Я не очень разбираюсь во внутренней работе SSH и т.д., так что терпите меня. Мы используем сервер Bastion, через который люди должны работать по SSH. Обычно это SSH для бастиона, а затем SSH для какого-либо сервера.

Мой вопрос заключается в следующем: есть ли реальная разница (техническая, производительность и безопасность) между использованием двух имен входа (от 1 до Bastion 1 на сервер) и использованием команды -W с ssh для прокси?

Так что разница с выполнением:

ssh user1@bastion
ssh user2@server 

а также

ssh user1@bastion -W user2@server

(не уверен, что этот второй имеет правильный синтаксис, так как я его не использую, но я думаю, вы поняли)

Вход в систему сначала с определенным пользователем с логином / паролем, а затем на сервер с парой ключей.

1 ответ1

1

В случае "relogin" 2-й клиент работает на хосте бастиона.

  • Либо ваша пара ключей должна быть на бастионе, либо вам нужно использовать "переадресацию агента" SSH, чтобы предоставить ей ограниченный доступ к паре ключей.
  • Любые переадресации TCP (ssh -L) должны быть настроены дважды - один раз при подключении к бастионному хосту, один раз при подключении к реальному серверу.
  • Кроме того, хост-бастион может технически видеть все, что вы печатаете, и все, что вы получаете через этот туннель SSH.
  • Однако одно преимущество заключается в том, что вы можете использовать Mosh для подключения к хосту бастиона (и оттуда обычному SSH).

Когда используется ssh -J или команда прокси, второй клиент работает локально.

  • Это означает , что аутентификация требуется только произойти на местном уровне.
  • Переадресацию TCP нужно обрабатывать только один раз.
  • Бастионный сервер видит только зашифрованный трафик SSH, а не фактический ввод / вывод.
  • Однако этот режим добавляет дополнительные издержки, так как у вас SSH в SSH; как с точки зрения сетевого трафика и использования процессора.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .