我不太熟悉 SSH 等的内部工作原理,所以请耐心听我说。我们正在使用 Bastion 服务器,人们需要通过它使用 SSH 来完成工作。通常,这会通过 SSH 连接到 Bastion,然后通过 SSH 连接到某个服务器。
我的问题是:使用两次登录(1 次到 Bastion 1 次到服务器)和使用带有 ssh 代理的 -W 命令之间是否存在真正的区别(技术、性能和安全性)?
因此,与这样做的区别是:
ssh user1@bastion
ssh user2@server
和
ssh user1@bastion -W user2@server
(不确定第二个是否具有正确的语法,因为我没有使用它,但我想你明白了)
首先使用登录名/密码登录特定用户,然后使用密钥对登录服务器。
答案1
如果发生“重新登录”,则第二个客户端正在堡垒主机上运行。
- 您的密钥对必须在堡垒上,或者您需要使用 SSH“代理转发”来授予其对密钥对的受限访问权限。
- 任何 TCP 转发(
ssh -L)都必须设置两次——一次是连接到堡垒主机时,一次是连接到真实服务器时。 - 此外,堡垒主机从技术上可以看到您通过 SSH 隧道输入的所有内容和接收的所有内容。
- 然而,一个优点是您可以使用 Mosh 连接到堡垒主机(并从那里开始使用常规 SSH)。
当ssh -J使用或代理命令时,第二个客户端正在运行本地。
- 这意味着身份验证仅有的需要在当地发生。
- TCP 转发仅需处理一次。
- 堡垒服务器只能看到加密的 SSH 流量,而看不到实际的输入/输出。
- 但是,由于您有 SSH,此模式会增加一些额外开销在SSH;无论是网络流量还是 CPU 使用率方面。