1

Мой клиент Mac OS X 10.9.5. У меня есть бастионный хост (linux), в который я вхожу. У меня работает агент переадресации, поэтому я могу использовать ssh на хосте бастиона, а затем подключить ssh к другой машине, не сохраняя свой личный ключ на бастионе.

Моя проблема в том, что я нажал 7 ключей в моем хранилище ssh (ssh-add -L) на моем клиентском компьютере. Когда я пытаюсь использовать переадресацию агента для машин с 7-м ключом, происходит сбой «Слишком много ошибок аутентификации для». С включенным параметром -vvv я вижу, что в send_pubkey_test он получает 6-й предложенный ключ, и именно тогда он останавливается. Седьмой ключ никогда не предлагается. Ниже приведен фрагмент 6-го ключа и ошибки.

  • debug3: send_pubkey_test
  • debug2: мы отправили пакет publickey, ждем ответа
  • debug1: аутентификации, которые могут продолжаться: publickey
  • debug1: предложение открытого ключа RSA: xxxx.pem
  • debug3: send_pubkey_test
  • debug2: мы отправили пакет publickey, ждем ответа
  • Получено отключение от 10.0.1.240: 2: слишком много ошибок аутентификации для пользователя ec2

Я пробовал различные решения, но я должен что-то упустить.

На клиенте я использую файл конфигурации. На этом бастионном хосте установлено следующее:

host jump01
  ForwardAgent yes
  Hostname www.example.com
  User some-user
  IdentityFile bastion.pem
  IdentitiesOnly yes

Я попытался настроить другие серверы в клиенте в файле конфигурации. Ниже приведен пример. Когда на бастионном сервере, я пытаюсь SSH внутренний.IP и он не проходит "слишком много аутентификации:"

host internal.IP
  IdentityFile key.pem
  IdentitiesOnly yes

Я попытался настроить конфигурацию на бастионном сервере, чтобы заставить его использовать и файл идентификаторов. Но так как я не хочу, чтобы мой закрытый ключ был там, это не удается.

Кроме того, я попытался взять открытый ключ для pem и скопировать его на бастионный сервер в каталоге .ssh. Затем использовал -i name.pub в командной строке. Это не сработало. Казалось, к ключу паба относятся как к пему.

Мой обходной путь - написать скрипт для загрузки / удаления ключей по мере необходимости. Я продолжаю думать о переадресации агента ssh, должно быть решение, которое я пропускаю.

Ценю любое руководство.

1 ответ1

1

Я бы предпочел, чтобы это был комментарий к вопросу, но у меня нет представителя ...

Почему у вас 7 ключей? Я видел, как люди делают это, думая, что это более безопасно, но это не так. Если ваш клиент скомпрометирован, все ключи скомпрометированы. Возможно, у вас есть веская причина, но вы просто хотите убедиться, что вы не создаете больше проблем, чем решаете.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .