问题[bastion](server)

我最初的理解是，Azure Bastion就像一个轻量级的 SSH（和 RDP）网关，通向同一虚拟网络上的资源（特别是 VM），而不是将完整的 VM 预配为 jumpbox。也就是说，我希望能够从公共 Internet 上的任何地方通过 SSH 连接到同一网络上的 VM：

ssh -i /path/to/private.key -J BASTION_IP user@VM_IP

BASTION_IP与堡垒资源关联的公共 IP 地址在哪里，并且VM_IP是堡垒子网的兄弟子网中 VM 的内部 IP 地址。

我已经在 Terraform 中使用“基本”堡垒 SKU 进行了设置，但是当我尝试连接时，它会超时。在 Azure Poral 中，有一个名为“Native Client Support”的选项（需要“标准”SKU），作为tunneling_enabled相应 Terraform 资源中的参数公开。进行了这些更改后，我的连接仍然超时。

按照文档的兔子洞建议您必须使用 Azure CLI。事实上，我可以使用 Azure CLI 进行隧道工作——显然，SSH 扩展仅适用于 Windows——但这有点小题大做：

az login  # I assume there's a way to login unattended
az account set --subscription SUBSCRIPTION_ID
az network bastion tunnel --name BASTION_NAME --resource-group RG_NAME --target-resource-id REALLY_LONG_VM_RESOURCE_ID --resource-port 22 --port 2222 &
ssh -i /path/to/private.key -p 2222 user@localhost

是否有通过 Azure 堡垒通过 SSH 连接到 Azure VM 的非专有方式？或者我对其用例的假设是否成立？

我正在按照https://aws-quickstart.s3.amazonaws.com/quickstart-bitnami-wordpress/doc/wordpress-high-availability-by-bitnami-on-the-aws-cloud.pdf中的指南创建一个AWS 上的 WordPress 高可用性。

创建成功。我可以访问 WordPress 网站和管理面板。但是，当我按照“选项 2。通过 SSH 连接到集群”部分中的说明进行操作时，我发现我无法连接到 Bastion 主机实例。我总是收到错误“连接超时”。

由于我使用的是 SecureCRT，而不是 ssh 或 PuTTY，所以我怀疑 SecureCRT 中可能存在一些错误配置，或者它不适用于 Amazon EC2 实例。所以我尝试创建一个测试 EC2 实例，然后发现我可以使用 SecureCRT 成功连接到它，密钥对与 Bastion 主机的密钥对相同。

那么我做错了什么？或者我可以检查什么日志来解决这个问题？

我安装tinyproxy 1.8.4在 GCP 上具有公共 IP 的堡垒主机上，以将流量转发到私有 GKE 集群。现在我正在使用 ssh 通过端口转发连接到堡垒主机，并且连接已正确建立，但是，例如运行本地命令会HTTPS_PROXY=localhost:8888 kubectl get pods --all-namespaces返回此错误Unable to connect to the server: Access denied。

我还从堡垒主机内部尝试了相同的命令，但遇到了同样的问题。

在 tinyproxy 的日志文件中，我每次尝试执行上一个命令时都会找到这些条目。这些是 tinyproxy 的日志。

CONNECT   Mar 01 14:24:03 [1869]: Connect (file descriptor 7): localhost [::1]
NOTICE    Mar 01 14:24:03 [1869]: Unauthorized connection from "localhost" [::1].
INFO      Mar 01 14:24:03 [1869]: no entity
CONNECT   Mar 01 14:24:05 [1860]: Connect (file descriptor 7): localhost [::1]
NOTICE    Mar 01 14:24:05 [1860]: Unauthorized connection from "localhost" [::1].
INFO      Mar 01 14:24:05 [1860]: no entity
CONNECT   Mar 01 14:24:05 [1865]: Connect (file descriptor 7): localhost [::1]
NOTICE    Mar 01 14:24:05 [1865]: Unauthorized connection from "localhost" [::1].
INFO      Mar 01 14:24:05 [1865]: no entity
CONNECT   Mar 01 14:24:06 [1862]: Connect (file descriptor 7): localhost [::1]
NOTICE    Mar 01 14:24:06 [1862]: Unauthorized connection from "localhost" [::1].
INFO      Mar 01 14:24:06 [1862]: no entity
CONNECT   Mar 01 14:24:07 [1864]: Connect (file descriptor 7): localhost [::1]
NOTICE    Mar 01 14:24:07 [1864]: Unauthorized connection from "localhost" [::1].
INFO      Mar 01 14:24:07 [1864]: no entity

我正在关注本指南https://github.com/GoogleCloudPlatform/gke-private-cluster-demo，但我不知道问题出在哪里。先感谢您。

我刚刚在 AWS 中设置了我的第一个堡垒主机，这让我想到了访问权限。例如：

user --> bastion (public) --> database (will only allow access from bastion IP on port 22)

似乎我可以通过两种方式做到这一点：

第一的

用户将有两个私钥，即他的个人密钥和数据库密钥。添加使用ssh-add -K. 因此，为了通过 ssh 进入数据库，用户将执行以下操作：ssh -A user@bastion然后一旦登录堡垒主机，他就可以执行另一个 ssh 进入数据库。

第二

用户将只有一个私钥，即他的个人密钥。他将使用它通过 ssh 进入堡垒主机，然后从那里连接到数据库。这次没有密钥转发，因为数据库已经从堡垒授权了密钥。

这两者之间的区别在于，用户只需要第一种方法的数据库密钥，而不需要第二种方法。

我的问题是，哪一个是最好的方法？似乎它们都可以被认为是安全的。但是第二个可能会更好，因为管理员不必将数据库密钥分发给用户。

我无法在我的 macbook 上使用我的用户通过 ssh 连接到我的数据中心节点之一。这是一个最近出现的问题，从几周前开始就非常实用。

奇怪的是，这只会影响我计算机上的用户，但我能够从以下位置建立连接：

• 同一台机器上的不同用户，使用相同的 ssh 密钥并且没有任何 .ssh/config 规则。
• 不同的服务器，运行 macos 或 ubuntu，具有相同或不同的 ssh 密钥。

