Điểm:0

Server

Không thể ssh bằng ProxyJump nhưng nó hoạt động với ssh -J

Banoona

18:39, 02/01/2023

Câu hỏi của tôi là: Làm cách nào để thiết lập máy chủ pháo đài cho ssh trên AWS bằng phiên bản ubuntu?

Tôi có thể làm như sau với thành công:

root@e183d80cdabc# ssh -J [email protected] [email protected]
Lần đăng nhập cuối cùng: Thứ bảy ngày 4 tháng 9 13:14:17 2021 từ 10.240.0.30
==> THÀNH CÔNG! ==> ubuntu@ip-10-240-0-20:~$

Nhưng không thành công khi tôi thử cách tiếp cận tệp ~/.ssh/config. Các lệnh được sử dụng:

# ssh 10.240.0.20
# ssh [email protected]
# ssh -i ~/.ssh/id_rsa [email protected]

ssh: kết nối với máy chủ 10.240.0.20 cổng 22: Kết nối bị từ chối

~/.ssh/config của tôi trông như thế này:

root@e183d80cdabc# con mèo $HOME/.ssh/config
pháo đài chủ
  Tên máy chủ 54.170.186.144
Máy chủ từ xa
  Tên máy chủ 10.240.0.20
  ProxyJump pháo đài

Tôi đang chạy Ubuntu trên AWS như sau:

ubuntu@ip-10-240-0-30:~$ cat /etc/os-release
NAME="Ubuntu"
VERSION="20.04.2 LTS (Fossa Fossa)"
ID = Ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 20.04.2 LTS"
VERSION_ID="20.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=tiêu điểm
UBUNTU_CODENAME=tiêu điểm

Tôi đã thử thêm người dùng ubuntu trường nhưng điều này không giúp được gì.

Của tôi /etc/ssh/ssh_config trên máy chủ trông như thế này:

Chủ nhà *
    ForwardX11 Tin cậy có
    IdentityFile ~/.ssh/id_rsa
    Cổng 22
    SendEnv LANG LC_*
    HashKnownHosts có
    GSSAPIXác thực có

CẬP NHẬT Tôi hiện đang sử dụng tùy chọn dài dòng tức là

root@e183d80cdabc# ssh -vvv 10.240.0.20
OpenSSH_8.2p1 Ubuntu-4ubuntu0.3, OpenSSL 1.1.1f 31 tháng 3 năm 2020
debug1: Đọc dữ liệu cấu hình /root/.ssh/config
debug1: /root/.ssh/config dòng 2: Áp dụng tùy chọn cho *
debug1: Đọc dữ liệu cấu hình /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config dòng 19: bao gồm /etc/ssh/ssh_config.d/*.conf không khớp với tệp nào
debug1: /etc/ssh/ssh_config dòng 21: Áp dụng tùy chọn cho *
debug2: resolve_canonicalize: tên máy chủ 10.240.0.20 là địa chỉ
gỡ lỗi2: ssh_connect_direct
debug1: Đang kết nối với 10.240.0.20 [10.240.0.20] cổng 22.
debug1: kết nối với địa chỉ 10.240.0.20 cổng 22: Kết nối bị từ chối
ssh: kết nối với máy chủ 10.240.0.20 cổng 22: Kết nối bị từ chối

Có vẻ như nó không sử dụng bất kỳ máy chủ nhảy nào (tức là nó bỏ qua pháo đài) và đang đi trực tiếp và KHÔNG THÀNH CÔNG.

Bất kỳ ý tưởng đánh giá rất cao! Cảm ơn

=========================================================

CẬP NHẬT: 2021-09-04-15-44 - với GIẢI PHÁP Cảm ơn tất cả, tôi đã đánh dấu là câu trả lời, bên dưới.

Cấu hình đúng không sử dụng Tên máy chủ, vì quá trình khớp được thực hiện trên Chủ nhà. Tôi cũng có thể bao gồm một ký tự đại diện trên địa chỉ IP, đó là những gì tôi thực sự theo đuổi.

cấu hình ssh

root@e183d80cdabc# con mèo $HOME/.ssh/config
pháo đài chủ
  Tên máy chủ 63.33.206.201
  người dùng ubuntu
Máy chủ 10.240.0.*
  ProxyJump pháo đài
  người dùng ubuntu

Và thì đấy!

# ssh 10.240.0.20
...
ubuntu@ip-10-240-0-20:~$

346

2 + 5

Ubuntu

anx

18:47, 02/01/2023

Không sao chép các khóa ssh *riêng tư*, giữ chúng được lưu trữ an toàn cục bộ là toàn bộ *điểm* của cơ chế này.

Hồi đáp

Zoredache

00:28, 03/01/2023

Khi nghi ngờ, hãy chạy ssh với độ chi tiết cao hơn `ssh -vvv ... remote`.

