SSH через Bastion Server разница между relogin и прокси

Я не очень разбираюсь во внутренней работе SSH и т. д. так что потерпите меня.
Мы используем сервер Бастион, через который люди должны SSH, чтобы сделать свою работу. Обычно это SSH для Бастиона, а затем SSH для некоторого сервера.

мой вопрос таков: есть ли реальная разница (техническая, производительность и безопасность) между использованием двух Логинов (1 для Бастиона 1 для сервера) и использованием команды-W с ssh для прокси?

Так что разница с делаем:

ssh user1@bastion
ssh user2@server 

и

ssh user1@bastion -W user2@server

(не уверен, что этот второй имеет правильный синтаксис, поскольку я его не использую, но я думаю, что вы понимаете)

логин первый с определенным пользователем с логином / паролем и второй на сервер с парами клавиш.

3
задан Wealot
07.05.2023 6:06 Количество просмотров материала 2870
Распечатать страницу

1 ответ

в случае "relogin", 2-й клиент работает на хосте bastion.

  • либо ваша пара ключей должна быть на бастионе, либо вам нужно использовать SSH "agent forwarding", чтобы предоставить ей ограниченный доступ к паре ключей.
  • все пересылки TCP (ssh -L) необходимо настроить дважды – один раз при подключении к хосту bastion, один раз при подключении к реальному серверу.
  • кроме того, хозяин бастиона технически может видеть все, что вы печатаете, и все, что вы получаете через туннель SSH.
  • одно из преимуществ, однако, заключается в том, что вы можете использовать Mosh для подключения к хосту bastion (и обычный SSH оттуда).

, когда ssh -J или используется прокси команда, 2-й клиент работает локально.

  • Это означает, что проверка подлинности только должно произойти локально.
  • TCP вперед необходимо обработать только один раз.
  • сервер bastion видит только зашифрованные SSH-трафик, а не фактический ввод / вывод.
  • однако, этот режим добавляет некоторые дополнительные накладные расходы, так как у вас есть SSH in SSH; как с точки зрения сетевого трафика, так и с точки зрения использования процессора.
1
отвечен grawity 2023-05-08 13:54

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх