vitus_wagner | Про screen

На старости лет, наконец, научился запускать screen в detached mode
В смысле чтобы он сразу в бэкграунд уходил а потом можно было подцепиться и посмотреть что он там делает.

screen -d -m команда

Осталось собраться и прикрутить это к какому-нибудь стартап-скрипту.

Теперь бы еще ключиком -x выучиться пользоваться.

И поигтаться с

ssh-agent screen -D -m команда

(потому что -D и -d это разные вещи, равно как -r, -R и -RR).

Вот бродит у меня мысль что кнопка открытия окна терминала по умолчанию должна запускать не просто shell, а

screen -x -p +

Это правда не спасет от того, что по завершению сеанса LXDE накроется агент.

Crossposts: https://vitus-wagner.livejournal.com/1520523.html

Flat | Top-Level Comments Only

From:

b00_dc

Скрином давно пользоваться перестал, но если он, как tmux, может демоном стартовать - запускать его из .profile, а сеансы tty/эмуляторов потом цеплять (автоматом или вручную) к сессии демона. Типа такого:

# Autostart tmux on login
__autostart_tmux() {
    #TMUX_BIN="$( whereis tmux | cut -d " " -f 2 )"
    # which versions different output format
    TMUX_BIN="$( which tmux 2> /dev/null )"
    if [ -z "${TMUX_BIN}" ]; then
        echo "Tmux not found"
        return 0
    fi

    TMUX_AS_SESS_NAME="$(echo "${USER}" | cut -c '1-3')"
    # return empty line if specified session exist or return 1
    TMUX_AS_SESS_RUN="$( tmux has-session -t "${TMUX_AS_SESS_NAME}" &> /dev/null || echo "$?" )"
    #TMUX_AS_DAEMON_MODE="$1" # $1 == "-d" or " "
    #TMUX_AS_EXIT="$2" # "return 0" or "exit 0"

    # do not attach automatically to tmux session if login on local XTerm
    if [ -z "${TMUX_AS_SESS_RUN}" ] && [ -z "${SSH_TTY}" ] && [ "${TERM}" = "xterm" ]; then
        echo "Tmux: running, not attached on local XTerm"
        return 0
    # do not run tmux automatically in another tmux (or screen)
    # in exists tmux session shell be started on non-login mode and .profile not used
    # (see set -g default-command "${SHELL}" in tmux.conf)
    elif [ -n "${TMUX}" ] || [ "${TERM}" = "screen" -o "${TERM}" = "screen-256color" ]; then
        echo 'Tmux: not be running in another terminal multiplexer "'${TERM}'"'
        return 0
    # attach to existed tmux session or create it and exit login-shell; or print error message
    else
        ((tmux has-session -t "${TMUX_AS_SESS_NAME}" && exec tmux attach-session -t "${TMUX_AS_SESS_NAME}") || (tmux new-session -d -s "${TMUX_AS_SESS_NAME}" && exec tmux attach-session -t "${TMUX_AS_SESS_NAME}")) && exit 0;
        echo "Tmux: autostart failed: $?"
    fi
}

From:

vitus_wagner

А с какой это стати при логине в десктопную среду будет выполняться ~/.profile?

From:

legolegs

Так профиль любой логин-шелл должен подцеплять, даже если он графический оболочк, а не текстовый.

From:

vitus_wagner

Только графические оболочки с этим не всегда согласны.

From:

legolegs

А откуда ж они PATH берут и как вообще живут? Или /etc/profile они читают, а ~/.profile нет?

From:

vitus_wagner

Откуда-то из конфигурационных pam_env или из /etc/login.defs.
Еще, конечно, могут из /etc/Xsession.

From:

filin

Или из ~/.xsession

From:

filin

С ssh-агентом получается такая фигня: первый, который запускает screen, свои переменные туда пробросит. После детача он завершится. Второй уже не доставит ничего внутрь скрина.

Поэтому когда я занялся этой задачей (Linux Deploy, ходим через VX Connectbot, и оно отваливается при каждой смене внешней сети, хотя ходит на localhost), пришлось писать в ~/bin подмену для ssh, scp, git, git-is-clean и собственно screen.

