভিপিএন ব্যবহার করা বাধ্যতামূলক)। বরং এর মূল কারণ হলো ওপেনএসএসএইচ সাধারণত অত্যন্ত নমনীয় এবং শক্তিশালী, যা সাধারণ এসএসএইচ পদ্ধতি ব্যবহার করেই সিস্টেম অ্যাডমিনিস্ট্রেশন এবং দৈনন্দিন পরিচালনার অধিকাংশ কাজ অনায়াসেই সম্পন্ন করতে সক্ষম। ফলস্বরূপ, এই বিশেষ এসএসএইচ অ্যাড-হক ভিপিএন পদ্ধতিটি ব্যবহারের প্রয়োজন কেবল অত্যন্ত বিরল বা বিশেষ কিছু পরিস্থিতির ক্ষেত্রেই দেখা দেয়।

বিষয়টি আরও স্পষ্টভাবে বোঝার জন্য দুটি পৃথক নেটওয়ার্কের সমন্বয়ে গঠিত নিচের উদাহরণটি বিবেচনা করা যেতে পারে। ধরা যাক, প্রথম নেটওয়ার্কটির আইপি অ্যাড্রেস সীমা বা রেঞ্জ হলো ১০.০.৫০.১ (10.0.50.1) থেকে ১০.০.৫০.২৫৪ (10.0.50.254) পর্যন্ত। অন্যদিকে, দ্বিতীয় নেটওয়ার্কটির আইপি অ্যাড্রেস সীমা হলো ১৭২.১৬.৯৯.১ (172.16.99.1) থেকে ১৭২.১৬.৯৯.২৫৪ (172.16.99.254) পর্যন্ত। এই উভয় নেটওয়ার্কেরই একটি করে নির্দিষ্ট কম্পিউটার বা মেশিন রয়েছে (যথাক্রমে ১০.০.৫০.১ এবং ১৭২.১৬.৯৯.১), যা সংশ্লিষ্ট নেটওয়ার্কের জন্য 'গেটওয়ে' (gateway) হিসেবে কাজ করার দায়িত্ব পালন করবে। এখানে স্থানীয় মেশিনগুলোর ক্রমিক নম্বর ৩ থেকে শুরু করা হয়েছে, কারণ প্রতিটি লোকাল এরিয়া নেটওয়ার্ক বা ল্যানে (LAN) টানেল ইন্টারফেসগুলো পরিচালনা করার জন্য ২ নম্বরটি সংরক্ষিত রাখা হবে।

            +---10.0.50.1     172.16.99.1---+
            +   10.0.50.2 === 172.16.99.2   +
            |                               |
10.0.50.3---+                               +---172.16.99.3
            |                               |
10.0.50.4---+                               +---172.16.99.4
            |                               |
10.0.50.5---+                               +---172.16.99.5
            |                               |
10.0.50.etc-+                               +---172.16.99.etc
            |                               |
10.0.50.254-+                               +---172.16.99.254

এই প্রক্রিয়ার প্রাথমিক ধাপে প্রতিটি মেশিনে একটি করে 'tun' (টান) ডিভাইস তৈরি করা হয়। মূলত এটি একটি ভার্চুয়াল নেটওয়ার্ক ইন্টারফেস যা পয়েন্ট-টু-পয়েন্ট আইপি টানেলিং বা সরাসরি সংযোগ স্থাপনের উদ্দেশ্যে ব্যবহৃত হয়। এরপর এই দুটি গেটওয়েতে বিদ্যমান 'tun' ইন্টারফেসগুলোকে একটি সুরক্ষিত এসএসএইচ টানেলের মাধ্যমে একে অপরের সাথে সংযুক্ত করা হয়। সংযোগ স্থাপনের পর প্রতিটি 'tun' ইন্টারফেসের জন্য একটি নির্দিষ্ট আইপি অ্যাড্রেস বরাদ্দ করা হয় যাতে তারা নেটওয়ার্কে নিজেদের শনাক্ত করতে পারে।

এই টানেলটি মূলত ১০.০.৫০.১ এবং ১৭২.১৬.৯৯.১ আইপি বিশিষ্ট দুটি মেশিনকে সরাসরি যুক্ত করে। উল্লেখ্য যে, এই মেশিন দুটি আগে থেকেই তাদের নিজস্ব লোকাল এরিয়া নেটওয়ার্ক বা ল্যান (LAN)-এর সাথে সংযুক্ত থাকে। এখানে একটি ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএন (VPN)-এর উদাহরণ দেওয়া হলো যেখানে ক্লায়েন্ট নেটওয়ার্ক হিসেবে ১০.০.৫০.০/২৪ এবং রিমোট বা দূরবর্তী নেটওয়ার্ক হিসেবে ১৭২.১৬.৯৯.০/২৪ ব্যবহার করা হয়েছে। এই ব্যবস্থা কার্যকর করতে প্রথমে ক্লায়েন্ট মেশিনে নিচের কমান্ডগুলো সেট করতে হবে:

$ ssh -f -w 0:1 192.0.2.15 true
$ ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
$ route add 172.16.99.0/24 10.1.1.2

একইভাবে সার্ভার প্রান্তেও প্রয়োজনীয় কনফিগারেশন সম্পন্ন করতে হবে:

$ ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
$ route add 10.0.50.0/24 10.1.1.1

অ্যাড হক ভিপিএন ব্যবহারের সময় যদি নিচের মতো কোনো ত্রুটি বা এরর মেসেজ প্রদর্শিত হয়, তবে তার পেছনে বেশ কিছু সুনির্দিষ্ট কারণ থাকতে পারে:

channel 0: open failed: connect failed: open failed
Tunnel forwarding failed

এর একটি সম্ভাব্য কারণ হতে পারে সার্ভার প্রান্তে টানেলিং সুবিধাটি এখনো সক্রিয় বা এনাবল করা হয়নি। সাধারণত এসএসএইচ সার্ভারের ডিফল্ট বা পূর্বনির্ধারিত কনফিগারেশনে টানেলিং বন্ধ থাকে। তাই অ্যাড হক ভিপিএন তৈরির চেষ্টা করার আগে কনফিগারেশন ফাইলে PermitTunnel ডিরেক্টিভটি ব্যবহার করে এটি স্পষ্টভাবে চালু করে নিতে হয়। যদি টানেলিং সক্রিয় না করা হয়, তবে ক্লায়েন্ট থেকে -w অপশন ব্যবহার করে সংযোগ স্থাপনের সময় উপরে উল্লিখিত ত্রুটিটি দেখা দেবে। এই সমস্যার সমাধান হিসেবে সার্ভারের কনফিগারেশনে PermitTunnel অপশনটির মান 'yes' হিসেবে নির্ধারণ করে দিতে হবে।

