SSH 访问基础设施 SOP
=============================
简介
============
这篇文章是对如何使用公钥认证安全登录 Fedora PHX2机器的说明。截止到2011年5月27日,所有机器要求使用密钥访问,密码认证的方式将停止使用。请注意,对于被访问的特定机器,实际上 SOP 什么都没做。所以,对于你所访问的机器,你一定要拥有其 shell 的组中。这个 SOP 简单描述了获得一个机器 shell 访问权限合适和有效的方法。
SSH 配置
=================
首先(在你本地的机器中)
vi ~/.ssh/config
..注意::
这个文件和其他密钥,需要 chmod 600,否则,会报“错误的所有者或权限”的错误。 .ssh 目录的权限必须是 700。
然后添加一下内容:
Host bastion.fedoraproject.org
User FAS_USERNAME
ProxyCommand none
ForwardAgent no
Host *.phx2.fedoraproject.org *.qa.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org
User FAS_USERNAME
ProxyCommand ssh -W %h:%p bastion.fedoraproject.org
有个不太完美的地方,当你 SSH 连接到 Fedora 机器时,为了连接能够顺利通过堡垒主机,你必须包括.phx2.fedoraproject.org
如果想避免这种情况,你可以给每个你登录的 Fedora 机器添加别名::
Host *.phx2.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org batcave01 noc01 # list all hosts here
ProxyCommand 如何工作
建立到堡垒主机的链接
+--------+ +--------------+
| 你 | --ssh--> | 堡垒主机 |
+--------+ +--------------+
堡垒主机建立到目标服务器的链接
+--------------+ +--------+
| 堡垒主机 | -------> | 服务器 |
+--------------+ +--------+
Your client then connects through the Bastion and reaches the target server
你的的客户端经过堡垒主机链接并到达目标服务器
+-----+ +--------------+ +--------+
| 你 | | 堡垒主机 | | 服务器 |
| | ===ssh到堡垒主机============================> | |
+-----+ +--------------+ +--------+
PyTTY SSH 配置
=======================
你可以这样配置 Putty
1、在绘画类型字段填入
batcave01.phx2.fedoraproject.org port 22
2、在连接中填入你的FAS_USERNAME
3、在连接中添加代理设置
.ProxyHostname is bastion.fedoraproject.org
.Port 22
.Username FAS_USERNAME
.Proxy Command plink %user@%proxyhost %host:%port
4、在 连接-SSH-Auth 中,密钥要和 FAS 配置文件中你的认证信息相同
SSH 代理转发
====================
你通常应该有
ForwardAgent no
在Fedora主机中,这是OpenSSH的默认设置。你可以在 ssh 中使用 -A 参数,来推翻默认设置。如果使用端口转发连接到一个被攻击的主机,ssh代理可能会被滥用。此外,如果你需要SSH代理转发(比如说在机器之间复制文件),为了避免你的代理暴露,你应该记得尽快退出。
