堡垒机ssh连接
堡垒机SSH连接基础概念
堡垒机(Bastion Host)是一种用于安全访问内部网络的设备或软件。它通常位于网络边界,作为内外网之间的桥梁,提供对内部网络资源的受控访问。SSH(Secure Shell)是一种加密的网络协议,用于在不安全网络上安全地执行远程命令和传输数据。
堡垒机SSH连接的优势
- 集中管理:通过堡垒机,管理员可以集中管理和监控所有远程访问请求。
- 安全审计:堡垒机可以记录所有访问日志,便于安全审计和追踪。
- 访问控制:堡垒机可以实现细粒度的访问控制,限制用户只能访问其被授权的资源。
- 单点登录:用户只需通过堡垒机进行一次身份验证,即可访问多个内部资源。
堡垒机SSH连接的类型
- 硬件堡垒机:基于专用硬件设备的堡垒机,通常具有更高的性能和安全性。
- 软件堡垒机:运行在通用服务器上的堡垒机软件,灵活性高,成本相对较低。
堡垒机SSH连接的应用场景
- 企业内部网络:用于控制员工对内部网络资源的访问。
- 数据中心:用于管理对服务器和存储设备的远程访问。
- 云环境:用于管理对云资源的访问,确保安全性和合规性。
堡垒机SSH连接遇到的问题及解决方法
问题1:SSH连接失败
原因:
- 网络问题:网络不通或防火墙阻止了SSH连接。
- 认证问题:用户名或密码错误,或SSH密钥配置不正确。
- 配置问题:SSH服务未启动或配置错误。
解决方法:
- 检查网络连接,确保堡垒机和目标服务器之间的网络通畅。
- 确认用户名和密码正确,或检查SSH密钥是否正确配置。
- 确认SSH服务已启动,并检查相关配置文件。
问题2:权限不足
原因:
- 用户权限不足,无法访问目标资源。
- 堡垒机配置的访问控制策略限制了用户的访问权限。
解决方法:
- 检查用户的权限设置,确保其有权访问目标资源。
- 检查堡垒机的访问控制策略,确保用户被授权访问。
问题3:性能问题
原因:
- 堡垒机负载过高,导致性能下降。
- 网络带宽不足,影响数据传输速度。
解决方法:
- 优化堡垒机的配置,提升其处理能力。
- 增加网络带宽,确保数据传输的顺畅。
示例代码
以下是一个简单的SSH连接示例,使用Python的paramiko库:
import paramiko
# 创建SSH客户端
ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
# 连接到堡垒机
ssh.connect('bastion_host_ip', username='your_username', password='your_password')
# 执行命令
stdin, stdout, stderr = ssh.exec_command('ls -l')
print(stdout.read().decode())
# 关闭连接
ssh.close()参考链接
通过以上信息,您应该能够全面了解堡垒机SSH连接的基础概念、优势、类型、应用场景以及常见问题及其解决方法。
相关·内容
1回答
虽然我写了相当多的chef,但我对AWS/VPC和管理网络流量(特别是堡垒主机)都是相当陌生的。
使用刀子ec2插件,我希望能够从我的开发人员工作站动态创建和引导虚拟机。虚拟机应该能够存在于我的私有网络的公有或私有子网中。我希望在不使用弹性IP的情况下完成所有这些工作。我还希望我的堡垒主机不插手(即,我希望避免在我的堡垒主机上创建显式的每虚拟机监听隧道)
我已经成功地使用刀子ec2插件在传统EC2模型中创建了虚拟机(例如,在我的VPC之外)。我正在尝试在我的私有网络中创建一个实例。在knife命令行上,我指定了一个网关、安全组、子网等。创建了VM,但之后knife无法通过ssh连接到它。
下面
浏览 4提问于2013-05-09得票数 17
回答已采纳
2回答
在集群中不同主机上的ESXi客户机之间,我遇到了问题。我有一个客户是在可路由的集群虚拟网络上,我正在使用这个虚拟网络作为堡垒服务器来访问专用网络上的客人--分布式端口组横跨所有主机。
我使用SSH ProxyJump路由到其他客户VM的堡垒主机,当专用网上的客人和堡垒在同一个集群主机上时,没有问题。当客人在另一个主机上时,我会被远程服务器错误拒绝连接。如果我手动将VM迁移到与堡垒相同的集群,错误就会消失。
我找到了答案,它涉及到ESXi主机之间的SSH‘’ing,而不是主机上的来宾,并建议需要在每个主机的传出防火墙上允许SSH客户端。这似乎是相关的,但我的vSphere知识是有限的,我没有足够
浏览 1提问于2018-03-21得票数 0
回答已采纳
2回答
例如,假设一家公司在不受信任的服务器(例如“云”中的虚拟机)上有一个“集中”的SSH堡垒/跳转主机。
同时,企业/客户/任何网络(S)都有防火墙ACL,允许从堡垒/跳转主机到内部SSH服务器(S)的SSH通信。
邪恶的参与者是否有可能利用跳转主机来查看SSH流量?还是跳主机上的流量始终是端到端加密的?(也就是说,堡垒/跳转主机总是只看到加密的流,因为客户机和内部服务器之间的通信使用内部服务器的键盘)。
为了避免对术语产生疑问,当我谈到跳转主机时,我指的是如下命令:
ssh -J bastion.example.com internal.example.com
或
scp -oProxyJump
浏览 0提问于2019-03-23得票数 2
回答已采纳
我正在尝试从MySQL客户端工具连接到RDS实例。但我发现的问题是它只能通过SSH连接到一台机器(AWS堡垒主机)。但是,我如何通过AWS堡垒主机在内部连接到RDS实例?
Consider the machines A, B and C where,
A-> local machine
B-> AWS ec2-instance
C-> RDS instance
在将机器B作为AWS堡垒主机时,是否可以通过SSH通过AWS堡垒主机(机器B)连接到RDS实例,只需从机器A连接到机器B?
即,从机器A通过SSH连接到机器B时,机器B应该自动使用SSH并连接到MySQL RDS实例
浏览 15提问于2017-06-19得票数 3
因此,我有一个只能通过堡垒访问的ec2实例。
ec2实例在127.0.0.1:8888/?token=$token上为我的jupyter服务器服务
我的目标是运行一个ssh隧道命令,它将侦听127.0.0.1:8888上的连接,并将它们通过堡垒转发到ec2实例到127.0.0.1:8888。
我没有运气就试过下面的方法。
来自本地
(我可以通过堡垒进入堡垒和ec2机器,没有问题)
ssh -f -N -L 127.0.0.1:8888:127.0.0.1:8888 -i ~/.ssh/id_rsa $user@$bastion_dns
ssh -f -N -L 8888:127.0.0.1:8
浏览 3提问于2019-08-23得票数 1
回答已采纳
1回答
试图理解这是如何工作的,文档并不是很清楚。使用AWS quickstart- Mongo,我用堡垒服务器为3个Mongo节点创建了一个VPN。我可以通过SSH和我的密钥登录到我的堡垒服务器。然后,我可以将密钥复制到堡垒服务器,并将SSH复制到主副本节点。这个节点正在运行mongo,并通过rs.status()显示所有3个节点都在正确运行。
登录堡垒服务器后,我尝试执行curl primary-mongo-node-ip:27017,但它似乎挂起了。
本地计算机->堡垒服务器->副本节点1/2/3
我想我知道我需要以某种方式连接到Bastion服务器,然后设置一个ssh转发到prim
浏览 45提问于2020-02-20得票数 2
回答已采纳
我正在为我们的几个开发人员设置一个跳转服务器/堡垒主机,我想知道是否可以在堡垒上使用config文件进行最终的服务器解析。
我们有
开发人员
堡垒
客户端
目前,我在developer .ssh/config中有以下内容
Host bastion
HostName bastion-address.com
User developer
Host client
User client-user
HostName client-ip
ProxyJump bastion
但是,如果我能够在堡垒上设置客户机用户& ip,那就太棒了。这样,开发人员就不需要知道细节,只需要知道
浏览 0提问于2022-12-13得票数 0
我正在探索如何在AWS上设置堡垒主机的安全和网络配置。