দ্বিতীয় আরেকটি সম্ভাবনা হলো, রিমোট সিস্টেম অথবা লোকাল সিস্টেম কিংবা উভয় সিস্টেমেই প্রয়োজনীয় নেটওয়ার্ক ইন্টারফেস সিউডো-ডিভাইস (pseudo-device) অনুপস্থিত থাকতে পারে। এমনটি ঘটার মূল কারণ হলো, সংশ্লিষ্ট অ্যাকাউন্টগুলোর হয়তো তাৎক্ষণিকভাবে tun(4) ডিভাইস তৈরি করার জন্য প্রয়োজনীয় প্রশাসনিক ক্ষমতা বা প্রিভিলেজ নেই। এই পরিস্থিতি মোকাবিলায় বেশ কিছু বিকল্প পথ রয়েছে, যার মধ্যে একটি হলো কোনো উচ্চতর ক্ষমতাসম্পন্ন বা প্রিভিলেজড অ্যাকাউন্ট ব্যবহার করে প্রতিটি সিস্টেমে আগেভাগেই tun(4) ডিভাইসগুলো তৈরি করে রাখা। সহজ কথায় বলতে গেলে, টানেলিং প্রক্রিয়ার জন্য প্রয়োজনীয় নেটওয়ার্ক ইন্টারফেস সিউডো-ডিভাইসগুলো ম্যানুয়ালি বা হাতে কলমে তৈরি করাই হলো এর কার্যকর সমাধান।

তৃতীয় আরেকটি কারণ হতে পারে যে, এক বা উভয় অ্যাকাউন্টেরই নেটওয়ার্ক ইন্টারফেস সিউডো-ডিভাইসগুলো ব্যবহারের জন্য সঠিক অনুমতি বা পারমিশন নেই। এই ক্ষেত্রে ব্যবহারকারীর গ্রুপ মেম্বারশিপ বা দলের সদস্যপদ যাচাই করা উচিত এবং প্রয়োজনবোধে তা সংশোধন করে সঠিক অনুমতি নিশ্চিত করতে হবে।

নিচে বর্ণিত পদ্ধতিগুলো বর্তমানে অনেকাংশেই সেকেলে বা অপ্রচলিত (deprecated) হয়ে পড়েছে, তবে দীর্ঘমেয়াদী সমর্থন বা লং টার্ম সাপোর্ট (LTS) প্রদান করে এমন কিছু পরিবেশে এগুলো এখনো কার্যকর হতে পারে। এছাড়া পূর্বে উল্লিখিত এমন কিছু বিশেষ ক্ষেত্রেও এগুলো কাজে আসতে পারে যেখানে আধুনিক ProxyJump পদ্ধতিটি ব্যবহার করা সম্ভব হয় না। মূলত ঐতিহাসিক প্রেক্ষাপট এবং বিবর্তনের ধারা তুলে ধরতেই এই পুরাতন পদ্ধতিগুলো এখানে বিস্তারিতভাবে বর্ণনা করা হয়েছে।

ওপেনএসএসএইচ-এর পুরাতন সংস্করণগুলোতে, বিশেষ করে সংস্করণ ৭.২ বা তার আগের সংস্করণগুলোতে, এক বা একাধিক গেটওয়ের মাধ্যমে সংযোগ স্থাপন করা বর্তমানের তুলনায় অনেক বেশি জটিল ছিল। এই কাজটির জন্য সাধারণত এসটিডিআইও (stdio) ফরোয়ার্ডিং ব্যবহার করতে হতো। এছাড়া ৫.৪ সংস্করণের আগের সংস্করণগুলোতে netcat(1) ইউটিলিটি বা টুলটি ব্যবহারের প্রয়োজন পড়ত।

অত্যন্ত পুরাতন ক্লায়েন্টগুলোর ক্ষেত্রে চেইনের শেষ প্রান্তে নেটক্যাট (Netcat) কল করার জন্য ProxyCommand অপশনটি ব্যবহার করা হতো, যা মূলত এই পদ্ধতিরই একটি ভিন্ন রূপ। এক্ষেত্রে এসএসএইচ প্রোটোকলটি সরাসরি 'ssh'-এর পরিবর্তে nc বা নেটক্যাটের মাধ্যমে ফরোয়ার্ড করা হয়। এই প্রক্রিয়ায় এসএসএইচ সংযোগের চেইনে হোস্ট থেকে হোস্টে ব্যবহারকারীর নাম (username) পরিবর্তিত হচ্ছে কি না, সেদিকেও বিশেষ নজর দিতে হয়। প্রকৃতপক্ষে, বর্তমানে সেকেলে হয়ে যাওয়া netcat পদ্ধতিতে ব্যবহারকারীর নাম পরিবর্তন করার কোনো সুযোগ নেই, যদিও অন্যান্য আধুনিক পদ্ধতিতে এটি অনায়াসেই সম্ভব।

যখন পোর্ট ফরোয়ার্ডিং সুবিধাটি উপলব্ধ থাকে, তখন সবচেয়ে সহজ এবং কার্যকর উপায় হলো কনফিগারেশন ফাইলে ProxyJump ব্যবহার করা অথবা রান-টাইম প্যারামিটার হিসেবে -J অপশনটি যুক্ত করা। নিচে -J ব্যবহারের একটি বাস্তব উদাহরণ প্রদান করা হলো:

$ ssh -J firewall.example.org:22 server2.example.org

এই ProxyJump ডিরেক্টিভ (বা -J) এতটাই সুবিধাজনক এবং গুরুত্বপূর্ণ যে, এর জন্য নিচে একটি সম্পূর্ণ আলাদা উপ-অনুচ্ছেদ বরাদ্দ করা হয়েছে।

ওপেনএসএসএইচ-এর অপেক্ষাকৃত পুরাতন সংস্করণগুলোতে এই -J অপশনটি পাওয়া যায় না। এই ধরনের পরিস্থিতিতে সবচেয়ে নিরাপদ এবং সরাসরি উপায় হলো ssh(1)-এর এসটিডিআইও (stdio) ফরোয়ার্ডিং বা (-W) মোড ব্যবহার করা। এর মাধ্যমে একটি মধ্যবর্তী হোস্টের মধ্য দিয়ে সংযোগটিকে 'বাউন্স' বা পুনঃপ্রেরণ করা সম্ভব হয়।

$ ssh -o ProxyCommand="ssh -W %h:%p firewall.example.org" server2.example.org

এই বিশেষ পদ্ধতিটি কোনো অতিরিক্ত কৌশল বা জটিলতা ছাড়াই সরাসরি পোর্ট-ফরোয়ার্ডিং প্রক্রিয়াটি সমর্থন করে।

সন্দেহজনক রিমোট সিস্টেম থেকে আসা %h, %u এবং অন্যান্য এক্সপেনশন টোকেন ব্যবহারের বিষয়ে একটি বিশেষ সতর্কবার্তা: ওপেনএসএসএইচ-এর পুরাতন সংস্করণগুলোতে, কোনো অবৈধ ব্যবহারকারীর নাম বা হোস্ট নেম ব্যবহার করে এই এক্সপেনশন টোকেনগুলোর মাধ্যমে শেলের মেটাক্যারেক্টার (shell metacharacters) ইনজেক্ট করা সম্ভব ছিল। এই নিরাপত্তা ঝুঁকির বিষয়টি CVE-2023-51385-এ বিস্তারিতভাবে বর্ণনা করা হয়েছে এবং OpenSSH 9.6 ও তার পরবর্তী সংস্করণগুলোতে এটি কিছুটা প্রশমিত করা হয়েছে। এটি মূলত অনির্ভরযোগ্য প্রক্সি স্ট্রিংগুলোর ক্ষেত্রে প্রযোজ্য, যা সাধারণত অনিরাপদ ভার্সন কন্ট্রোল সার্ভিস বা অন্য কোনো উৎস থেকে আসতে পারে। তবে এই প্রশমন প্রক্রিয়াটি আংশিক, কারণ ব্যবহারকারী-প্রদত্ত কমান্ডের সাথে সম্পর্কিত সমস্ত শেলের মেটাক্যারেক্টার ফিল্টার করা কার্যত অসম্ভব।

