Início / computer / Perguntas / 1488097
Accepted
aircraft
Asked: 2019-10-02 06:05:51 +0800 CST

O OpenSSH suporta login multihop?

  • 772

O Ansible usa o OpenSSH como a implementação comunicativa da rede de fundo, mas ele oferece suporte ao login multi-hop?

Quero dizer, se o Ansible pode fazer login em um servidor diretamente, mas pode fazer login no server_a, então, no server_a, faça login no server_b para configurar o server_b?

ssh openssh

2 respostas

  1. Best Answer

    Não sei como o Ansible usa o OpenSSH.

    Mas o próprio OpenSSH suporta "logins multihop" .

    Desde o OpenSSH 7.3, você pode usar o -Jswitch (pular) como:

    ssh -J [email protected] [email protected]

    O -Jé um equivalente de ProxyJumpdiretiva :

    ssh -o [email protected] [email protected]

    Observe que com ferramentas de transferência de arquivos, como scpe sftp, a -Jopção é suportada apenas a partir da versão 8.0. Com versões mais antigas (mas pelo menos 7.3), use ProxyJump. Consulte Como posso baixar um arquivo de um host para o qual só posso fazer SSH por meio de outro host?

    Observe também que as versões se referem a versões locais do OpenSSH. Uma versão remota do OpenSSH não é relevante.

    Como comentou @GordonDavisson, com versões mais antigas (mas pelo menos 5.4), você pode usar ProxyCommanddiretiva e -Wswitch :

    ssh -o ProxyCommand="ssh -W %h:%p [email protected]" [email protected]

    Com versões ainda mais antigas, você pode usar o nccomando em vez de -W:

    ssh -o ProxyCommand="ssh user2@%h nc host2.example.com 22" \
    -o HostKeyAlias=host2.example.com \
    host1.example.com

    Todas as opções acima são abordadas com mais detalhes no artigo do Wikilivros OpenSSH/Cookbook/Proxies e Jump Hosts .

    Outra opção é usar o encaminhamento de porta ( -Lswitch ). Mas isso envolve duas sshinstâncias. Não tenho certeza se isso é possível com o Ansible.

    • 9

  2. Para versões mais antigas do Ansible, você tinha que fazer isso na configuração geral do SSH, conforme descrito na resposta de Martin Prikryls. Novas versões têm configuração específica do Ansible, conforme descrito no FAQ geral

    Como configuro um host de salto para acessar servidores aos quais não tenho acesso direto?

    Você pode definir um ProxyCommand na variável de inventário ansible_ssh_common_args. Quaisquer argumentos especificados nesta variável são adicionados à linha de comando sftp/scp/ssh ao se conectar ao(s) host(s) relevante(s). Considere o seguinte grupo de inventário:

    [gatewayed] foo ansible_host=192.0.2.1 bar ansible_host=192.0.2.2

    Você pode criar group_vars/gatewayed.yml com o seguinte conteúdo:

    ansible_ssh_common_args: '-o ProxyCommand="ssh -W %h:%p -q [email protected]"'

    O Ansible anexará esses argumentos à linha de comando ao tentar se conectar a qualquer host no grupo com gateway. (Esses argumentos são usados ​​além de qualquer ssh_args de ansible.cfg, então você não precisa repetir as configurações globais de ControlPersist em ansible_ssh_common_args.)

    Observe que ssh -W está disponível apenas com OpenSSH 5.4 ou posterior. Com versões mais antigas, é necessário executar nc %h:%p ou algum comando equivalente no bastion host.

    Com versões anteriores do Ansible, era necessário configurar um ProxyCommand adequado para um ou mais hosts em ~/.ssh/config ou globalmente configurando ssh_args em ansible.cfg.

    Dessa forma, você tem uma maneira muito Ansible de configurar hosts bastiões SSH apenas quando necessário, juntamente com quaisquer outras configurações SSH especiais (como chaves, usuários etc.).

    • 1

relate perguntas