假设我有多个EC2实例。但我不希望在每个其他EC2实例上都启用SSH。我想使用一个特别配置的EC2实例作为堡垒主机,在堡垒主机上我可以(仅)从我的内网IP进行SSH;一旦我在堡垒主机实例或Jumpbox实例上,我想对我的私有网络中的任何其他EC2实例进行SSH。
有没有可用的AMI实例可以用作Jumpbox或堡垒主机?因此,我只能使用一台堡垒主机通过SSH连接到我的私有网络中的任何其他EC2实例。
我看到一些jumpbox EC2 AMI,但我猜它们更像是Bitnami类型的发行版,而不是充当堡垒主机。
浏览 1提问于2015-07-28得票数 26
回答已采纳
是否有办法使ssh代理转发未在~/.ssh/config中配置的特定密钥。例如,我连接到ec2上的一个主机,如下所示:
ssh -At -i ssh/insecure-deployer ec2-user@$bastion-instance-dns
甚至直接连接到我的堡垒实例后面的实例,如下所示:
ssh -At -i ssh/insecure-deployer ec2-user@$bastion-instance-dns ssh ubuntu@target-instance-ip
我想要做的是让代理转发我在本例中用于连接到堡垒实例的密钥,即ssh/insecure-deployer密钥,但似乎
浏览 7提问于2016-04-28得票数 0
回答已采纳
3回答
我通过许多亚马逊帐户管理EC2实例(虚拟机)。机器不一定有域名;通常我通过IP地址连接到它们。
每个AWS帐户都有自己的堡垒服务器,我可以通过它连接。这很烦人,因为当我连接到机器时,我必须在命令行上指定SSH隧道的设置。如果机器有域名,我将在我的~/.ssh/config文件中配置隧道。相反,我必须这样做--代理IP地址根据我正在处理的AWS帐户而改变:
ssh -o ProxyCommand="ssh -W %h:%p ubuntu@1.2.3.4" ubuntu@172.17.1.2
是否有一种很好的配置SSH的方法,因此我不需要指定代理命令(或者用户名)?如果更有意义的话
浏览 0提问于2016-08-31得票数 0
Xnip2021-02-04_10-30-16.jpg
腾讯云堡垒机 BH为什么需要同时购买 CVM? 管理系统?SSH等用途?
浏览 343提问于2021-02-04
我想通过堡垒主机建立到私有子网中的rds的连接。我可以通过SSH毫无问题地访问堡垒主机,并且已经为来自堡垒主机安全组的传入流量打开了RDS DB所在的私有子网中的安全组。现在有两种方法可以连接到RDS实例。解决方案1.在堡垒主机上安装MySQL commndline工具,并使用它连接到RDS DB解决方案2.从本地计算机通过端口转发访问RDS。
我可以通过MySQL命令从堡垒主机进行连接,但很难让端口转发继续进行。当我使用
ssh -i ecs_key.pem -NL 3007:mydb3.co2qgzotzpzu.eu-west-1.rds.amazonaws.com:3306 ubunt
浏览 22提问于2018-08-23得票数 0
我在AWS上有一个堡垒服务器,我通过以下配置连接到它:
host bastion
Hostname <bastion_public_ip>
IdentityFile ~/.ssh/id_rsa
User ubuntu
现在,我已经设置了一个实例,其中该堡垒用作跳转服务器。但是,实例是使用单独的密钥mykey.pem创建的,而不是用于连接到堡垒的SSH键。早些时候,当我使用相同的密钥时,我可以使用以下配置进行连接:
host test-ec2
hostname <ec2_private_ip>
IdentityFile .ssh/id_rsa
User ec2-user
浏览 0提问于2021-10-26得票数 0
假设Machine A是我最终想要SSH到的目标机器,而Machine B是一个桥接机(堡垒主机)。这两台机器可以使用相同的PEM文件进行访问。
SSH的安全组只允许来自Machine B的Machine A连接。因此,如果我想连接到Machine A,我需要通过Machine B连接。
如果不将PEM file放在堡垒主机上,如何实现这一点?
