Kuidas pääseda kaugserverisse hüpikhosti abil
Hüppemasin (tuntud ka kui hüppeserver) on kaughaldusvahend või SSH-lüüs kaugvõrku, mille kaudu saab ühenduse luua erineva turvatsooni, näiteks demilitariseeritud tsooni (DMZ), teise hostiga. See ühendab kaks erinevat turvatsooni ja pakub nende vahel kontrollitud juurdepääsu.
Hüppemajutus peaks olema väga turvaline ja jälgitav, eriti kui see hõlmab eravõrku ja DMZ-d koos serveritega, mis pakuvad kasutajatele teenuseid Internetis.
Klassikaline stsenaarium on töölaualt või sülearvutilt ühenduse loomine ettevõtte sisevõrgus, mis on tulemüüridega ülimalt kaitstud DMZ-ga. DMZ-is serveri hõlpsaks haldamiseks võite sellele juurde pääseda hüpikhosti kaudu.
Selles artiklis demonstreerime, kuidas pääseda kaugserverile Linuxi kaughosti kaudu, samuti konfigureerime vajalikud seaded teie kasutaja SSH-kliendi konfiguratsioonides.
Mõelge järgmisele stsenaariumile.
Ülaltoodud stsenaariumi korral soovite ühenduse luua HOST 2-ga, kuid peate tulemüüri, marsruutimise ja juurdepääsuõiguste tõttu läbima HOST 1. Hüpposte vaja on mitmel põhjusel.
Dünaamiline hüpata nimekiri
Lihtsaim viis hüpata hosti kaudu sihtserveriga ühenduse loomiseks on käsurealt lipu -J
kasutamine. See käsib ssh-l luua ühendus hüpikhostiga ja seejärel luua TCP-suunamine sihtserverisse, sealt (veenduge, et teil oleks masinate vahel paroolivaba SSH-sisselogimine).
$ ssh -J host1 host2
Kui masinate kasutajanimed või pordid erinevad, määrake need terminalis nagu näidatud.
$ ssh -J [email :port [email :port
Mitu hüppaja loendit
Sama süntaksit saab kasutada hüpete tegemiseks üle mitme serveri.
$ ssh -J [email :port,[email :port [email :port
Staatiline hüpata nimekiri
Staatiline hüpiknimekirjade loend tähendab, et teate hüppaja või hüpikaknaid, mida peate masina ühendamiseks. Seetõttu peate failis ~/.ssh/config
lisama järgmise staatilise hüppaja ‘marsruudi’ ja määrama hostinimed nagu näidatud.
### First jumphost. Directly reachable Host vps1 HostName vps1.example.org ### Host to jump to via jumphost1.example.org Host contabo HostName contabo.example.org ProxyJump vps1
Nüüd proovige ühenduda sihtserveriga hüppehosti kaudu, nagu näidatud.
$ ssh -J vps1 contabo
Teine meetod on kasutada valikut ProxyCommand hüpikkonfiguratsiooni lisamiseks faili ~ .ssh/config
või $HOME/.ssh/config
, nagu näidatud.
Selles näites on siht-host contabo ja hüppaja on vps1.
Host vps1 HostName vps1.example.org IdentityFile ~/.ssh/vps1.pem User ec2-user Host contabo HostName contabo.example.org IdentityFile ~/.ssh/contabovps Port 22 User admin Proxy Command ssh -q -W %h:%p vps1
Kui käsk puhverservekäsu ssh -q -W% h:% p vps1
tähendab ssh-i käivitamist vaikses režiimis (kasutades -q
) ja stdio-edastuses (kasutades -W
) režiimis, suunake ühendus läbi vahemaja (vps1).
Seejärel proovige oma sihtmasinale juurde pääseda nagu näidatud.
$ ssh contabo
Ülaltoodud käsk avab esmalt ssh-ühenduse vps1-ga ProxyCommandi taustal ja seejärel käivitage ssh-seanss sihtserveri contabosse.
Lisateavet leiate ssh-i manulehelt või vaadake: OpenSSH/Cookbxook/Proxies ja Jump Hosts.
Praeguseks kõik! Selles artiklis oleme näidanud, kuidas pääseda kaugserverile hüppehosti kaudu. Kasutage allpool olevat tagasisidevormi, et esitada küsimusi või jagada meiega oma mõtteid.