তুলনামূলকভাবে আরও পুরনো সংস্করণের এসএসএইচ ক্লায়েন্টগুলোতে অনেক সময় আধুনিক -W অপশনটির সুবিধা পাওয়া যায় না। এই ধরনের পরিস্থিতিতে বিকল্প ব্যবস্থা হিসেবে ssh -tt কমান্ডটি ব্যবহার করা সম্ভব। এই পদ্ধতিটি মূলত জোরপূর্বক টিটিওয়াই (TTY) বরাদ্দ নিশ্চিত করে এবং এসএসএইচ ট্র্যাফিককে এমনভাবে প্রেরণ করে যেন তা সরাসরি টাইপ করা হচ্ছে; তবে নিরাপত্তার বিচারে এই প্রক্রিয়াটি আধুনিক পদ্ধতির তুলনায় কম সুরক্ষিত বলে বিবেচিত হয়। যদি firewall নামক একটি মধ্যবর্তী কম্পিউটারকে জাম্প হোস্ট হিসেবে ব্যবহার করে লক্ষ্যবস্তু server2-এর সাথে সংযোগ স্থাপন করতে হয়, তবে নিচের কমান্ডটি প্রয়োগ করা যেতে পারে:

$ ssh -tt firewall.example.com ssh -tt server2.example.org

উপরে উল্লিখিত উদাহরণটি সফলভাবে দূরবর্তী বা রিমোট মেশিনের সাথে একটি সক্রিয় এসএসএইচ সেশন বা অধিবেশন শুরু করে। সেশন খোলার পাশাপাশি ব্যবহারকারী চাইলে সরাসরি বিভিন্ন কমান্ড বা নির্দেশাবলীও এর মাধ্যমে প্রেরণ করতে পারেন। দৃষ্টান্তস্বরূপ, screen ইউটিলিটি ব্যবহার করে কোনো দূরবর্তী স্ক্রিন সেশনের সাথে পুনরায় সংযোগ স্থাপন বা রি-অ্যাটাচ করার প্রয়োজন হলে নিচের পদ্ধতিটি অনুসরণ করা যেতে পারে:

$ ssh -tt firewall.example.com ssh -tt server2.example.org screen -dR

সংযোগের এই শৃঙ্খল বা চেইনটি প্রয়োজন অনুযায়ী যেকোনো দৈর্ঘ্যের হতে পারে এবং এটি শুধুমাত্র দুটি হোস্ট বা কম্পিউটারের মধ্যে সীমাবদ্ধ নয়। নেটওয়ার্ক লেয়ারে আধুনিক -W অথবা -J অপশন ব্যবহার করে এসটিডিআইও (stdio) ফরোয়ার্ডিং করার তুলনায় এই পদ্ধতির প্রধান অসুবিধা হলো নিরাপত্তা ঝুঁকি। এই প্রক্রিয়ায় ব্যবহারকারীর সেশন, ফরোয়ার্ড করা যেকোনো এজেন্ট, এক্স-ইলেভেন (X11) সার্ভার এবং সকেটগুলো মধ্যবর্তী হোস্টগুলোর কাছে দৃশ্যমান বা উন্মুক্ত হয়ে পড়ে।

ওপেনএসএসএইচ ৫.৪ সংস্করণ^[১১] থেকে শুরু করে ৭.২ সংস্করণ পর্যন্ত একটি বিশেষ 'নেটক্যাট মোড' (netcat mode) বিদ্যমান ছিল। এই মোডটি ক্লায়েন্ট কম্পিউটারের এসটিডিআইও-কে (stdio) সার্ভারে ফরোয়ার্ড করা একটি নির্দিষ্ট পোর্টের সাথে সরাসরি সংযুক্ত করতে সক্ষম। এই পদ্ধতিটি ssh(1) ব্যবহার করে সংযোগ স্থাপনের ক্ষেত্রেও প্রয়োগ করা যায়, তবে এর জন্য রান-টাইম প্যারামিটার হিসেবে অথবা ব্যবহারকারীর নিজস্ব কনফিগারেশন ফাইল অর্থাৎ ~/.ssh/config ফাইলের অংশ হিসেবে ProxyCommand অপশনটি ব্যবহার করা বাধ্যতামূলক। তবে এই পদ্ধতির একটি বড় সুবিধা হলো, এর জন্য মধ্যবর্তী কম্পিউটার বা মেশিনগুলোতে আলাদাভাবে netcat(1) সফটওয়্যারটি ইনস্টল করার কোনো প্রয়োজন পড়ে না। নিচে রান-টাইম প্যারামিটার হিসেবে এই কমান্ডটি ব্যবহার করার একটি বাস্তব উদাহরণ তুলে ধরা হলো:

$ ssh -o ProxyCommand="ssh -W %h:%p jumphost.example.org" server.example.org

উপরের উদাহরণটিতে ব্যবহারকারীকে দুইবার প্রমাণীকরণ বা অথেন্টিকেশন প্রক্রিয়ার মধ্য দিয়ে যেতে হবে; প্রথমবার জাম্প হোস্টের জন্য এবং দ্বিতীয়বার চূড়ান্ত গন্তব্য হোস্টের জন্য, যেখানে সফল সংযোগের পর একটি কমান্ড শেল চালু হবে।

যদি গেটওয়ে বা মধ্যবর্তী সার্ভারটিকে কনফিগারেশন ফাইলে আগে থেকেই নির্দিষ্ট করে রাখা হয়, তবে এর সিনট্যাক্স বা লেখার ধরন প্রায় একই থাকে। এক্ষেত্রে ssh(1) কমান্ডটি স্বয়ংক্রিয়ভাবে কনফিগারেশন ফাইল থেকে গেটওয়ে এবং গন্তব্যস্থলের পূর্ণ নাম বা ঠিকানা খুঁজে বের করে তা প্রসারিত করে নেয়। নিচের কনফিগারেশনটি সম্পন্ন করা থাকলে ব্যবহারকারী টার্মিনালে শুধুমাত্র ssh server টাইপ করেই সরাসরি গন্তব্য হোস্টে পৌঁছাতে সক্ষম হবেন।

Host server
        Hostname server.example.org
        ProxyCommand ssh -W %h:%p jumphost.example.org

ঠিক একইভাবে এসএফটিপি বা সিকিউর ফাইল ট্রান্সফার প্রোটোকলের ক্ষেত্রেও এই একই পদ্ধতি অবলম্বন করা সম্ভব। এই ব্যবস্থায় ব্যবহারকারী কেবল sftp sftpserver কমান্ডটি প্রদান করলেই গন্তব্য এসএফটিপি সার্ভারে সংযুক্ত হতে পারবেন এবং সংযোগের বাকি কারিগরি দিকগুলো কনফিগারেশন ফাইল স্বয়ংক্রিয়ভাবে সম্পন্ন করবে। যদি কোনো কারণে চূড়ান্ত হোস্ট কী (host key) নিয়ে কোনো ধরনের বিভ্রান্তি বা জটিলতা তৈরি হয়, তবে গন্তব্য সিস্টেমটিকে সঠিকভাবে শনাক্ত করার জন্য কোন নির্দিষ্ট কী ব্যবহার করা হবে তা স্পষ্টভাবে উল্লেখ করতে HostKeyAlias অপশনটি যুক্ত করা অত্যন্ত জরুরি।