У screen перед запуском настоящего запускается нечто, что прикапывает переменные агента (а заодно и DISPLAY), а у остальных запускается вот это вот прикопанное.

From:

vitus_wagner

Вот если запускать screen без параметров - получится именно такая фигня.
А если запускать его с -D -m, то такая фигня не получится. Получится другая.

From:

filin

Я запускаю с -D -RR. Ну, мне интерактивно, да.

Что будет, если запускать с -m, это более внимательно смотреть надо.

From:

vitus_wagner

Кстати, посмотри как эти скриптовые обертки в termux сделаны. Помоему, должно существовать решение, которое не требует оборачивать в скрипт git, rsync и прочие команды, вызывающие ssh.

From:

filin

Смотрел. Там как раз обертки, причем под другими именами.

В результате без ручного запуска агента никакие гиты не работают.

termux, благо, не отваливается после перехода в другую сеть.

From:

vitus_wagner

Вот поэтому как раз -D -m вариант - запускаем в бэкграунде screen СО СВОИМ агентом, и он там живет. Вместе с ключами. А мы к нему периодически коннектимся.

Это решение имеет свои недостатки. Но по-моему, недостатки почти неизбежные при использовании screen - т.е. получается что сессия (к которой принадлдежит агент) долгоживущая и мы к ней периодически из разных мест подключаемся. Что, собственно, концепции screen соответствует, но требует переосмыслить security ключей. Опять же для каждой машины, где мы запускаем такую долгоживущую сессию, требуются, вероятно, свои ключи. не совпадающие с теми, которыми мы авторизовались при доступе к этой машине.

Еще кстати, оцени разницу между -D -RR и -x -p +. Второй вариант интересен для запуска окна терминал-эмулятора в графичческой среде. Но может и не только для него. Получается что при запуске мы создаем новое окно с новой сессей shell, но в рамках старого screen,

При моей сложившейся практике это удобный вариант.

From:

filin

> Вот поэтому как раз -D -m вариант - запускаем в бэкграунде screen СО СВОИМ агентом, и он там живет. Вместе с ключами. А мы к нему периодически коннектимся.

Так. Поскольку оно не форкается, то агент не завершает работу, пока ее не завершил screen. Но... это не бэкграунд, поскольку он не завершается. То есть недостаток в том, что нельзя выходить из той сессии, где оно запущено. Когда это автоматизированная система, которая запускает что-то долгоиграющее, и ты можешь подцепиться и посмотреть, во что оно там играет. Но запуск из интерактивной сессии чреват боком. Как минимум, сверху нужен nohup. Ну и да, прежде чем оно сможет воспользоваться агентом, надо ключи ему отдать. Внутри запущенной команды. И если они парольные, то сначала подцепиться и сказать пароль.

> разницу между -D -RR и -x -p +

Не запутаться бы... Я на локальной машине обычно не запускаю screen, потому что часто запускаю его на удаленной при заходе на нее по ssh с локальной. А два слоя screen изрядно неудобны в плане управления.

Иногда так приходилось делать с планшета (где вышеупомянутые Linux Deploy и VX Connectbot, и screen локально). Оттуда удобно заходить на сервер, но при запуске screen на сервере получается как раз два слоя. Заманаешься соображать, сколько раз надо нажать a после Ctrl-a, чтобы получить нужный эффект. А главное, чтобы не получить ненужного.

From:

vitus_wagner

Я обычно обхожусь без nohup.
Как правило
(command </dev/null >/dev/null 2>&1 &)& мне хватает. И никаокй systemd не пытается истребить эту команду при завершении сессии.

Более того, если в xterminal сказатьCtrl-Z bg а потом его закрыть или сделать из него exit, как правило команда остается в бэкграунде.

В этом месте в соверменных линуксах бардак. И Поттеринг его исправить не сумел, хотя пытался.

Вот насчтет того чтобы отдать ключит долгоживущей сессии - это действительно надо думать. На тему того, как и сколько там должны жить ключи.

Возможно, самым правильным способом будет похакать screen, встроив agent-forwarding непосредственно в него.

То есть чтобы запущенные программы видели SSH_AUTH_SOCK, которым управляет сам screen.
А screen-который запускается из сессии, имеющей своего агента, передает ему запросы которые от выполняющихся внутри скрина программ получает мастер-процесс screen,

А насчет того сколько раз нужно нажать 'a' я буду эту проблему иметь в виду при дальнейших экспериментах.

Edited Date: 2020-02-15 12:11 pm (UTC)

From:

yurikhan

При использовании стека из двух и более мультиплексоров терминала нужно им выставлять разные префикс-клавиши. Например, у tmux’а дефолтный префикс Ctrl+b.

From:

vitus_wagner

А что делать, если есть десятки разных машин, на которые можно проходить по цепочке из двух-трех промежуточных узлов. Выставить каждой машине свою клавишу - клавиш не хватит.

From:

yurikhan

Необходимость на каждом хопе добавлять в стек ещё один мультиплексор мне представляется сомнительной. Один мультиплексор на локальной стороне, 0..1 на удалённой (в случае, если ожидается длительная работа с удалённой стороной), а на станциях пересадок достаточно голого шелла.

Разве что мы, сидя локально на A, работали на удалённой машине B, и тут внезапно обнаружилось, что надо сходить ещё на C и по странному совпадению связь до C есть только через B?

From:

vitus_wagner

А это в общем непредсказуемо, заходим мы на машину для того, чтобы запустить на ней какой-то длительный процесс или для того, чтобы использовать ее в качестве хопа к следующей.

From:

yurikhan

Непредсказуемо с позиции пользователя, который всё это делает, или с позиции .profile на машине, потенциально используемой в качестве перевалочной? А то же есть ещё опции ProxyJump и ProxyCommand, с которыми я б, наверно, поразбирался, будь у меня сколько-нибудь частым сценарий хождения по связной, но не полносвязной топологии.

From:

filin

Спасибо, Кэп. А рефлексам своим как префикс-клавиши назначать?

From:

yurikhan

Ну вот Ctrl+F4 и Alt+F4 в графических средах, например, на уровне рефлексов не путаются.

From:

filin

А у меня, разумеется, путаются виндовый Alt-Shift и мои Caps/Shift-Caps. Ну, с Alt-F4 проще — у меня в линуксе из каждой программы штатный выход по-своему, рефлекс не встаёт. В смысле, на винде я всё время норовлю применить привычный жест.

From:

yurikhan

Аналогия была в том, что в парах (Alt|Ctrl)+F4, (Alt|Ctrl)+[Shift+]Tab — и то и другое управляет окнами, но на разном уровне иерархии. Пока уровней не больше двух, модификаторов хватает, а также и визуал помогает эти уровни осознавать.

From:

filin

А, в этом смысле... Да, мысль не лишена интересности. У меня-то, в отличие от Витуса, ситуации «интерактивно зашел с одного сервера на другой» практикуются редко.

Я даже ее думал (поменять escape char на планшете, той системе, с которой могло регулярно требоваться ssh screen из-под screen), но отказался, потому что в VX Connectbot удобно было переключать окна нажатием на громкость, прямо-таки на порядок удобнее, чем с клавиатуры, если мы про экранную. Его можно настроить, чтобы он при этом выдавал C-a SPACE. Но, заразу, нельзя настроить, чтобы он выдавал там не C-a, а что-то иное. А переключаться надо часто.

From:

beldmit

Я для этого использую что-то вроде рецепта отсюда:

https://superuser.com/questions/180148/how-do-you-get-screen-to-automatically-connect-to-the-current-ssh-agent-when-re/424588#424588

From:

vitus_wagner

О, это хорошая идея. И перехватывать ничего не надо.

From:

beldmit

См. описанную ниже проблему.

Я её обошёл, добавив PID в имя создаваемого файла, но я не уверен, что из этого не следует никаких security implications.

find ~/.ssh/ -xtype l|xargs rm -rf
if [ -S "$SSH_AUTH_SOCK" ] && [ ! -h "$SSH_AUTH_SOCK" ]; then
    ln -sf "$SSH_AUTH_SOCK" ~/.ssh/ssh_auth_sock.$$
fi
export SSH_AUTH_SOCK=~/.ssh/ssh_auth_sock.$$

From:

filin

Что-то я подозреваю, что лечение получается хуже болезни.

