Suponha a seguinte configuração:
- O usuário
bobestá trabalhando localmente em sua estação de trabalhofoo. - O usuário
aliceestá trabalhando localmente em sua estação de trabalhobar. - O usuário
bobtem acesso ssh ao servidorbaz:22por meio de uma chave armazenada embob@foo:.ssh/id_rsa. - O usuário
alicetem acesso ssh Ãbobestação de trabalho,foo:22mas não ao servidorbaz.
Existe uma maneira de bobssh bazcompartilhar sua sessão (via encaminhamento de porta?) Ou chave (via encaminhamento ssh-agent?) De modo que alicepossa acessar bazviabarfoo (assumindo boba identidade de on foo) ?
Termo aditivo:
Há mais alguns pensamentos que eu deveria ter esclarecido:
bobnão queralicesaber a senha delebobnão queralicepoder continuarrm -rf /home/bob(foonobazentanto, isso seria bom, obviamente).
Conforme sugerido por @mukesh-sai-kumar , pode-se fazer o alicelogin foo(como bob?) E sshcom a chave compartilhada de lá.
A melhor abordagem que posso ver até agora seria criar um novo par de chaves para aliceon bar, permitir a chave pública fooe executar automaticamente o ssh bob@bazpor meio da command="ssh [...]"opção no authorized_keysarquivo.
Isso permitiria configurar ssh bazo uso bardo ssh bob@foonovo par de chaves via alice@bar:.ssh/configcom o encaminhamento de bob@foologins usando essa chave especÃfica para bob@bazvia bob@foo:.ssh/authorized_keys(autorizando alicea chave de mas restringindo commanda ssh bazchamada).
Dessa forma, as duas novas restrições seriam atendidas e alicenem veriam nada, como mostra esta hipotética sessão interativa:
[alice@foo:~] (1) $ hostname
foo
[alice@foo:~] (2) $ whoami
alice
[alice@foo:~] (3) $ ssh baz
[bob@baz:~] (1) $ hostname
baz
[bob@baz:~] (2) $ whoami
bob
[bob@baz:~] (3) $ exit
[alice@foo:~] (4) $ hostname
foo
[alice@foo:~] (5) $ whoami
alice
[alice@foo:~] (6) $
O único problema restante é que boba chave ssh fooprecisa ser compartilhada com bob a sessão iniciada por sshfrom alice(via ssh-agent? ) .
Solução: Sessão SSH aninhada.
alice pode fazer login na estação de trabalho de bob (foo:22) via SSH com a identidade de bob e, em seguida, fazer login em baz via SSH com a identidade de bob (e sua chave, pois ambos agora estão acessÃveis a alice).
Uma representação baseada em comando disso:
Representação esquemática:
Alice pode dar a Bob sua chave pública, e Bob pode adicionar uma linha ao seu próprio
.ssh/authorized_keysarquivo que permitirá a Alice iniciar uma sessão ssh (como Bob) na estação de trabalho de Bobfoo. Usando acommand=opção, Bob pode restringir a chave de Alice para não conceder um shell interativo, mas uma conexão ssh aninhadabazcomo Bob e usar uma chave acessÃvel localmente para Bob embar.command="ssh -I .ssh/id_rsa bob@baz:22" ssh-rsa AAA...== alice@whateverOpcionalmente, você pode incluir outras opções de restrição (
no-port-forwarding,from=, etc. - consultesshda seção da página man em AUTHORIZED_KEYS FILE FORMAT).Quando Alice executar
ssh bob@bare autenticar com sua chave privada, ela será conectadabara uma sessão ssh embaz, sem ter nenhum controle sobre a sessão intermediária na estação de trabalho de Bob.Observe que, do ponto de vista de
baz(logging, auditoria de segurança), não há distinção entre essa conexão encapsulada iniciada por Alice e uma conexão "normal" feita por Bob a partir de sua própria estação de trabalho. Isso pode ser o que você pediu, mas não o que você quer.Para tornar a chave protegida disponÃvel para Alice para sua sessão, você pode definir explicitamente a variável de ambiente
SSH_AUTH_SOCKpara ser o caminho que Bob usa para sua sessão (mude aauthorized_keysentrada paracommand="SSH_AUTH_SOCK=/path/to/bobs/agent_socket ssh bob@baz:22" ssh-rsa AAA...) Para evitar ter que atualizar o caminho quando ele muda (logoff/login normalmente ), Bob pode executar um agente dedicado em nome de Alice com um caminho explÃcito especificado (ssh-agent -a ~/.ssh/agent_for_alicee adicionar apenas a chave especÃfica comSSH_AUTH_SOCK=~/.ssh/agent_for_alice ssh-add ~/.ssh/id_rsae inserir a frase secreta.