Host sftpserver
        HostName sftpserver.example.org
        HostKeyAlias sftpserver.example.org
        ProxyCommand ssh -W %h:%p jumphost.example.org

উল্লেখ্য যে, গেটওয়ে বা মধ্যবর্তী সার্ভারের জন্য প্রয়োজনীয় নিরাপত্তা চাবিকাঠি বা কি (key) আপনার সিস্টেমে চলমান ssh-agent-এ যুক্ত করা সম্ভব। বিকল্প হিসেবে, আপনি সরাসরি কনফিগারেশন ফাইলের ভেতরেই এই চাবিকাঠির অবস্থান নির্দিষ্ট করে দিতে পারেন। এখানে ব্যবহৃত User অপশনটি মূলত গন্তব্য সার্ভারে আপনার ব্যবহারকারীর নাম বা ইউজার নেম নির্দেশ করে। যদি আপনার স্থানীয় কম্পিউটার এবং গন্তব্য সার্ভার—উভয় ক্ষেত্রেই ব্যবহারকারীর নাম অভিন্ন হয়, তবে আলাদাভাবে এই অপশনটি ব্যবহার করার কোনো প্রয়োজন নেই। তবে যদি গেটওয়ে সার্ভারে আপনার ব্যবহারকারীর নাম ভিন্ন হয়, সেক্ষেত্রে ProxyCommand অপশনের ভেতরেই -l ফ্ল্যাগটি ব্যবহার করে সেই নির্দিষ্ট নামটি উল্লেখ করা যায়। উদাহরণস্বরূপ, ধরা যাক স্থানীয় মেশিনে ব্যবহারকারীর নাম 'fred', কিন্তু তিনি গেটওয়েতে 'fred2' হিসেবে এবং চূড়ান্ত গন্তব্য সার্ভারে 'fred3' হিসেবে লগইন করতে চান। সেক্ষেত্রে কনফিগারেশনটি নিচের মতো হবে:

Host server
        HostName server.example.org
        User fred3
        ProxyCommand ssh -l fred2 -i /home/fred/.ssh/rsa_key -W %h:%p jumphost.example.org

যদি গেটওয়ে এবং গন্তব্য সার্ভার উভয় ক্ষেত্রেই চাবিকাঠি বা কি-ভিত্তিক অথেন্টিকেশন (key-based authentication) ব্যবহৃত হয়, তবে কনফিগারেশন ফাইলের IdentityFile অপশনটি গেটওয়ের প্রাইভেট কি-র অবস্থান নির্দেশ করতে ব্যবহৃত হয়। অন্যদিকে, কমান্ড লাইনে বা নির্দিষ্ট হোস্ট ব্লকের অধীনে থাকা IdentityFile গন্তব্য সার্ভারের প্রাইভেট কি-র দিকে নির্দেশ করে। প্রকৃতপক্ষে এটি নিরাপত্তার স্তরকে আরও সুসংহত করে।

Host jump
        HostName server.example.org
        IdentityFile /home/fred/.ssh/rsa_key_2
        ProxyCommand ssh -i /home/fred/.ssh/rsa_key -W %h:%p jumphost.example.org

ওপেনএসএসএইচ ৫.৪ সংস্করণের আগে এই ধরনের টানেলিং করার জন্য নেটক্যাট বা nc(1) নামক একটি টুল ব্যবহার করার প্রচলন ছিল। এটি ছিল মূলত একটি পুরনো পদ্ধতি যা বর্তমানে সেকেলে হয়ে পড়েছে।

Host server
        Hostname server.example.org
        ProxyCommand ssh jumphost.example.org nc %h %p

বর্তমান সময়ে এই পুরনো পদ্ধতিটি আর অনুসরণ করা উচিত নয়। এর পরিবর্তে আধুনিক -W অপশনটি ব্যবহার করা বাঞ্ছনীয়, যা নেটক্যাট মোড হিসেবে পরিচিত। এই নতুন পদ্ধতিতে কোনো সার্ভারেই আলাদাভাবে netcat ইনস্টল করার প্রয়োজন পড়ে না, যা পুরো প্রক্রিয়াটিকে আরও সহজতর এবং নির্ভরশীল করে তোলে।

এই কাজটি করার সবচেয়ে সহজ উপায় হলো ProxyJump ব্যবহার করা, যা ওপেনএসএসএইচ ৭.৩ সংস্করণ থেকে অন্তর্ভুক্ত করা হয়েছে। তবে পুরনো সংস্করণগুলোর ক্ষেত্রে, যদি নেটওয়ার্ক রুট বা পথটি সর্বদা একই থাকে এবং হোস্টগুলো একই ক্রমে সাজানো থাকে, তবে কনফিগারেশন ফাইলের ভেতরেই একটি সরাসরি চেইন বা শৃঙ্খল তৈরি করা সম্ভব। নিচে একটি উদাহরণ দেওয়া হলো যেখানে তিনটি হোস্টকে পর্যায়ক্রমে যুক্ত করা হয়েছে এবং চূড়ান্ত গন্তব্যকে machine3 নামে একটি শর্টকাট দেওয়া হয়েছে। এর ফলে ব্যবহারকারী খুব সহজেই জটিল নেটওয়ার্ক কাঠামোর মধ্য দিয়ে গন্তব্যে পৌঁছাতে পারেন।

Host machine1
        Hostname server.example.org
        User fred
        IdentityFile /home/fred/.ssh/machine1_e25519
        Port 2222

Host machine2
        Hostname 192.168.15.21
        User fred
        IdentityFile /home/fred/.ssh/machine2_e25519
        Port 2222
        ProxyCommand ssh -W %h:%p machine1

Host machine3
        Hostname 10.42.0.144
        User fred
        IdentityFile /home/fred/.ssh/machine3_e25519
        Port 2222
        ProxyCommand ssh -W %h:%p machine2

বস্তুত, এই বিশেষ কনফিগারেশন পদ্ধতি অনুসরণ করলে নেটওয়ার্ক শৃঙ্খলের অন্তর্ভুক্ত যেকোনো কম্পিউটার বা সার্ভারকে শুধুমাত্র একটি একক কমান্ড লাইনের মাধ্যমেই সরাসরি সংযুক্ত করা বা সেখানে পৌঁছানো সম্ভব হয়। উদাহরণ হিসেবে বলা যেতে পারে যে, শৃঙ্খলের একেবারে শেষ প্রান্তে অবস্থিত মেশিনটিতেও ব্যবহারকারী কেবল ssh machine3 কমান্ডটি ব্যবহার করে প্রবেশ করতে পারেন এবং সেখানে সাধারণ সার্ভারের মতোই নির্বিঘ্নে কাজ পরিচালনা করতে পারেন। এই প্রক্রিয়ার মাধ্যমে পোর্ট ফরওয়ার্ডিং (port forwarding) সহ এসএসএইচ-এর অন্যান্য যাবতীয় উন্নত সুযোগ-সুবিধা ও সক্ষমতাগুলোও কোনো বাধা ছাড়াই ব্যবহার করা সম্ভব হয়।

প্রতিটি Host ডিরেক্টিভ বা নির্দেশনার ক্ষেত্রে শুধুমাত্র hostname প্রদান করা আবশ্যক; তবে দ্বিতীয় এবং তার পরবর্তী হোস্টগুলোর ক্ষেত্রে অতিরিক্তভাবে ProxyCommand ব্যবহার করার প্রয়োজন পড়ে। যদি সংযোগ স্থাপনের জন্য কোনো বিশেষ ক্রিপ্টোগ্রাফিক কি (key) ব্যবহার করা না হয়, তবে সেক্ষেত্রে কনফিগারেশন ফাইলে IdentityFile নামক প্যারামিটারটি উল্লেখ করার কোনো আবশ্যকতা থাকে না। তদুপরি, যদি শৃঙ্খলের প্রতিটি হোস্ট বা সার্ভারের জন্য ব্যবহারকারীর নাম (username) অভিন্ন হয়, তবে বারবার ব্যবহারকারীর নাম উল্লেখ করার প্রয়োজন পড়ে না এবং এটি অনায়াসেই এড়িয়ে যাওয়া যায়। একইভাবে, যদি এসএসএইচ সংযোগের জন্য ডিফল্ট বা পূর্বনির্ধারিত পোর্ট ব্যবহৃত হয়, তবে কনফিগারেশনে আলাদাভাবে Port নম্বর উল্লেখ করার কোনো প্রয়োজন নেই। অনেক সময় এসএসএইচ এজেন্টে একসাথে প্রচুর সংখ্যক কি (keys) সংরক্ষিত থাকলে ক্লায়েন্ট প্রান্তে "too many authentication" বা অত্যধিক অথেন্টিকেশন সংক্রান্ত ত্রুটি প্রদর্শিত হতে পারে; এমন পরিস্থিতিতে প্রতিটি হোস্টের কনফিগারেশনে IdentitiesOnly yes অপশনটি যুক্ত করা জরুরি হয়ে পড়ে।

উল্লেখ্য যে, এই কাজটি করার সবচেয়ে সহজ ও আধুনিক পদ্ধতি হলো ProxyJump ব্যবহার করা, যা মূলত ওপেনএসএসএইচ ৭.৩ সংস্করণ থেকে প্রবর্তন করা হয়েছে এবং যেখানেই সম্ভব এটি ব্যবহার করাই শ্রেয়। তবে ওপেনএসএসএইচ-এর পুরনো সংস্করণগুলোর ক্ষেত্রে কনফিগারেশনকে আরও বিমূর্ত বা অ্যাবস্ট্রাক্ট (abstract) রূপ দেওয়া সম্ভব, যার ফলে ব্যবহারকারী অনির্দিষ্ট সংখ্যক গেটওয়ে বা জাম্প হোস্টের মধ্য দিয়ে সংযোগ স্থাপন করতে পারেন। টোকেন ব্যবহারের সুবিধার কারণে আপনি -l ফ্ল্যাগ ব্যবহার করে ব্যবহারকারীর নাম নির্দিষ্ট করে দিতে পারেন, তবে মনে রাখা প্রয়োজন যে, এই নির্দিষ্ট ব্যবহারকারীর নামটিই শৃঙ্খলে থাকা প্রতিটি হোস্টের ক্ষেত্রে প্রযোজ্য হবে।

Host */* 
        ProxyCommand ssh %r@$(dirname %h) -W $(basename %h):%p

এই বিশেষ পদ্ধতিতে হোস্টের নামগুলোকে একটি স্ল্যাশ (/) চিহ্নের মাধ্যমে পৃথক করা হয় এবং এর ফলে ব্যবহারকারী প্রয়োজন অনুযায়ী যেকোনো সংখ্যক হোস্টকে শৃঙ্খলিত করতে পারেন^[১২]।

$ ssh host1/host2/host3/host4

বিভাজক বা সেপারেটর হিসেবে স্ল্যাশ (/) ব্যবহার করার কিছু নির্দিষ্ট সীমাবদ্ধতা রয়েছে, যা মূলত অন্যান্য বিশেষ চিহ্নের ক্ষেত্রেও পরিলক্ষিত হতে পারে। তা সত্ত্বেও, এই পদ্ধতিটি হোস্টের নামগুলো সঠিকভাবে বিশ্লেষণ ও প্রক্রিয়াকরণ করার জন্য dirname(1) এবং basename(1) এর মতো কমান্ডগুলো ব্যবহারের সুযোগ করে দেয়।

নিম্নে বর্ণিত কনফিগারেশনটিতে sed(1) কমান্ডের সাহায্য নেওয়া হয়েছে, যা বিভিন্ন পোর্ট নম্বর এবং ব্যবহারকারীর নাম ব্যবহারের সুবিধা প্রদান করে; এখানে হোস্টের জন্য প্লাস চিহ্ন (+), পোর্টের জন্য কোলন (:) এবং ব্যবহারকারীর নামের জন্য পার্সেন্টেজ বা শতাংশ চিহ্ন (%) ডিলিমিটার হিসেবে ব্যবহৃত হয়। এই প্রক্রিয়ার মূল কাঠামোটি হলো ssh -W $() $(), যেখানে %h টোকেনটি স্বয়ংক্রিয়ভাবে লক্ষ্যবস্তু বা টার্গেট হোস্টের নাম দ্বারা প্রতিস্থাপিত হয়ে থাকে।

Host *+*
        ProxyCommand ssh -W $(echo %h | sed 's/^.*+//;s/^\([^:]*$\)/\1:22/') $(echo %h | sed 's/+[^+]*$//;s/\([^+%%]*\)%%\([^+]*\)$/\2 -l \1/;s/:\([^:+]*\)$/ -p \1/')

যদি ডিফল্ট এসএসএইচ পোর্ট ২২ ব্যবহৃত হয়, তবে পোর্ট নম্বরটি উল্লেখ না করলেও চলে; তবে অ-মানক বা কাস্টম পোর্টের ক্ষেত্রে কোলন (:) চিহ্নের মাধ্যমে নির্দিষ্ট পোর্ট নম্বরটি উল্লেখ করে দিতে হয়^[১৩]।

$ ssh host1+host2:2022+host3:2224

বর্তমান অবস্থায়, কোলন (:) চিহ্নের ব্যবহার sftp(1) কমান্ডের ক্ষেত্রে বিভ্রান্তি সৃষ্টি করতে পারে। এর ফলে ওপরের কনফিগারেশনটি শুধুমাত্র স্ট্যান্ডার্ড বা ডিফল্ট পোর্ট ব্যবহারের ক্ষেত্রেই সঠিকভাবে কাজ করবে। যদি কোনো কারণে নন-স্ট্যান্ডার্ড বা অ-নির্ধারিত পোর্টে sftp(1) ব্যবহারের প্রয়োজন হয়, তবে কোলনের পরিবর্তে অন্য কোনো ডিলিমিটার বা বিভাজক চিহ্ন, যেমন আন্ডারস্কোর (_) ব্যবহার করার জন্য কনফিগার করা যেতে পারে।

চূড়ান্ত গন্তব্য বাদে অন্য যেকোনো হোস্টের জন্য নির্দিষ্ট ডিলিমিটার ব্যবহার করে ব্যবহারকারীর নাম বা ইউজার নেম উল্লেখ করা সম্ভব। ওপরের উদাহরণটিতে এই কাজের জন্য শতাংশ চিহ্ন (%) ব্যবহার করা হয়েছে। গন্তব্য হোস্টের ইউজার নেমটি সাধারণত -l ফ্ল্যাগ বা অপশন ব্যবহার করে নির্দিষ্ট করা হয় এবং অন্যান্য হোস্টের ক্ষেত্রে তাদের নামের সাথে ডিলিমিটারের মাধ্যমে ইউজার নেম যুক্ত করা যায়।

$ ssh -l user3 user1%host1+user2%host2+host3

যদি ইউজার নেম বা ব্যবহারকারীর নাম নির্দিষ্ট করে দেওয়া হয়, তবে ব্যবহৃত ডিলিমিটারের ওপর ভিত্তি করে ssh(1) অনেক সময় চূড়ান্ত হোস্টের আইপি (IP) ঠিকানা শনাক্ত করতে এবং known_hosts ফাইলে থাকা কি-ফিঙ্গারপ্রিন্টের (key fingerprint) সাথে তা মেলাতে ব্যর্থ হতে পারে। এমন পরিস্থিতিতে, প্রতিবার সংযোগ স্থাপনের সময় সিস্টেমটি ব্যবহারকারীর কাছে যাচাইকরণের অনুমতি চাইতে পারে। তবে সমান চিহ্ন (=) অথবা শতাংশ চিহ্ন (%) ব্যবহার করলে সাধারণত এই ধরনের সমস্যার সম্মুখীন হতে হয় না।

যদি সংযোগের জন্য কি (key) বা চাবি ব্যবহার করার পরিকল্পনা থাকে, তবে সেগুলো প্রথমে একটি এজেন্টের (agent) মধ্যে লোড করে নিতে হবে। এরপর যদি -A অপশন ব্যবহার করে এজেন্ট ফরওয়ার্ডিং সক্রিয় করা হয়, তবে ক্লায়েন্ট স্বয়ংক্রিয়ভাবেই প্রয়োজনীয় কি খুঁজে নেবে। তবে বর্তমানে যদি ProxyJump অপশন (-J) ব্যবহারের সুযোগ থাকে, তবে এজেন্ট ফরওয়ার্ডিংয়ের আর কোনো প্রয়োজন পড়ে না। প্রকৃতপক্ষে, অনেক বিশেষজ্ঞই এজেন্ট ফরওয়ার্ডিংকে একটি নিরাপত্তা ঝুঁকি এবং ত্রুটিপূর্ণ বৈশিষ্ট্য হিসেবে বিবেচনা করেন। তাই বিকল্প হিসেবে সর্বদা ProxyJump অপশনটি ব্যবহার করাই শ্রেয়। এছাড়া, সার্ভারে MaxAuthTries বা সর্বোচ্চ লগইন প্রচেষ্টার ডিফল্ট সীমা সাধারণত ৬ থাকে। ফলে এজেন্টে কি ব্যবহার করলে তা কি-এর সংখ্যা বা হপ-এর সংখ্যাকে ৬-এর মধ্যে সীমাবদ্ধ করে ফেলে এবং এর অর্ধেক প্রচেষ্টা ব্যর্থ হলেই সার্ভার-সাইড লগিং সক্রিয় হয়ে যায়।

ওপেন-এসএসএইচ (OpenSSH) ৫.৩ বা তার আগের সংস্করণগুলোর জন্য অন্য একটি পদ্ধতি অবলম্বন করতে হতো, যেখানে ProxyCommand কনফিগারেশন ডিরেক্টিভ এবং netcat ব্যবহার করা হতো। নেটওয়ার্ক সংযোগ সরাসরি পড়া এবং লেখার জন্য nc(1) ইউটিলিটিটি অত্যন্ত কার্যকর। এটি ব্যবহার করে একটি সংযোগকে দ্বিতীয় কোনো মেশিনে পৌঁছে দেওয়া সম্ভব। এই প্রক্রিয়ায়, একটি মধ্যবর্তী 'জাম্পহোস্ট' (jumphost)-এর মাধ্যমে মূল গন্তব্য বা 'ডেস্টিনেশন' সার্ভারে পৌঁছানো হয়।

$ ssh -o 'HostKeyAlias=destination.example.edu' \
        -o 'ProxyCommand ssh %h nc destination.example.edu 22' \
        jumphost.example.org

এই পদ্ধতিতে বিভিন্ন কি এবং ভিন্ন ভিন্ন লগইন নামও ব্যবহার করা সম্ভব। ProxyCommand ব্যবহারের ফলে ssh(1) প্রথমে জাম্পহোস্টের সাথে সংযোগ স্থাপন করবে এবং সেখান থেকে পরবর্তীতে destination.example.edu-তে সংযুক্ত হবে। এখানে HostKeyAlias ডিরেক্টিভটি অত্যন্ত গুরুত্বপূর্ণ, কারণ এটি destination.example.edu-এর জন্য সঠিক কি খুঁজে পেতে সাহায্য করে। এটি ব্যবহার না করলে সিস্টেমটি ভুলবশত জাম্পহোস্টের কি ব্যবহারের চেষ্টা করবে, যা স্বাভাবিকভাবেই ব্যর্থ হবে (যদি না উভয় সিস্টেমের হোস্ট কি একই হয়)। এই উদাহরণে, 'user2' নামক অ্যাকাউন্টটি জাম্পহোস্টে বিদ্যমান রয়েছে।

$ ssh -o 'HostKeyAlias=destination.example.edu' \
        -o 'ProxyCommand ssh -i jumphost_key-rsa -l user2 %h \
                nc destination.example.edu 22' \
        jumphost.example.org

এই ধরনের সংযোগ ব্যবস্থাকে আরও দীর্ঘস্থায়ী রূপ দিতে এবং বারবার কমান্ড টাইপ করার ঝামেলা কমাতে ব্যবহারকারী চাইলে সরাসরি ssh_config ফাইলটি সম্পাদনা করতে পারেন। এর ফলে যখনই লক্ষ্যস্থলের পূর্ণ হোস্ট নেম (host name) ব্যবহার করা হবে, তখনই সিস্টেমটি স্বয়ংক্রিয়ভাবে jumphost-এর মাধ্যমে destination বা গন্তব্য সার্ভারের সাথে সংযোগ স্থাপন করবে:

Host destination.example.org
        ProxyCommand ssh %r@jumphost.example.org nc %h %p

নিচের উদাহরণটিতে 'jump' নামক একটি সংক্ষিপ্ত নাম বা শর্টকাট ব্যবহার করে jumphost-এর মাধ্যমে destination সার্ভারের সাথে সংযোগ স্থাপনের প্রক্রিয়া দেখানো হয়েছে।

Host jump
        HostKeyAlias destination.example.org
        Hostname jumphost.example.org
        User fred
        ProxyCommand ssh %h nc destination.example.org 22

