タグ付けされた質問 「bastion」


3
要塞サーバー:TCP転送VSを使用してサーバーに秘密キーを配置する
要塞サーバーBがあります。秘密鍵を使用して、AからBを介してCにSSHで接続する必要があります。 より良いオプションは何ですか: 入れてサーバー上の秘密SSHキー我々は、それが本番環境でそれを行うには悪いアイデアだと読みB.を。 ここから: SSH秘密鍵を踏み台インスタンスに配置しないでください。代わりに、SSHエージェント転送を使用して、最初に要塞に接続し、そこからプライベートサブネット内の他のインスタンスに接続します。これにより、SSH秘密鍵をコンピューター上だけに保持できます。 SSHエージェント転送を使用します。エージェント転送を設定するには、TCP転送を許可する必要があります。エージェント転送を設定すると、転送ホストにソケットファイルが作成されます。これは、キーを宛先に転送できるメカニズムです。AWSの要塞設定で: TCP転送:この値をtrueに設定すると、TCP転送(SSHトンネリング)が有効になります。これは非常に便利ですが、セキュリティ上のリスクもあるため、必要でない限り、デフォルト(無効)の設定を維持することをお勧めします。 ここからも: 有害と見なされるSSHエージェント転送 何が良いですか?2番目のリンクからの代替:ProxyCommandについてはどうですか?それはソケットファイルの問題に役立つことを理解していますが、それでもTCP転送を有効にする必要があると思うので、十分に安全ですか?

1
Ansible-MFA付きバスティオンを介したアクセス
現在の環境では、MFAが有効になっている要塞ホストを介してのみ、すべてのLinuxサーバーにアクセスできます。 Ansibleが要塞を介してサーバーと正常に通信できるようにしましたが、唯一の問題は、ホストごとに要塞への新しい接続を確立することです。つまり、サーバーと同じ数のMFAキーを入力する必要があります。悪い時代。:( 多重化を機能させるために、私のssh設定で次のようなものをいじってみました: Host bastion ControlMaster auto ControlPath ~/.ssh/ansible-%r@%h:%p ControlPersist 5m 残念ながらそれはそれをしていないようです。誰かが、要塞ホストを介して接続するすべてのホストについて、Ansibleが接続を再確立して接続を再確立できないようにする方法についていくつかのヒントを得ましたか? ありがとう!
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.