要塞サーバー:TCP転送VSを使用してサーバーに秘密キーを配置する
要塞サーバーBがあります。秘密鍵を使用して、AからBを介してCにSSHで接続する必要があります。 より良いオプションは何ですか: 入れてサーバー上の秘密SSHキー我々は、それが本番環境でそれを行うには悪いアイデアだと読みB.を。 ここから: SSH秘密鍵を踏み台インスタンスに配置しないでください。代わりに、SSHエージェント転送を使用して、最初に要塞に接続し、そこからプライベートサブネット内の他のインスタンスに接続します。これにより、SSH秘密鍵をコンピューター上だけに保持できます。 SSHエージェント転送を使用します。エージェント転送を設定するには、TCP転送を許可する必要があります。エージェント転送を設定すると、転送ホストにソケットファイルが作成されます。これは、キーを宛先に転送できるメカニズムです。AWSの要塞設定で: TCP転送:この値をtrueに設定すると、TCP転送(SSHトンネリング)が有効になります。これは非常に便利ですが、セキュリティ上のリスクもあるため、必要でない限り、デフォルト(無効)の設定を維持することをお勧めします。 ここからも: 有害と見なされるSSHエージェント転送 何が良いですか?2番目のリンクからの代替:ProxyCommandについてはどうですか?それはソケットファイルの問題に役立つことを理解していますが、それでもTCP転送を有効にする必要があると思うので、十分に安全ですか?