এই কনফিগারেশনটিকে আরও ব্যাপক বা সাধারণ রূপ দেওয়া সম্ভব। এখানে প্রথম অংশটি (stanza) মূলত এটি নিশ্চিত করার জন্য ব্যবহার করা হয়েছে যেন ব্যাশন (bastion) বা জাম্প হোস্টটি নিজের সাথে লুপব্যাক বা চক্রাকার সংযোগ তৈরি না করে। দ্বিতীয় অংশটি একটি সাধারণ নিয়ম প্রয়োগ করে, যার মাধ্যমে .example.edu ডোমেইনের অন্তর্ভুক্ত সকল হোস্ট অথবা my-private-host নামক শর্টকাটের জন্য ব্যাশন বা জাম্প হোস্টের মাধ্যমে ট্রাফিক প্রবাহিত হয়:

Host jumphost.example.org
        ProxyCommand none

Host *.example.org my-private-host
        ProxyCommand ssh -l %r jumphost.example.org nc %h %p

ঠিক একইভাবে ssh(1)-এর প্যারামিটারগুলো ব্যবহার করে sftp(1)-এর মাধ্যমেও এই প্রক্রিয়াটি সম্পন্ন করা সম্ভব। নিচে sftp(1)-এর একটি সহজ উদাহরণ দেওয়া হলো যেখানে machine2-এর সাথে সংযোগ স্থাপনের জন্য jumphost-কে মধ্যবর্তী হোস্ট হিসেবে ব্যবহার করা হয়েছে। উল্লেখ্য যে, এই ক্ষেত্রে উভয় হোস্টের জন্যই ব্যবহারকারীর নাম (user name) অভিন্ন রাখা হয়েছে।

$ sftp -o 'HostKeyAlias=machine2.example.edu' \
        -o 'ProxyCommand=ssh %h nc machine2.example.edu 22' \
        fred@jumphost.example.edu

নিচে তুলনামূলক একটি জটিল উদাহরণ তুলে ধরা হলো যেখানে jumphost-এ প্রবেশের জন্য একটি সিকিউরিটি কি (key) ব্যবহার করা হয়েছে, কিন্তু এসএফটিপি (SFTP) সার্ভারে লগইন করার জন্য সাধারণ পাসওয়ার্ড-ভিত্তিক পদ্ধতি অনুসরণ করা হয়েছে।

$ sftp -o 'HostKeyAlias=destination.example.edu' \
        -o 'ProxyCommand ssh -i /home/fred/.ssh/jumphost_rsa \
        -l user2 jumphost.example.edu nc destination.example.edu 22'   \
        jumphost.example.edu

যদি দুটি ভিন্ন মেশিনে ব্যবহারকারীর অ্যাকাউন্টের নাম আলাদা হয়, তবে সেই ক্ষেত্রেও এই পদ্ধতিটি অত্যন্ত কার্যকরভাবে কাজ করে। নিচের উদাহরণে, 'fred' হলো দ্বিতীয় মেশিনের অ্যাকাউন্ট যা মূলত চূড়ান্ত লক্ষ্যস্থল বা টার্গেট। অন্যদিকে, 'user2' হলো মধ্যবর্তী বা জাম্প হোস্টের জন্য নির্ধারিত অ্যাকাউন্ট।

$ ssh -i fred -i /home/fred/.ssh/destination_rsa \
       -o 'HostKeyAlias destination.example.org' \
       -o 'ProxyCommand ssh -i /home/fred/.ssh/jumphost_rsa \
              -l user2 %h nc destination.example.org 22'
       jumphost.example.org

যদি কোনোভাবে সম্ভব হয়, তবে ওপেনএসএসএইচ -এর একটি নতুন সংস্করণ আপগ্রেড করা অথবা ব্যাক-পোর্ট করা উচিত, যাতে এর পরিবর্তে আধুনিক ProxyJump বা -J অপশনটি ব্যবহার করা যায়। এটি সংযোগ প্রক্রিয়াকে অনেক বেশি সহজতর ও কার্যকর করে তোলে।

1. 1. 1. 1. 1. পুরাতন পদ্ধতি: নেটক্যাট (Netcat) ব্যতীত প্রক্সিকমান্ড (ProxyCommand), ব্যাশ (Bash)-এর /dev/tcp/ ছদ্ম-ডিভাইস ব্যবহারের মাধ্যমে #####

যেসব জিএনইউ/লিনাক্স (GNU/Linux) জাম্প হোস্টে এমনকি nc(1) ইউটিলিটিও অনুপস্থিত, কিন্তু সেখানে ব্যাশ (Bash) শেল ইন্টারপ্রেটার বিদ্যমান রয়েছে, সেক্ষেত্রে ছদ্ম-ডিভাইস (pseudo device) হিসেবে পরিচিত /dev/tcp^[১৪] একটি চমৎকার বিকল্প হতে পারে। এই পদ্ধতিটি মূলত ব্যাশ শেলের কিছু অন্তর্নির্মিত কার্যকারিতা এবং এর পাশাপাশি বহুল ব্যবহৃত cat(1) ইউটিলিটির সমন্বয়ে কাজ করে:

$ ssh -o HostKeyAlias=server.example.org \
	-o ProxyCommand="ssh -l fred %h 'exec 3<>/dev/tcp/server.example.com/22; cat <&3 & cat >&3;kill $!'" fred@jumphost.example.com

এখানে গন্তব্যস্থলের হোস্ট নেম বা আইপি (IP) অ্যাড্রেস অনুযায়ী HostKeyAlias সেট করা অত্যন্ত জরুরি। এর কারণ হলো, এসএসএইচ সংযোগটি মূলত জাম্প হোস্টের মধ্য দিয়ে অতিক্রম করে এবং ক্লায়েন্টকে সঠিক হোস্ট কি (host key) প্রত্যাশা করতে হয় যাতে নিরাপত্তা বিঘ্নিত না হয়।

এই পদ্ধতিটি সফলভাবে প্রয়োগ করার প্রধান পূর্বশর্ত হলো একটি জিএনইউ/লিনাক্স জাম্প হোস্টে লগইন করার সুবিধা থাকা, যেখানে ব্যাশ (Bash) ডিফল্ট শেল হিসেবে নির্ধারিত রয়েছে। যদি ব্যাশের পরিবর্তে অন্য কোনো শেল ব্যবহার করা হয়, যেমন পোজিক্স (POSIX) শেল, তবে এই ছদ্ম-ডিভাইসটির কোনো অস্তিত্ব থাকবে না এবং ফলস্বরূপ একটি ত্রুটি বা এরর (error) প্রদর্শিত হবে:

sh: 1: cannot create /dev/tcp/server.example.com/22: Directory nonexistent

আবার ksh(1) শেলের ক্ষেত্রেও প্রায় একই ধরনের ত্রুটি পরিলক্ষিত হবে।

ksh: cannot create /dev/tcp/server.example.com/22: No such file or directory

একইভাবে zsh(1) শেলেও এই /dev/tcp ছদ্ম-ডিভাইসটি অনুপস্থিত থাকে, তবে এটি কিছুটা ভিন্ন প্রকৃতির ত্রুটি বার্তা প্রদান করে।

zsh:1: no such file or directory: /dev/tcp/server.example.com/22
zsh:1: 3: bad file descriptor
zsh:1: 3: bad file descriptor
zsh:kill:1: not enough arguments

সুতরাং, এটি স্পষ্ট যে এই সম্পূর্ণ প্রক্রিয়াটি শুধুমাত্র bash(1) শেলের জন্য সুনির্দিষ্ট। অধিকন্তু, এই পদ্ধতিটি মূলত জিএনইউ/লিনাক্স ডিস্ট্রিবিউশনগুলোতে বিদ্যমান ব্যাশ শেলের একটি বিশেষ বৈশিষ্ট্য। জাম্প হোস্ট হিসেবে যদি কোনো বিএসডি (BSD) বা ম্যাক ওএস (Mac OS) চালিত সিস্টেম ব্যবহার করা হয়, তবে সেখানে bash(1) উপস্থিত থাকলেও এই সুবিধাটি পাওয়া যাবে না।

ক্লায়েন্টের দৃষ্টিকোণ থেকে সংযোগ প্রক্রিয়ার সম্পূর্ণ বিবরণ একটি লগ ফাইলে সংরক্ষণ করা সম্ভব। এজন্য ডিবাগিং তথ্যের ভারবোসিটি (verbosity) বৃদ্ধির পাশাপাশি -E অপশনটি ব্যবহার করা যেতে পারে।

$ ssh -vvv -E /tmp/ssh.dev.tcp.log \
	-o HostKeyAlias=server.example.org \
	-o ProxyCommand="ssh -l fred %h 'exec 3<>/dev/tcp/server.example.com/22; cat <&3 & cat >&3;kill $!'" fred@jumphost.example.com

এই ছদ্ম-ডিভাইস (pseudo device) পদ্ধতিটি এখানে মূলত কৌতূহলবশত অন্তর্ভুক্ত করা হয়েছে, তবে কিছু বিশেষ বা জটিল কারিগরি ক্ষেত্রে (edge cases) এটি সর্বশেষ অবলম্বন হিসেবে অত্যন্ত কার্যকর হতে পারে। ইতিপূর্বে যেমনটি আলোচনা করা হয়েছে, ওপেনএসএসএইচ -এর সাম্প্রতিক সকল সংস্করণে এখন সরাসরি 'ProxyJump'-এর সুবিধা প্রদানের জন্য -J অপশনটি যুক্ত করা হয়েছে, যা এই ধরনের সংযোগ স্থাপনের প্রক্রিয়াকে অনেক বেশি সহজ ও সাবলীল করে তুলেছে।

অত্যন্ত প্রাচীন বা সেকেলে ক্লায়েন্ট সফটওয়্যার ব্যতীত বর্তমান সময়ের প্রায় সব ধরনের এসএসএইচ ক্লায়েন্টের ক্ষেত্রে, যদি আপনি একটি মধ্যবর্তী হোস্ট বা সার্ভারের মাধ্যমে একটি সকস (SOCKS) প্রক্সি চালু করতে চান, তবে তা ProxyJump ব্যবহার করেই সম্পন্ন করা সম্ভব। এর জন্য নিচের কমান্ডটি অনুসরণ করা যেতে পারে:

$ ssh -D 3555 -J user1@middle.example.org user2@server.example.org

তবে, তুলনামূলকভাবে পুরনো সংস্করণের ক্লায়েন্টগুলোর ক্ষেত্রে সরাসরি এই সুবিধাটি পাওয়া যায় না এবং সেক্ষেত্রে ব্যবহারকারীকে একটি অতিরিক্ত পদক্ষেপ গ্রহণ করতে হয়। প্রক্রিয়াটি নিচে দেখানো হলো:

$ ssh -L 8001:localhost:8002 user1@middle.example.org -t ssh -D 8002 user2@server.example.org

উপরে বর্ণিত দ্বিতীয় এবং তুলনামূলক কম নিরাপদ উদাহরণটিতে, ক্লায়েন্ট তার স্থানীয় হোস্টের (local host) ৮০০১ পোর্টে একটি সকস প্রক্সি দেখতে পাবে। প্রকৃতপক্ষে এটি 'machine1'-এর সাথে একটি সংযোগ স্থাপন করে, যদিও নেটওয়ার্ক ট্রাফিক বা তথ্য আদান-প্রদান শেষ পর্যন্ত 'machine2'-এর মাধ্যমেই ইন্টারনেটে প্রবেশ করবে এবং সেখান থেকেই বের হবে। এখানে স্থানীয় হোস্টের ৮০০১ পোর্টটি মূলত 'machine1'-এর ৮০০২ পোর্টের সাথে সংযুক্ত হয়, যা আসলে 'machine2'-এর জন্য একটি সকস প্রক্সি হিসেবে কাজ করে। ব্যবহারকারী তার প্রয়োজন অনুযায়ী যেকোনো পোর্ট নম্বর নির্বাচন করতে পারেন, যা সাধারণত ১০২৪ থেকে শুরু করে উপরের দিকের যেকোনো সংখ্যা হতে পারে। তবে একটি বিষয় বিশেষভাবে মনে রাখা প্রয়োজন যে, কোনো প্রিভিলেজড পোর্ট (privileged ports) ফরওয়ার্ড করার জন্য অবশ্যই সিস্টেমে রুট (root) বা প্রশাসনিক ক্ষমতার প্রয়োজন হয়।

নিচে আমরা লোকালহোস্ট (localhost) থেকে 'machine2' পর্যন্ত একটি টানেল বা ভার্চুয়াল সুড়ঙ্গ তৈরির প্রক্রিয়া বর্ণনা করছি। এখানে 'machine2' একটি ফায়ারওয়ালের পেছনে সুরক্ষিত অবস্থায় রয়েছে এবং সরাসরি প্রবেশযোগ্য নয়, তবে 'machine1' নামক একটি সার্ভার রয়েছে যা জনসমক্ষে বা ইন্টারনেটে উন্মুক্ত এবং একইসাথে এটি 'machine2'-এ প্রবেশ করার ক্ষমতা রাখে। মূলত 'machine1'-কে একটি মাধ্যম হিসেবে ব্যবহার করে এই টানেলটি তৈরি করা হবে।

$ ssh -L 2222:machine2.example.org:22 machine1.example.org

টানেলটি সফলভাবে স্থাপিত হওয়ার পর, পরবর্তীতে এই টানেলের সাথে সংযোগ স্থাপন করলে তা প্রকৃতপক্ষে সরাসরি দ্বিতীয় হোস্ট অর্থাৎ 'machine2'-এর সাথে সংযুক্ত হবে।

$ ssh -p 2222 remoteuser@localhost

উপরে বর্ণিত কনফিগারেশন বা সেটআপ ব্যবহার করে 'machine1'-কে একটি মধ্যস্থতাকারী হিসেবে কাজে লাগিয়ে দুটি হোস্টের মধ্যে rsync(1) কমান্ড চালানোর একটি বাস্তব উদাহরণ নিচে প্রদান করা হলো। এর মাধ্যমে ফাইল বা ডিরেক্টরি অত্যন্ত দক্ষতার সাথে এক স্থান থেকে অন্য স্থানে স্থানান্তর বা সিনক্রোনাইজ করা সম্ভব।

$ rsync -av -e "ssh -p 2222"  /path/to/some/dir/   localhost:/path/to/some/dir/

তথ্যসূত্র