SSH 訪問基礎設施 SOP

=============================

簡介

============

這篇文章是對如何使用公鑰認證安全登錄 Fedora PHX2機器的說明突委。截止到2011年5月27日，所有機器要求使用密鑰訪問封锉，密碼認證的方式將停止使用莽使。請注意锐极，對于被訪問的特定機器，實際上 SOP 什么都沒做芳肌。所以灵再，對于你所訪問的機器肋层，你一定要擁有其 shell 的組中。這個 SOP 簡單描述了獲得一個機器 shell 訪問權(quán)限合適和有效的方法翎迁。

SSH 配置

=================

首先（在你本地的機器中）

vi ~/.ssh/config

..注意::

這個文件和其他密鑰栋猖，需要 chmod 600，否則汪榔，會報“錯誤的所有者或權(quán)限”的錯誤蒲拉。 .ssh 目錄的權(quán)限必須是 700。

然后添加一下內(nèi)容：

Host bastion.fedoraproject.org

User FAS_USERNAME

ProxyCommand none

ForwardAgent no

Host *.phx2.fedoraproject.org *.qa.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org

User FAS_USERNAME

ProxyCommand ssh -W %h:%p bastion.fedoraproject.org

有個不太完美的地方痴腌，當你 SSH 連接到 Fedora 機器時雌团，為了連接能夠順利通過堡壘主機，你必須包括.phx2.fedoraproject.org

如果想避免這種情況士聪，你可以給每個你登錄的 Fedora 機器添加別名::

Host *.phx2.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org batcave01 noc01 # list all hosts here

ProxyCommand 如何工作

建立到堡壘主機的鏈接

+--------+ ? ? ? ? ? ? ? +--------------+

| ? 你 ? ? ? | --ssh--> | 堡壘主機 ? ? ? |

+--------+ ? ? ? ? ? ? ? +--------------+

堡壘主機建立到目標服務器的鏈接

+--------------+??????????+--------+

| 堡壘主機 ? ?? | -------> | 服務器 ?|

+--------------+??????????+--------+

Your client then connects through the Bastion and reaches the target server

你的的客戶端經(jīng)過堡壘主機鏈接并到達目標服務器

+-----+??????????????????+--------------+????????????????+--------+

| 你 ? ? |??????????????????| 堡壘主機 ? ? ? |????????????????| 服務器 |

| ? ? ? ? ?| ===ssh到堡壘主機============================> | ? ?|

+-----+??????????????????+--------------+????????????????+--------+

PyTTY SSH 配置

=======================

你可以這樣配置 Putty

1锦援、在繪畫類型字段填入

batcave01.phx2.fedoraproject.org port 22

2、在連接中填入你的FAS_USERNAME

3戚嗅、在連接中添加代理設置

.ProxyHostname is bastion.fedoraproject.org

.Port 22

.Username FAS_USERNAME

.Proxy Command plink %user@%proxyhost %host:%port

4雨涛、在 連接-SSH-Auth 中，密鑰要和 FAS 配置文件中你的認證信息相同

SSH 代理轉(zhuǎn)發(fā)

====================

你通常應該有

ForwardAgent no

在Fedora主機中懦胞，這是OpenSSH的默認設置替久。你可以在 ssh 中使用 -A 參數(shù)，來推翻默認設置躏尉。如果使用端口轉(zhuǎn)發(fā)連接到一個被攻擊的主機蚯根，ssh代理可能會被濫用。此外胀糜，如果你需要SSH代理轉(zhuǎn)發(fā)（比如說在機器之間復制文件）颅拦，為了避免你的代理暴露，你應該記得盡快退出教藻。