Ruby China
访问被拒绝,你可能没有权限或未登录。

运维 SSH 跳板主机如何配置(也许叫法不对)

xu_xiang_yang · February 16, 2015 · Last by robertyu replied at March 02, 2015 · 4517 hits

现在又 A、B、C 三台机器。我本地机器是 A,我的公钥传到了 B 机器上。我希望通过 B 来访问 C,不希望将公钥传到 C 上

现在大概的配置是:

./ssh/config

Host B HostName 255.255.255.255 //随意写的 User root //随意写的 ForwardAgent yes

Host C HostName 255.255.255.255 //随意写的 User root //随意写的 ProxyCommand ssh B netcat -w 120 %h %p

但是 ssh C,提示我 Permission denied (publickey)

我需要一点帮助。。。多谢

lululau #0 February 16, 2015

只见过不希望将私钥上传到 B 上的需求,那么可以用 ssh -A。LZ 的需求没见过,为什么不喜欢上传公钥到 C 上?

xu_xiang_yang #1 February 16, 2015

#1 楼 @lululau 因为有好多台 C,如果这样子做,首先需要在很多台机器上都去把自己公钥传上去,这样很容易出问题。如果以后删除增加权限的时候还要到很多台机器上去做,暴露给公网的机器只应该有一台或比较少的几台。另外,如果以后增加机器,还要把所有人的公钥都复制一遍到新机器上,如果是只有 B 管理所有人的公钥,所有增加机器都只要加 B 的公钥即可。删除权限、增加权限也只用在 B 上操作。这样简单不容易出问题吧。

也许是这个样子的

xu_xiang_yang #3 February 16, 2015

#3 楼 @small_fish__ 更准确的是一个网关的感觉。。。。就是我们有好多台服务器,其中只有一台服务器在公网暴露。要先 ssh 到这台服务器,再 ssh 到其他的服务器。

4 Floor has deleted
lululau #6 February 16, 2015

#2 楼 @xu_xiang_yang 把跳板机的公钥放到目标机器上不就行了。如果你希望针对不同用户不同目标机器做不同的登陆权限控制,估计 ssh 实现不了,你需要的是一个 ssh 登陆权限的管理系统

dotnil #7 February 16, 2015

B、C 上都需要有你的公钥,放在 B、C 的 ~/authorised_keyshttp://cyj.me/binary/ssh-agent/

xu_xiang_yang #8 February 16, 2015

#7 楼 @lululau #6 楼 @Rei #8 楼 @dotnil 多谢,我屈服了,一台一台的去复制了

bhuztez #9 February 17, 2015

man sshd_config /AuthorizedKeysCommand

1 likes
linjunhalida #10 February 17, 2015

就是 B 信任 A,C 信任 B,这样要能够让 A 访问 C,需要 ssh agent forwarding,用 B 来验证 A 登录 C。 http://www.unixwiz.net/techtips/ssh-agent-forwarding.html

wuwx #11 February 18, 2015

堡垒机 GateOne

oth #12 February 25, 2015

试试 saltstack

robertyu #13 February 27, 2015

@xu_xiang_yang 哥,这个你问问大神就好了,他以前都弄过。

xu_xiang_yang #14 March 02, 2015

#14 楼 @robertyu 木有,他不是这么整的~~~~

robertyu #15 March 02, 2015

#15 楼 @xu_xiang_yang 哈哈哈,你加一个机器认证,应该就可以了。

You need to Sign in before reply, if you don't have an account, please Sign up first.