在我的计算机中使用我的用户名和相同的密钥，我可以：

• 连接到网关主机
• 使用 VPN 直接连接到节点（不幸的是，这不是一个长期的解决方案）

我对这个错误感到很困惑。你能帮我定位问题吗？

查看日志，与网关的连接已建立，但无法连接到节点。在客户端：

⌘ ~ ❯ ssh -v -J gatekeeper@gateway ubuntu@node -i ~/.ssh/id_rsa 
OpenSSH_7.3p1, LibreSSL 2.4.1
[...]
debug1: Authentication succeeded (publickey).
Authenticated to gateway ([35.156.248.245]:22).
debug1: channel_connect_stdio_fwd node:22
debug1: channel 0: new [stdio-forward]
debug1: getpeername failed: Bad file descriptor
debug1: Requesting [email protected]
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
debug1: client_input_global_request: rtype [email protected] want_reply 1
channel 0: open failed: connect failed: Connection timed out
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host

在网关端：

admin@gateway:~$ grep -e "\[7669\]" -e "\[7739\]" /var/log/auth.log
Mar 13 11:01:20 gateway sshd[7669]: Set /proc/self/oom_score_adj to 0
Mar 13 11:01:20 gateway sshd[7669]: rexec line 32: Deprecated option PermitBlacklistedKeys
Mar 13 11:01:20 gateway sshd[7669]: Connection from <laptop-out-ip> port 62113 on <gateway-ip> port 22
Mar 13 11:01:20 gateway sshd[7669]: Postponed publickey for gatekeeper from <laptop-out-ip> port 62113 ssh2 [preauth]
Mar 13 11:01:20 gateway sshd[7669]: Accepted publickey for gatekeeper from <laptop-out-ip> port 62113 ssh2: RSA 8d:7e:9c:53:11:c9:4d:b3:67:7b:ae:04:03:8f:e2:71
Mar 13 11:01:20 gateway sshd[7669]: pam_unix(sshd:session): session opened for user gatekeeper by (uid=0)
Mar 13 11:01:20 gateway sshd[7669]: User child is on pid 7739
Mar 13 11:03:27 gateway sshd[7739]: error: connect_to <node-ip> port 22: failed.
Mar 13 11:03:28 gateway sshd[7739]: Connection closed by <laptop-out-ip>
Mar 13 11:03:28 gateway sshd[7739]: Transferred: sent 2252, received 2864 bytes
Mar 13 11:03:28 gateway sshd[7739]: Closing connection to <laptop-out-ip> port 62113
Mar 13 11:03:28 gateway sshd[7669]: pam_unix(sshd:session): session closed for user gatekeeper

在节点端，日志中没有条目。

网关上的 ssd_config：

# ssh service configuration

AcceptEnv
AddressFamily inet
AllowAgentForwarding yes
AllowGroups
AllowTcpForwarding no
AllowUsers gatekeeper
AuthorizedKeysFile %h/.ssh/authorized_keys
ChallengeResponseAuthentication no
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
ClientAliveCountMax 3
ClientAliveInterval 15
Compression delayed
DenyGroups
DenyUsers
GSSAPIAuthentication no
GatewayPorts no
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostbasedAuthentication no
KerberosAuthentication no
ListenAddress 0.0.0.0:22
LogLevel VERBOSE
LoginGraceTime 60
MaxAuthTries 6
MaxSessions 10
MaxStartups 30
PasswordAuthentication no
PermitBlacklistedKeys no
PermitRootLogin no
PermitTunnel no
PermitUserEnvironment no
PidFile /var/run/sshd.pid
PrintLastLog yes
PrintMotd no
Protocol 2
PubkeyAuthentication yes
RSAAuthentication no
RhostsRSAAuthentication no
StrictModes yes
SyslogFacility AUTH
TCPKeepAlive yes
UseDNS no
UseLogin no
UsePAM yes
UsePrivilegeSeparation yes
X11Forwarding no

Match User gatekeeper
AllowTcpForwarding yes
AllowAgentForwarding no
X11Forwarding no

我正在尝试使用 bastionssh 访问许多其他服务器。我的联系人是一位来自世界另一端的同事，因此获取信息可能会很棘手。他为我提供了 bastionssh 服务器的访问权限，并为我提供了一个配置文件，其中包含以下详细信息：

Host hostname
User username
TCPKeepAlive yes
HostName x.x.x.x
ProxyCommand ssh bastionssh nc %h %p

我不确定如何尝试连接到该主机。我试过

ssh bastionssh nc %h %p

但获得许可被拒绝。没想到它会起作用，并担心它可能是权限的错误识别，主要是因为在我运行此命令时，我从未引用过实际的主机名或用户名等。如果有的话，谁能告诉我如何使用这些详细信息代理命令只有 %h 和 %p。我是否用提供的主机替换这些值？

我有以下情况： DevMachine (D) need to connect to a gateway/bastion server (G) and then be able to talk to another server serving RabbitMQ (R) traffic on port 5672.

我尝试使用到网关的 ssh 隧道：ssh -L 5672:localhost:5672 G接下来我希望网关实例让我连接到R5672。我该如何实现呢？我觉得我在这里错过了一步。

我想要什么：D ->G -> R。我得到的是D ->G. 如果我有一个在本地运行的 rabbitmq 实例G- 这可以工作，但我想要的基本上是G用作 VPN。

谢谢！