SSH přes SSH „proxy“ server

29.1.2011 21:59 | Přečteno: 4232× | GNU/Linux | | poslední úprava: 5.2.2011 18:54

Slyšel jsem, že máš rád SSH, tak jsme dali SSH do SSH, takže můžeš SSHčkovat, když SSHčkuješ. Asi znáte všichni – máte nějaký stroj v síti, která je za devatero firewally a z něj se teprve můžete připojit na jiný cílový stroj.

[desktop] -- SSH -- > [přestupní stanice] -- SSH -- > [cílový stroj]

Obyčejně se to řeší pomocí SSH agenta – klíč si přidáme v agentovi na desktopu a tohoto agenta protunelujeme i na přestupní stroj – tam spustíme znovu SSH (které má přístup k našemu desktopovému agentovi) a připojíme se konečně na cílový server.

Jenže použití SSH agenta není úplně bezpečné – rozhodně ne v případě, kdy k přestupní stanici nemáme absolutní důvěru – např. ji spravuje nějaký zlovolný admin, nebo prostě nechceme nic riskovat.

Manuál k SSH nám říká:

-A Enables forwarding of the authentication agent connection. This can also be specified on a per-host basis in a configuration file.

Agent forwarding should be enabled with caution. Users with the ability to bypass file permissions on the remote host (for the agent's UNIX-domain socket) can access the local agent through the forwarded connection. An attacker cannot obtain key material from the agent, however they can perform operations on the keys that enable them to authenticate using the identities loaded into the agent.

To není nějaká vada nebo chyba, ale prostě vlastnost tohoto řešení – někdy ho použít můžeme, jindy ne. Když nemůžeme, tak je tu jeden trik. Budeme potřebovat program socat (mimochodem obecně dost užitečná věc). Ten si nainstalujeme na přestupní stanici. A do souboru ~/.ssh/config na desktopu napíšeme tohle:

Host cilovy-stroj.example.com
    ProxyCommand ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22"

A teď, co to dělá:

Volbou ProxyCommand řekneme SSHčku, že se nemá připojovat pomocí TCP protokolu, ale má místo něj použít standardní vstup/výstup nějakého programu.

Jako program jsme zadali:

ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22"

SSH se připojí na stroj prestupni-stanice.example.com a na něm spustí příkaz v uvozovkách. Ale to jistě znáte.

socat STDIO TCP-CONNECT:cilovy-stroj.example.com:22

Socat má dva parametry – definujeme jimi dva konce spojení (těch možností je spousta, přečtěte si manuál). Tady jsme jako jeden konec dali STDIO – standardní vstup/výstup (pomocí SSH se přesměrovává až na náš desktop) a jako druhý konec TCP-CONNECT, tedy TCP spojení na cílový stroj a SSH port.

Teď už jednoduše na svém desktopu zadáme:

ssh cilovy-stroj.example.com

a jsme tam. Na jedno kliknutí, resp. zadáním jediného příkazu. Tedy za předpokladu, že na desktopu máte SSH agenta (jinak se vás to dvakrát zeptá na heslo).

Je to bezpečnější než tunelování agenta a pohodlnější než tunelování cílových SSH portů na localhost pomocí ssh -L 2222:cilovy-stroj.example.com:22 (tam je potřeba ručně vytvářet tunel) Navíc s ProxyCommandem a socatem můžeme snadno použít takové věci jako SSHFS.

A ještě jeden tip: v konfiguráku můžete použít hvězdičku a proměnné %h a %p:

Host *.example.com
    ProxyCommand ssh prestupni-stanice.example.com "socat STDIO TCP-CONNECT:%h:%p

Teď se můžete připojit k libovolnému stroji v doméně example.com

P.S. Místo socatu jde použít i samotné SSH: ProxyCommand ssh -W %h:%p prestupni-stanice.example.com. A taky dávejte pozor na zacyklení – pokud používáte hvězdičku a přestupní stanice je ve stejné doméně.

P.P.S. Konfigurace je pak jednoduchá:

Host *.example.com
    ProxyCommand ssh -W %h:%p prestupni-stanice.xxxx.com

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru