คำถามติดแท็ก bastion


3
เซิร์ฟเวอร์ Bastion: ใช้การส่งต่อ TCP กับการวางกุญแจส่วนตัวบนเซิร์ฟเวอร์
เรามีเซิร์ฟเวอร์ป้อมปราการ B. เราจำเป็นต้อง SSH จาก A ถึง B ถึง C โดยใช้คีย์ส่วนตัว ตัวเลือกที่ดีกว่าคืออะไร: วางคีย์ SSH ส่วนตัวบนเซิร์ฟเวอร์ B เราอ่านว่าเป็นความคิดที่ดีที่จะทำเช่นนั้นในสภาพแวดล้อมการใช้งานจริง จากที่นี่ : อย่าวางกุญแจส่วนตัว SSH ของคุณบนอินสแตนซ์ป้อมปราการ ใช้ตัวแทนส่งต่อ SSH เพื่อเชื่อมต่อกับป้อมปราการก่อนและจากที่นั่นไปยังอินสแตนซ์อื่นในเครือข่ายส่วนตัว สิ่งนี้จะช่วยให้คุณเก็บรหัสส่วนตัว SSH ไว้ในคอมพิวเตอร์ของคุณ การใช้งานการส่งต่อตัวแทน SSH สำหรับการตั้งค่าการส่งต่อตัวแทนฉันต้องอนุญาตการส่งต่อ TCP เมื่อตั้งค่าการส่งต่อเอเจนต์ไฟล์ซ็อกเก็ตจะถูกสร้างขึ้นบนโฮสต์การส่งต่อซึ่งเป็นกลไกที่คีย์สามารถส่งต่อไปยังปลายทาง ในการตั้งค่า Bastion ที่ AWS: TCP ไปข้างหน้า: การตั้งค่านี้เป็นจริงจะเปิดใช้งานการส่งต่อ TCP (SSH tunneling) สิ่งนี้มีประโยชน์มาก แต่ก็มีความเสี่ยงด้านความปลอดภัยดังนั้นเราขอแนะนำให้คุณใช้การตั้งค่าเริ่มต้น (ปิดใช้งาน) ยกเว้นว่าจำเป็น จากที่นี่ : การส่งต่อตัวแทน …

1
Ansible - เข้าถึงผ่าน Bastion ด้วย MFA
ในสภาพแวดล้อมปัจจุบันของฉันฉันมีเซิร์ฟเวอร์ Linux ทั้งหมดของฉันเท่านั้นที่สามารถเข้าถึงได้ผ่านโฮสต์ป้อมปราการซึ่งเปิดใช้งาน MFA ฉันจัดการเพื่อให้ Ansible ประสบความสำเร็จในการพูดคุยกับเซิร์ฟเวอร์ผ่านป้อมปราการปัญหาเดียวคือมันสร้างการเชื่อมต่อใหม่ไปที่ป้อมปราการสำหรับแต่ละโฮสต์ซึ่งหมายความว่าฉันต้องป้อนคีย์ MFA ให้มากที่สุดเท่าที่ฉันมีเซิร์ฟเวอร์ เวลาที่ไม่ดี :( ฉันได้ลองทำสิ่งต่าง ๆ เช่นนี้ใน ssh config เพื่อพยายามมัลติเพล็กซ์ทำงาน: Host bastion ControlMaster auto ControlPath ~/.ssh/ansible-%r@%h:%p ControlPersist 5m น่าเสียดายที่มันดูเหมือนจะไม่ทำ ทุกคนมีเคล็ดลับเกี่ยวกับวิธีที่ฉันสามารถหยุด Ansible อีกครั้งสร้างการเชื่อมต่อผ่านโฮสต์ป้อมปราการของฉันสำหรับทุกพื้นที่ที่สัมผัส ขอบคุณ!
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.