Hồi đáp

Banoona

13:31, 04/01/2023

Cảm ơn anx -> đã xác minh hôm nay rằng tôi không cần sao chép khóa riêng ở bất kỳ đâu - nó hoạt động với dòng lệnh -J mà không cần sao chép. Nhưng nó vẫn không hoạt động với lệnh đơn giản ssh cùng với tệp ~/.ssh/config chứa tất cả các tham số (bao gồm cả "Người dùng ubuntu")

Hồi đáp

Banoona

14:30, 04/01/2023

Cảm ơn zoredache - đã cập nhật với đầu ra -zzz ở trên.

Hồi đáp

anx

04:00, 05/01/2023

Tôi sẽ chỉnh sửa những phần nguy hiểm trong câu hỏi của bạn .. vui lòng dành một câu hỏi riêng cho những câu hỏi đó, nhưng tôi khá chắc chắn rằng đã có những câu hỏi trùng lặp cho những câu hỏi đó.

Hồi đáp

Điểm:3

Server

anx

18:50, 02/01/2023

Sự khác biệt giữa dòng lệnh của bạn

ssh -J [email protected] [email protected]

và những gì tôi khuyên bạn nên làm để tham khảo cấu hình của mình

ssh từ xa

là cái sau không có IP cũng như người dùng đăng nhập trên cả hai máy trong dòng lệnh - bạn phải chỉnh sửa cấu hình ssh của mình để bao gồm tất cả các thông tin bạn không còn chuyển qua dòng lệnh:

# $HOME/.ssh/config
### Máy chủ pháo đài
pháo đài chủ
  Tên máy chủ 54.170.186.144
  người dùng ubuntu

### Máy chủ từ xa
Máy chủ từ xa
  Tên máy chủ 10.240.0.20
  người dùng ubuntu
  ProxyJump pháo đài

Cập nhật: Trong khi có, về lý thuyết bạn có thể cấu hình của bạn Chủ nhà khổ thơ để khớp với địa chỉ IP, tôi khuyên bạn nên chống lại làm như vậy.

Nếu một máy chủ không được truy cập trực tiếp bằng một địa chỉ IP nhất định, thì nó sẽ được giới thiệu bởi Tên - hãy tưởng tượng điều gì sẽ xảy ra khi bạn có cùng một không gian IP (riêng tư) được gán cho nhiều máy chủ, bạn không thể chỉ định cấu hình ProxyJump chính xác cho từng máy.

Một lý do khác khiến việc sử dụng địa chỉ để chỉ máy chủ không thuận lợi là máy chủ có thể truy cập được thông qua nhiều họ địa chỉ: Nếu máy chủ có thể truy cập được thông qua IPv4 và IPv6, bạn có thể muốn kết nối ssh của mình không phụ thuộc vào giao thức và chỉ thêm cờ khi bạn thực sự muốn giới hạn (tự động) lựa chọn.

0 + 3

Banoona

12:46, 04/01/2023

cảm ơn anx. Vâng, thật không may, điều trên mang lại sự chính xác giống như vậy, tức là không hoạt động. Cám ơn phản hồi của bạn!

Hồi đáp

Banoona

15:14, 04/01/2023

Vui lòng xem câu trả lời cuối cùng - vấn đề là do khớp - chỉ thêm trường Người dùng sẽ không hữu ích - nó cần phải khớp với cấu hình chính xác. Tôi đang sử dụng HostName và lẽ ra nên sử dụng máy chủ để khớp. Cảm ơn sự giúp đỡ của bạn anx!

Hồi đáp

anx

18:30, 04/01/2023

@Bananoa Có, bạn nên tham khảo các máy chủ theo cách chúng được gọi trong dòng `Host` trong cấu hình của bạn. Nhưng tôi cũng tin rằng đó phải là tên (lý tưởng nhất là: máy chủ lưu trữ * chính tắc), chứ không phải địa chỉ.

Hồi đáp

Điểm:3

Server

Tomek

13:40, 04/01/2023

Việc so khớp được thực hiện trên Chủ nhà khổ thơ, không phải trên Tên máy chủ.

Cố gắng:

ssh ubuntu@remote

0 + 1

Banoona

15:13, 04/01/2023

Yipee! Đây là câu trả lời, cảm ơn một triệu Tomek! Vui lòng xem bản cập nhật của tôi @ 2021-09-04-15 (trong câu hỏi ban đầu ở trên) bổ sung hỗ trợ bổ sung cho việc sử dụng địa chỉ IP cụ thể và ký tự đại diện để bao gồm phạm vi mạng con. Tuyệt vời, cảm ơn!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Unable to ssh using ProxyJump but it works with ssh -J

TH: ไม่สามารถ ssh โดยใช้ ProxyJump แต่ใช้งานได้กับ ssh -J

RO: Unable to ssh using ProxyJump but it works with ssh -J

RU: Невозможно использовать ssh с помощью ProxyJump, но он работает с ssh -J

VI: Không thể ssh bằng ProxyJump nhưng nó hoạt động với ssh -J

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.