В начале ты убиваешь все симлинки других процессов. Не глядя, завершились они или нет, и им эти симлинки еще нужны. В частности, ты можешь убить и ту симлинку, которая у тебя самого в SSH_AUTH_SOCK, если это не .profile, а .bashrc.

А оригинальная идея хороша, ее надо повнимательнее подумать.

From:

beldmit

На практике не убиваю. Когда у нас .bashrc выполняется в графических оболочках?

From:

filin

При любом запуске интерактивного шелла.

А, присмотрелся. Ты убиваешь (кстати, зря у тебя там -r у rm) только висячие симлинки. Те, которые указывали на уже сдохший сокет.

Тогда да, жизнеспособно.

From:

beldmit

Да, насчёт -r ты прав, но директории я там не создаю. Забыл уже, что только висячие. Надо комментарий довесить.

From:

filin

Нет, вру.

Ты, похоже, потерял оригинальное решение.

Тестовый пример.

Заходим по ssh с ForwardAgent на хост A. Там это выполняем, запускаем screen. Детачимся, выходим. Сокет сдох.

Заходим туда снова по ssh. В свежезапущенном шелле всё хорошо, но мы... аттачимся к скрину. И попадаем в первый шелл. Чей симлинк давно указывал в никуда, а при запуске второго шелла был удален. Пытаемся из него зайти по ssh на хост B с помощью агента. Упс...

В оригинальном решении, когда у всех таких шеллов текст SSH_AUTH_SOCK один, симлинк будет просто указывать на новый сокет, и старый шелл сможет воспользоваться новым агентом. Ради чего и делалось. А то, что делаешь ты, вообще не видно, чтобы имело какое-то преимущество перед штатной работой ssh.

Edited Date: 2020-02-16 07:57 pm (UTC)

From:

beldmit

Оригинальное решение у меня не работало в Криптокоме без screen. Ну ладно, вернусь на активное использование screen - посмотрю ещё раз.

From:

filin

Что-то я пытаюсь понять и не могу: чем твое решение отличается от его отсутствия? Какое действие с ним работает, а без него (только с ssh-agent, без костылей) — нет?

From:

beldmit

Не, я мог сам себя перехитрить. В Криптокоме домашняя директория с одной машины монтируется на все тестовые виртуалки, и там у меня были какие-то артефакты, для обхода чего я это и допиливал.

From:

vitus_wagner

Тогдк надо было туда не pid, а hostname писать.

From:

filin

Присоединяюсь ко мнению Витуса. И добавляю, что чистить то, что кажется сдохшими симлинками, в этом раскладе не стоит. Потому что то, что с этого хоста кажется симлинком в никуда, может оказаться вполне живым симлинком, просто другого хоста.

Артефакт, собственно, и был в том, что симлинк переписывают с другого хоста.

Ты вот хорошо умеешь искать по всяким stackexchange etc, но зачем-то забываешь, что найденное там стоит либо поднапрячься и понять, либо не использовать. Даже если кажется, что оно работает :-)

From:

beldmit

Да, на монтируемом повсюду /home у меня они не сносятся.

From:

beldmit

Да, там, где screen, у меня оригинальное решение оставлено.

From:

dmarck

find -delete же!

From:

burbilog

С середины 90х годов пользую screen, но не так чтобы отдельной командой процессы запускать, а управляя экранами. Тогда это было единственным способом не потерять запущенную программу, когда отвалился модем. Перезвонил, законнектился, screen -d -r
и вперед.

Соответственно для запуска чего-то отдельного (чтобы потом посмотреть) ^a^c, ну а когда надо на нужный экран переключился и вперед.

From:

vitus_wagner

В наше время каналы связи и VPN-ы тоже имеют привычку отваливаться.
Поэтому хочется, чтобы запущенный на удаленной машине долгоживущий процесс по умолчанию (без явных действий с моей стороны) оказался бы в screen.

Но, как правило, если ты работаешь на удаленной машине, то тебе постоянно нужен еще десяток удаленных машин, куда надо ходить по ssh по ключам. А ключи - на локальной машине.

И бесшовно скрестить логику screen и логику ssh-agent - не так просто. Вон

filin выше пишет, что ему для этого пришлось обернуть скриптами ssh, scp и сам screen.