理想情况下的运维,是不需要ops去ssh到服务器上检查问题(包括安全问题)/日志等,这些是可以通过更好 监控,如使用newrelic,或者更好的日志收集系统,如splunk等去避免。不过现实不总是完美的,加上历史 遗留的原因,ops总是会ssh到堡垒机(bastion host),然后跳转到目标服务器去做操作。
于是,就有很多人(包括我)在堡垒机上生成key/pair, 而且private key很少加密(包括我),这个存在 很严重的安全风险。
一个比较合理的方式是通过ssh proxy的方式去访问目标服务器,这样不需要把key暴露给bastion,比如:
1
| |
然后再启动一个新的ssh进程去通过proxy连接:
1
| |
每次这么操作略麻烦,可以通过在ssh配置文件简化:
1 2 3 4 | |
那么建立proxy就只是ssh user@bastion就可以了,然后同理去ssh -p 9999 user@0。
这么做的坏处在于~/.ssh/config配置可能会迅速膨胀,同时,每次还是启动两个进程去完成这件事情,不开心。
于是,我们的安全大神介绍一个更加简单的方法,在~/.ssh/config中,加入下面的内容:
1 2 | |
如此我就可以通过ssh user@bastion/target的方式直接ssh到远程主机,ProxyCommand指令会
生成两个进程,后台proxy进程,前台的进程直接通过proxy连接到目标主机。这样从命令行窗口看来我只
是打开了一个会话。同时,你可以链接很多个主机,如ssh user@bastion/targetA/targetB/targetC。
依次通过前一个主机建立的proxy连接到后面的主机上。
这个方法有一些局限:
- 不能在主机链上指定不同的端口;
- 不能对不同的主机使用不同的登录用户名;
- 不同链上建立的连接不能重用已经建立的连接,这可能会导致连接的速度减缓;
- 其实还有个问题就是不能很容易的从
targetC退出到targetB…… (我想的)
为了解决这些问题,大神想出了终极解决方案:
1 2 3 4 | |
Host */*: 匹配ssh到A/B/X这样的主机类型,然后递归的ssh到链中的主机;ControlMaster auto: 这个指令的意思是指ssh应当复用已有的control channel连接远程主 机,如果这样的channel不存在,则重新创建,以便以后的链接复用;ControlPath ~/.ssh/.sessions/%r@%h:%p: 这个指令告诉ssh control channel socket 文件的位置。对于每个远程主机,socket文件应该是唯一的,如此我们可以重用已有连接并且跳过验证。所 以我们用%r(remote login name),%h(remote host name)和%p(端口)作为文件名的部分。 唯一的问题是因为路径中的/,这里会在%h被当成一个目录,但是ssh不会自动创建目录;ProxyCommand blah: 命令开始时就先创建了所有必须的目录。ControlPersist的意思是如果 control channel 2分钟内没有活动则停止ssh进程。如果你有两个会话bastion/HostA和bastion/HostB,如果不配置ControlPersist,结束第一个进程时第二进程也会同时被干掉。
所以,当你用上面的配置去ssh user@bastion/A/B/C时:
- ssh 匹配到了
*/*模式 - ssh 尝试重用
~/.ssh/.sessions/user@bastion/A/B/C:22的socket,如果成功则建立连接, 没有则继续执行 - ssh执行
ProxyCommand中的内容, 创建目录同时递归的ssh到最终的主机C - 然后ssh在主机C上进行身份验证,成功则创建
~/.ssh/.sessions/user@bastion/A/B/C:22的 control channel socket文件,并且成为control channel的master - 显示命令行提示符
你现在有没有和我一样晕,在和大神交流一番后,大神告诉我一个改进版的配置:
1 2 3 4 5 6 | |
这个配置要简单些,不过他假设你已经创建了~/.ssh/.sessions目录。
荣耀归于Dmitry大神,虽然那个ssh keypair我还没有删除……。