Como acessar um servidor remoto usando um host de salto SSH

A Pump host (também conhecido como um servidor de salto) é um host intermediário ou um gateway SSH para uma rede remota, através da qual uma conexão pode ser feita para outro host em uma zona de segurança diferente, por exemplo, uma zona desmilitarizada (DMZ). Ele preenche duas zonas de segurança diferentes e oferece acesso controlado entre eles.

A Pump host deve ser altamente protegido e monitorado, especialmente quando abrange uma rede privada e um DMZ Com servidores prestando serviços aos usuários na Internet.

Um cenário clássico está se conectando do seu desktop ou laptop de dentro da rede interna da sua empresa, que é altamente protegida com firewalls a um DMZ. Para gerenciar facilmente um servidor em um DMZ, você pode acessá -lo por meio de um Pump host.

Em poucas palavras, um Salto ssh O servidor é um servidor Linux usado como um gateway para outros servidores Linux em uma rede privada sobre o protocolo SSH.

Neste artigo, demonstraremos como acessar um servidor Linux remoto por meio de um Pump host, E também definiremos as configurações necessárias nas configurações do cliente SSH por usuários.

Índice

• Configuração do servidor de salto ssh
• Razões para configurar um servidor de salto SSH
• Como criar um servidor de salto SSH simples
• Lista de jumfost dinâmica
• Lista de múltiplos jumfostes
• Lista de jumfost estático
• Tornando o SSH Jump Server mais seguro

Configuração do servidor de salto ssh

Considere o seguinte cenário.

Para mais clareza, abaixo está uma configuração simples, demonstrando o papel de um servidor de salto SSH.

Razões para configurar um servidor de salto SSH

A Pular O servidor fornece um gateway para sua infraestrutura e reduz a superfície de ataque potencial para seus recursos. Ele também fornece gerenciamento transparente de dispositivos, bem como um único ponto de entrada para seus recursos.

Lembre -se de que, ao incorporar um servidor de salto em sua infraestrutura, verifique se o servidor está endurecido, caso contrário, seria tão bom quanto não usar um. Voltaremos a isso mais tarde neste tutorial.

Como criar um servidor de salto SSH simples

Vamos agora focar em como você pode criar um simples Salto ssh servidor. Aqui está nossa configuração simples.

• IP de origem: 105.68.76.85.
• IP do servidor de salto (vamos chamar esse salto host): 173.82.232.55.
• IP de destino (vamos chamar este host_destinação): 173.82.227.89.

No cenário acima, você deseja se conectar a Host 2 (173.82.227.89), Mas você tem que passar Host 1 (173.82.232.55), Por causa do firewalling, privilégios de roteamento e acesso. Há várias razões válidas pelas quais os hosts de salto são necessários.

Lista de jumfost dinâmica

A maneira mais simples de se conectar a um servidor de destino por meio de um Pump host está usando o -A e -J Bandeiras da linha de comando. Isso diz ao SSH para fazer uma conexão com o host de salto e, em seguida, estabelecer um encaminhamento TCP para o servidor de destino, a partir daí (verifique se você está sem senha de login SSH entre máquinas).

$ ssh -a -j [email protegido] [email protegido] servidor] 

Por exemplo, em nossa configuração, temos o usuário chamado James configurado no Servidor de salto e Tecmint configurado no destino ou sistema de destino.

O comando parecerá o seguinte do IP de origem.

$ ssh -a -j [email protegido] [email protegido] 

O comando solicitará a senha de usuário do servidor Jump, seguido pela senha do sistema de destino na qual você terá acesso ao sistema de destino.

Se nomes de usuário ou portas Nas máquinas diferem, especifique -as no terminal como mostrado.

$ ssh -j [email protegido]: porta [email protegido]: porta 

Lista de múltiplos jumfostes

A mesma sintaxe pode ser usada para dar saltos sobre vários servidores.

$ ssh -j [email protegido]: port, [email protegido]: port [email protegido]: porta 

Lista de jumfost estático

Lista de jumfost estático significa que você conhece o jumfost ou jumfostes que você precisa conectar uma máquina. Portanto, você precisa adicionar o seguinte 'roteamento' estático no jumfost em ~/.ssh/config Arquive e especifique os aliases do host, como mostrado.

### Primeiro jumfost. Host diretamente acessível VPS1 HostName VPS1.exemplo.org ### host para pular via jumphost1.exemplo.host org Contabo HostName Contabo.exemplo.org proxyjump vps1 

Agora tente se conectar a um servidor de destino por meio de um Pump host como mostrado.

$ ssh -j vps1 contabo 

O segundo método é usar o ProxyCommand opção para adicionar o jumfost configuração em seu ~.ssh/config ou $ Home/.ssh/config arquivo como mostrado.

Neste exemplo, o host de destino é Contabo, e a jumfost é VPS1.

Host vps1 hostname vps1.exemplo.org identityfile ~/.SSH/VPS1.Usuário PEM EC2-User Host Contabo HostName Contabo.exemplo.org identityfile ~/.Porta SSH/Contabovps 22 Admin User Admin Comando proxy ssh -q -w %h: %p vps1 

Salve as alterações e saia do arquivo. Para aplicar as mudanças, reinicie o daemon ssh.

$ sudo systemctl reiniciar ssh 

Vamos explorar as opções usadas no arquivo de configuração:

• -q - Isso significa Modo Silencioso. Ele suprime avisos e mensagens de diagnóstico.
• -C - Solicita que a entrada e saída padrão no cliente sejam encaminhadas para hospedar na porta sobre o canal seguro.
• %h - Especifica o host para se conectar a.
• %p - Especificou a porta a se conectar no host remoto.

Para 'pular'Para o sistema de destino do seu IP de origem através do servidor Jump, basta executar o seguinte comando:

$ ssh contabo 

O comando acima abrirá primeiro uma conexão SSH com VPS1 no fundo afetado pelo ProxyCommand, E depois, inicie a sessão SSH para o servidor de destino Contabo.

[Você também pode gostar: Como conectar o Linux Remote via SSH proxyjump e ProxyCommand]

Tornando o SSH Jump Server mais seguro

Uma das maneiras de tornar essa configuração mais segura é copiar a chave SSH pública do sistema de origem para o Servidor de salto, e finalmente para o sistema de destino e depois desativando a autenticação de senha. Confira nosso guia sobre como ativar a autenticação sem senha do SSH.

Além disso, confira dicas de endurecimento do servidor SSH.

Além disso, verifique se nenhum dados sensível está alojado dentro do Pular Servidor como isso pode levar a vazamentos de credenciais de acesso, como nomes de usuário e senhas, levando a uma violação em todo o sistema.

Para mais informações, consulte a página do SSH Man ou consulte: OpenSsh/Cookbxook/Proxies e Hosts de Jump.

É tudo por agora! Neste artigo, demonstramos como acessar um servidor remoto por meio de um host de salto. Use o formulário de feedback abaixo para fazer qualquer pergunta ou compartilhar seus pensamentos conosco.