场景如下:
Windows workstation -> Linux bastion host -> Linux server
从我的 Windows 工作站我使用油灰通过 SSH 进入 Linux 堡垒主机,然后从该主机通过 SSH 进入 Linux 服务器。
问题是,当堡垒主机和 Linux 服务器之间的身份验证是 ppk 身份验证并且我不希望在我的堡垒主机上存储 Linux 服务器的 ppk 密钥时,我该怎么做?
答案1
这通常是通过使用代理转发:
代理转发是一种允许 SSH 服务器计算机上的应用程序与客户端计算机上的代理通信的机制。
也就是说,假设你使用 Pageant 进行身份验证首先,你只需要将选项设置为'允许代理转发'当启动你的 SSH 会话时,你应该一切顺利,即ssh在堡垒主机上使用将自动尝试从你的本地 Pageant 进程中检索密钥。
- 显然存在一些环境限制,最明显的是目前,SSH-2 中的代理转发仅当您的 SSH 服务器是 OpenSSH 时才可用,但因此我没有遇到任何问题使用它与大多数常规Amazon EC2 AMI,例如官方的 Ubuntu。