Início / computer / Perguntas / 1832858
Accepted
Teddy C
Asked: 2024-02-27 08:08:27 +0800 CST

Como fazer SSH em um servidor que só é endereçável e acessível a partir do host de salto?

  • 772

Posso usar SSH no servidor host de salto B da minha máquina local A via ssh B.

O servidor C só é endereçável (tem um endereço C.internal) e acessível de B via ssh C.

Como faço para usar SSH em C diretamente da minha máquina local?

Qual seria a aparência do comando SSH e do arquivo de configuração?

configuração ssh em A:

Host B
    User userB
    HostName B.example.com
    IdentityFile ~/.ssh/keyB

configuração ssh em B:

Host C
  HostName C.internal
  User userC
  IdentityFile ~/.ssh/keyC

É possível fazer isso sem copiar ~/.ssh/keyCdo host B para a máquina local A?

ssh

2 respostas

  1. Você precisa de um arquivo ssh_config como global /etc/ssh/ssh_configou como usuário ~/.ssh/config:

    Host B
  HostName 10.0.0.1
  User username_on_B
  IdentityFile ~/.ssh/id_rsa_for_B
  ForwardAgent yes

# final destination
Host C
  HostName C.internal
  User your_username_on_C
  ProxyJump B
  IdentityFile ~/.ssh/id_rsa_for_C

    Agora, a partir de A, você pode ssh C.

    • 3
  2. Best Answer

    Existem várias opções, mas nenhuma delas é "comando único":

    Você poderia executar um comando SSH para B que apenas executa um segundo comando SSH para C; você precisa adicionar a -topção para fazê-lo funcionar para SSH interativo:

    • ssh -t hostB "ssh hostC"
    • ssh -t hostB "ssh -t hostC htop"
    • ssh hostB ssh hostC ls -la /etc

    Se você deseja uma maneira de fazer SSH "diretamente" de A para C, você precisará de alguma engenhoca adicional para encaminhar uma conexão de agente ssh de B para o sistema local (ou seja, o oposto do que ssh -Anormalmente faria).

    1. SSH para o host B e, em seguida, inicie um agente ssh em um caminho especificado manualmente. Use o recurso SSH "stream forward" para permitir que clientes locais acessem o processo do agente remoto:

      HostA$ ssh -t -L /tmp/agent:/tmp/agent HostB \
    "ssh-agent -a /tmp/agent sh -c 'ssh-add ~/.ssh/keyC && sleep infinity'"

      (A opção ssh/config é LocalForward.)

    2. Enquanto a conexão acima estiver em execução, você poderá conectar-se do HostA ao HostC usando a configuração normal do ProxyJump, usando chaves que existem apenas no HostB:

      HostA$ export SSH_AUTH_SOCK=/tmp/agent
HostA$ ssh -J HostB HostC

      (As opções ssh/config são IdentityAgente ProxyJump.)

    Outra opção é copiar keyCde B para A e armazená-lo em hardware seguro , como um chip TPM ou um smartcard (um Yubikey com modo PIV também conta). Isso permite usar a chave localmente na máquina A sem a possibilidade de roubo.

    (Para TPM2.0 no Linux, você pode optar por tpm2-pkcs11ou ssh-tpm-agent; TPM2.0 no Windows pode ser usado via PuTTY-CAC. Para Yubikeys com PIV, existem módulos PKCS#11 para Windows e Linux. Estou usando um eToken 5110 do Ebay. Também existe uma maneira de usar chaves FIDO2 com SSH, mas seria necessário gerar uma nova chave.)

    • 3

relate perguntas