我怎样才能简化这个?也许使用代理转发?
我有一个通过 TOTP x2 使用 2FA 的 SSH 跳转主机和一台也使用 2FA 的机器(跳转主机和机器):
ssh [email protected] -L 22222:my_machine.corp.com:22
# requires password + 2FA TOTP code
ssh myuser@localhost -p 22222
# requires password + 2FA TOTP code
我怎样才能理想地简化这个(通过SSH配置左右)来简单地调用ssh myhost,然后如果需要被要求输入2FA和密码2x - 但不必连接2x
我有一个远程 CentOS 服务器,让我们假装它叫做 hostname.com
hostname.com 有几个用户帐户,我想以这些用户中的任何一个用户的身份 ssh 进入此服务器(使用 ssh 密钥而不是密码)。
似乎每个人都建议只更改我的本地 ssh 配置,为每个远程用户添加一个别名服务器,然后为每个别名提供不同的 IdentityFile。
所以我必须ssh bob@aliased_hostname1和ssh alice@aliased_hostname2
还有其他解决方案吗?我宁愿不要 ssh'ing 成别名主机名
理想情况下,我只想ssh [email protected]或ssh [email protected]自动选择正确的 ssh 密钥文件,基于我尝试登录的远程用户名。
美好的一天,我整天都在阅读类似的主题,但不幸的是找不到适合我情况的答案。所以这就是我想要做的。我有一个带有很多函数的 shell 脚本,其中一个函数应该调用 ssh-agent:
sh_agent_run () {
case "$(pidof ssh-agent | wc -w)" in
0) echo "SSH agent is not running. Startting SSH agent."
eval `ssh-agent -s`
ssh-add ${ssh_key}
;;
1) echo "SSH agent is running. Nothing to do."
;;
*) echo "Too much instances of SSH agent is running. Stopping SSH agent instances and running just one"
while pidof ssh-agent; do
echo "Stopping ssh-agent..."
killall -9 ssh-agent
sleep 1
done
echo "Starting valid SSH agent instance"
eval `ssh-agent -s`
ssh-add ${ssh_key}
;;
esac
}
输出说:
[root@centos 版本]# ./ssh_tunnels.sh -sr SSH 代理没有运行。启动 SSH 代理。添加的身份:(ssh 密钥的路径)
但是当我尝试连接到 ssh-agent 并使用 ssh-add -L 命令检查密钥时,它会说:
[root@centos 版本]# ssh-add -l 无法打开与您的身份验证代理的连接。
有人可以帮我调整我的功能,以便我可以将它构建到我的脚本中并使用吗?这对于不通过 .bashrc 运行 ssh-agent 至关重要,我需要通过此脚本(启动、停止、状态等)管理 ssh-agent
先感谢您
在回答重用 SSH 密钥时,我有一个自己的问题,您可以在 ssh 代理中保存的 ssh 密钥的数量是否有限制?(和/或腻子选美)。
(作为测试,我在选美中加载了 10 个键,似乎没有问题)
我正在寻找一种从身份验证代理中提取公钥的方法。在我将密钥添加到 ssh-agent ( ) 之后,我希望能够将公钥写入文件中ssh-add ~/.ssh/id_rsa。
ssh-add -l为我显示指纹,但有没有办法获得完整的公钥?
谢谢你的建议
我在树莓派中使用autossh连接到我的一个 VPS。
但我有 4 个树莓派。我使用相同的脚本连接到我的远程 VPS,这样我就可以随时远程登录每个树莓派。
对于这 4 个 pi,我autossh以这种方式使用:
将此行添加到my /etc/rc.local我的第一个 Pi 上。
sudo su pi -c "autossh -M 1122 -4 -NC -R \*:8822:localhost:22 [my_vps_username]@[my_vps_IP] -p 22" &
所以我可以使用
ssh -l pi [my_vps_IP] -p 8822连接到我的第一个 Pi。
如果我想连接到第二个 Pi,我必须将端口更改为 8823 或其他东西。
sudo su pi -c "autossh -M 1122 -4 -NC -R \*:8823:localhost:22 [my_vps_username]@[my_vps_IP] -p 22" &
这是问题:
如何在不一一指定端口的情况下拥有大量 SSH 反向连接?
