85 lines
3.4 KiB
Markdown
85 lines
3.4 KiB
Markdown
|
# SSH подключение через промежуточный узел без доступа к промежуточному узлу
|
|||
|
|
|
|||
|
|
Задача: обеспечить подключение к узлу в закрытом сегменте сети через промежуточный (bastion) узел. При этом закрыть возможность подключения к промежуточному узлу.
|
|||
|
|
|
|||
|
|
Упрощённая схема представлена на русунке
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
## Вводные данные
|
|||
|
|
|
|||
|
|
- `srchost` - узел с которого необходимо обеспечить подключение
|
|||
|
|
- `jumpuser` - пользователь, который инициирует подключение
|
|||
|
|
- `bastion` - промежуточный узел, через который необходимо обеспечить подключение
|
|||
|
|
- `enduser` - пользователь, от имени которого необходимо выполнить подключение
|
|||
|
|
- `dsthost` - узел, к которому необходимо подключиться
|
|||
|
|
|
|||
|
|
Порядок подключения:
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost:~$ ssh -A -J jumpuser@bastion enduser@dsthost
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
## Настройка подключения
|
|||
|
|
|
|||
|
|
### Сегенерировать ssh ключ
|
|||
|
|
|
|||
|
|
На узле `srchost` для пользователя `jumpuser` сгенерировать ssh-ключ
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost:~$ ssh-keygen
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### Скопировать публичный ключ на узел `bastion`
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost:~$ ssh-copy-id jumpuser@bastion
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### Проверить подключение
|
|||
|
|
|
|||
|
|
Убедиться, что есть возможность подключения без пароля
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost:~$ ssh jumpuser@bastion
|
|||
|
|
jumpuser@bastion:~$
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### Скопировать публичный ключ на узел `dsthost`
|
|||
|
|
|
|||
|
|
Скопировать публичный ключ `jumpuser` в файл `/home/enduser/.ssh/authorized_keys` на узле `dsthost`
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
enduser@dsthost:~$ cat .ssh/authorized_keys
|
|||
|
|
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDqAk2CZKveP6zvYKBlwxhlhontNHOpMiKdS1rIfJ8r5J9CHn3EbZftfwMIPp2dji4YsKkCHVEVHbwLf+efc/8wUxnaBdVZPaP/SUT9+f3NjjVxS7vPfIw24qHTltIIcJaeJMPHZ5BKtF9Gvgkh4N4MLH2e2o7OcekQej/JEQSDneqgEfPe5Xhks34VOOkhaM02skyFjCEacLBfBbYHqlwWDEEtUAMzQGdgt9h85WWcCBA/qRT8eRDvKFYEr7238jREKD0MPQ1R5jIjk37GFa0vr7vEAO9mTI4hGHl89YqnxaWg6P5gO+lXGsemE+0oXpWG7zKt8PF2nPK6dq93RFeb jumpuser@srchost
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### Проверить подключение через промежуточный хост с пробросом ключа
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost ~$ ssh -A -J jumpuser@srchost enduser@dsthost
|
|||
|
|
enduser@dsthost ~$
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### Ограничить возможность подключения пользователем `jumpuser` к `bastion`
|
|||
|
|
|
|||
|
|
В конфигурационный файл `/etc/ssh/sshd_config` добавить
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@bastion:~ $ tail -n 7 /etc/ssh/sshd_config
|
|||
|
|
|
|||
|
|
Match User jumpuser
|
|||
|
|
PermitTTY no
|
|||
|
|
X11Forwarding no
|
|||
|
|
PermitTunnel no
|
|||
|
|
GatewayPorts no
|
|||
|
|
ForceCommand /usr/sbin/nologin
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
Таким образом получается подключиться к `enduser@dsthost` через промежуточный узел `jumpuser@bastion` без возможности подключения к `jumpuser@bastion`
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
jumpuser@srchost ~$ ssh -A -J jumpuser@srchost enduser@dsthost
|
|||
|
|
enduser@dsthost ~$
|
|||
|
|
```
|