ไม่ชัดเจนเกี่ยวกับการส่งต่อ SSH (ตัวแทน) - ฉันจำเป็นต้องคัดลอกกุญแจสาธารณะไปที่ authorized_keys ในทุก ๆ เป้าหมายหรือไม่


2

ฉันกำลังพยายามที่จะใช้ / ทดสอบการส่งต่อ SSH แต่วิธีเดียวจนถึงตอนนี้ที่ฉันสามารถทำให้มันทำงานได้ถ้าฉันคัดลอกกุญแจสาธารณะ (ssh-rsa xxxx) ไปยังเครื่องแต่ละเครื่องที่ฉันต้องการให้ SSH

สมมติว่าฉันมี:

My workstation - มี Putty และ Pageant และฉันมี PPK ที่ฉันนำเข้าสู่ Pageant และคีย์สาธารณะที่เกี่ยวข้อง

CENTOS1 - มีการเรียกใช้ ssh-agent และ sshd_config และ ssh_config มีการตั้งค่าพารามิเตอร์ "ส่งต่อ" เป็น "ใช่"

CENTOS2 - มีการเรียกใช้ ssh-agent และ sshd_config และ ssh_config ได้ตั้งค่าพารามิเตอร์ "การส่งต่อ" เป็น "ใช่"

จากนั้นฉันใช้ Putty เพื่อเชื่อมต่อกับ CENTOS1 และฉันสามารถเข้า CENTOS1 ได้

แต่ถ้าจาก CENTOS1 ฉันลอง "ssh yourself @ CENTOS2" ฉันไม่สามารถเข้าและได้รับ "การอนุญาตถูกปฏิเสธ"

แต่ถ้าฉันคัดลอกกุญแจสาธารณะไปที่ authorized_keys บน CENTOS2 จากนั้นเมื่อฉันอยู่ใน CENTOS1 ฉันสามารถ "ssh yourself @ CENTOS2" ได้

ฉันคิดว่าด้วย ssh-agents ที่ทำงานบน CENTOS1 และ CENTOS2 และด้วย Pageant ที่รันบนเวิร์กสเตชันของฉันที่มี PPK ที่โหลดไปยัง Pageant ว่าฉันควรจะสามารถ Putty ไปยัง CENTOS1 แล้วจาก CENTOS1 ฉันควร SSH ถึง CENTOS2 โดยไม่ต้องคัดลอกกุญแจสาธารณะไปยัง CENTOS1 หรือ CENTOS2 ด้วยตนเอง

ฉันคิดว่านั่นเป็นจุดประสงค์ของการใช้ ssh-agent และ Pageant (หลีกเลี่ยงการคัดลอกกุญแจสาธารณะไปยังเครื่องเป้าหมาย)

หรือใช้ตัวแทน ssh และ Pageant ทำหน้าที่เพียงเพื่อหลีกเลี่ยงการคัดลอกคีย์ส่วนตัวไปยังเครื่องเป้าหมายหรือไม่

ขอบคุณจิม


1
การรับรองความถูกต้องของคีย์สาธารณะทำงานเช่นนั้น: ตัดเงินดอลลาร์เป็นหลายพันล้านส่วนผสมให้เข้ากันแล้วแบ่งครึ่งส่วนหนึ่งจะเป็นส่วนสาธารณะและอีกส่วนเป็นส่วนตัว ในการรับรองความถูกต้องคุณต้องมีทั้งสองส่วนนั่นคือเหตุผลที่คีย์สาธารณะต้องอยู่บนเซิร์ฟเวอร์และคีย์ส่วนตัวบนคอมพิวเตอร์ของคุณที่คุณเชื่อมต่อกับรีโมต งานตัวแทนคือการแคชรหัสผ่าน (เพื่อไม่ให้รบกวนคุณหลายครั้ง) ที่ใช้ในการเข้ารหัสคีย์ส่วนตัวเพื่อป้องกันการใช้งานโดยไม่ได้รับอนุญาตจากบุคคลในคอมพิวเตอร์ของคุณ
อเล็กซ์

คำตอบ:


2

ฉันคิดว่านั่นเป็นจุดประสงค์ของการใช้ ssh-agent และ Pageant (หลีกเลี่ยงการคัดลอกกุญแจสาธารณะไปยังเครื่องเป้าหมาย)

ไม่ได้วัตถุประสงค์ของการส่งต่อตัวแทนไม่ต้องคัดลอกคีย์ส่วนตัว

วิธีนี้จะทำงานโดยไม่มีเซิร์ฟเวอร์เป้าหมายที่รู้ว่ากุญแจสาธารณะของคุณหรือไม่ ไม่สามารถยืนยันตัวตนของคุณได้


Daniel - โอเคขอบคุณ ฉันสับสนมากอ่านสิ่งต่าง ๆ มากมาย แต่การทดสอบของฉันดูเหมือนจะได้ข้อสรุปเดียวกันดังนั้นฉันคิดว่าฉันจะโพสต์เพื่อถามเพื่อยืนยัน
user555303
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.