我可能有 100 个 Pi(s),我需要在开机时随时通过 SSH 连接到它们。摆脱端口重复,并系统地管理这些 SSH 连接。
欣赏!
作为 Upstart 脚本的一部分,我需要启动 ssh-agent 来加载 GitHub 部署密钥,所以在脚本中我有:
eval "$(ssh-agent -s)"
ssh-add $HOME/.ssh/id_rsa
问题是,当服务重新启动时,ssh-agent 会重新启动,让我运行多个副本。我很确定这是因为重新运行脚本时环境变量丢失了。我尝试了以下方法:
script
...
# Ensure SSH agent is running
if [ -z "$SSH_AUTH_SOCK" ]; then
eval "$(ssh-agent -s)" >/dev/null
ssh-add $HOME/.ssh/id_rsa
initctl set-env --global SSH_AUTH_SOCK=$SSH_AUTH_SOCK
initctl set-env --global SSH_AGENT_PID=$SSH_AGENT_PID
initctl set-env --global SSH_AGENT_LAUNCHER=upstart
fi
exec ...
...
end script
post-stop script
# Shut down SSH agent
if [ "$SSH_AGENT_LAUNCHER" = upstart ]; then
kill $SSH_AGENT_PID 2>/dev/null || true
initctl unset-env --global SSH_AUTH_SOCK
initctl unset-env --global SSH_AGENT_PID
initctl unset-env --global SSH_AGENT_LAUNCHER
fi
end script
这里的问题是我setuid在脚本中有一个,所以initctl不允许调用,因为用户没有所需的权限。有没有一种简单的方法可以从脚本中导出环境变量,以便它们在停止后脚本中可用,或者将它们写入文件并在停止后获取该文件是最好的方法?
我创建了非 sudo 用户,但使用它登录时无法添加 ssh 密钥:
% ssh -vvv add ~/.ssh/mykey
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
ssh: Could not resolve hostname add: Name or service not known
Ubuntu 14.04,全新安装后没有更改 ssh 配置。
当我以 sudo 用户身份登录时添加密钥时,一切正常。我试着做
% eval `ssh-agent -s`
Agent pid 18372
但ssh add在此之后显示相同的错误。
问题:我有大约 20-30 个ssh-agent身份。大多数服务器拒绝使用 进行身份验证Too many failed authentications,因为 SSH 通常不会让我尝试 20 个不同的密钥来登录。
目前,我正在使用IdentityFile和IdentitiesOnly指令手动为每台主机指定身份文件,这样 SSH 将只尝试一个密钥文件,这是可行的。
不幸的是,一旦原始密钥不再可用,它就会停止工作。ssh-add -l向我显示每个密钥文件的正确路径,它们与 中的路径匹配.ssh/config,但它不起作用。显然,SSH 是通过公钥签名而不是文件名来选择身份的,这意味着原始文件必须可用,SSH 才能提取公钥。
这有两个问题:
当然,我可以从我的身份文件中提取公钥并将它们存储在我的计算机上,以及我经常登录的每台远程计算机上。不过,这看起来不像是理想的解决方案。
我需要的是通过文件名从 ssh-agent 选择身份的可能性,这样我就可以轻松地使用.ssh/config或通过传递选择正确的密钥-i /path/to/original/key,即使在我通过 SSH 进入的远程主机上也是如此。如果我可以为这些键起“昵称”,这样我什至不必指定完整路径,那就更好了。
我需要一直从 Github 拉取并且我有一个密码,但这很痛苦,所以我通常运行......
ssh-agent bash
ssh-add ~/.ssh/id_rsa
<prompt and give passphrase>
git pull
...
这适用于会话,但即使在我注销后,我也希望它在下次我 PuTTY 时保存密码。所以我安装了钥匙串,但我太笨了无法操作它。所以现在当我登录时,我输入...
ssh-agent bash (Which I'm guessing causes bashrc to load and then keychain loads)
git pull
...
我该怎么做,这样我就不需要在每次登录时都调用“ssh-agent bash”?
我正在使用 ArchLinux...