浏览 24提问于2018-02-06得票数 2
回答已采纳
Background/goal:我需要在我的笔记本电脑>堡垒>目标主机b/c目标主机后面运行我不控制的防火墙(IOT设备)。我在目标主机和堡垒之间有活动的反向隧道,这样我就可以将SSH放到我的堡垒中,然后运行ssh <hostname> (在这个堡垒的SSH配置中存在'hostname‘)来访问任何目标主机。
所有目标主机在bastion的SSH配置文件中都有唯一的条目,这样就可以这样访问它们(它们都在堡垒上使用相同的主机--本地主机、相同的标识键--但如果有帮助的话,也可以在本地定位,但是所有条目的端口都必须是唯一的)。
我已经尝试过了:我尝试了官方的Ansi
浏览 1提问于2019-06-12得票数 1
1回答
我正在尝试从我的本地主机(在端口24000上)通过堡垒盒隧道到我的mongo实例(在27017上),该实例只能通过VPC私有子网使用,以便我可以在连接到登台数据库的同时进行本地开发。在我的OSX机器上使用以下隧道命令:
<code>D0</code>
"ip-10-0-11-11.ec2.internal“是mongo框。
“ec2-3-211-555-333.computer-1.amazonaws.com”是堡垒。
目标是将本地端口24000绑定到堡垒,然后从那里绑定到27017上的mongo box。
但是,在尝试通过隧道从我的本地计算机连接时:
<
浏览 17提问于2019-08-21得票数 1
回答已采纳
1回答
在一个小项目上工作,并寻求一些关于如何让项目的一部分发挥作用的建议。
目标-将两个单独的ssh会话加入到一起。我想看看用于登录到堡垒主机的密钥是否可以与用于从堡垒登录到服务器的密钥不同。
场景-我将使用ssh和我机器上的密钥登录到堡垒主机。然后,堡垒主机将代表我登录到实际服务器-使用一组不同的密钥。现在需要连接从我的机器到堡垒主机以及从堡垒主机到服务器的ssh会话,让我感觉好像一个透明的SSH代理只是在转发命令。
我读了一些关于ssh代理的资料,但这似乎不是立即实现的(可以理解)。我读过- ,我也看过屏幕会话--但不确定如何将两个屏幕会话“合并”在一起。
任何建议都会很有帮助。
干杯,-J
浏览 0提问于2015-04-10得票数 2
我们有堡垒服务器B,我们需要SSH从A到B到C,使用私钥(我们使用keepass和keeAgent)。
在我的堡垒里:AllowTcpForwarding yes。
我尝试使用proxyCammand:
Host app
Hostname *.*.*.*
User my-user
Port 22
ProxyCommand ssh -W %h:%p bast
Host bast
Hostname *.*.*.*
# ForwardAgent no
User my-user
ssh app设法进入堡垒服务器,并在试图连接私有服务器时跌
浏览 0提问于2019-03-18得票数 0
回答已采纳
我有一堆使用Terraform管理的AWS基础设施。有一个供多个用户使用的EC2 SSH堡垒实例,用于访问用于各种批处理任务的专用临时EC2实例。 Terraform提供了一种在创建时将单个SSH密钥包含到EC2实例的机制,但是我正在尝试寻找一种解决方案,最好是基于Terraform的,但不一定是基于Terraform的,它允许管理SSH堡垒的多个用户。 是否有一个解决方案允许SSH堡垒使用与IAM用户关联的SSH密钥,以便(例如)当bob尝试通过SSH连接到堡垒时,堡垒可以使用与bob关联的公钥(如果bob属于正确的组、具有正确的权限、具有正确的标签或其他识别功能)? 如果上面的问题暗示了
浏览 29提问于2021-10-01得票数 1
1回答
我正在为一个新系统设置一些服务器,并决定做一些稍微不同的事情。我遇到了一个我似乎无法克服的问题。我想要的配置是有一个堡垒服务器和N个其他服务器,这些服务器只能通过堡垒访问--这是一个非常典型的配置。
与通常的做法不同的是,我希望使用签名的SSH密钥进行身份验证。对于单个服务器来说,这是非常直接的,但在使用堡垒时却会抛出扳手。
现在,我有两个配置相同的服务器。我可以使用签名的SSH密钥直接访问它们。但是,如果我尝试将其中一个用作堡垒/跳转主机,则无法连接到另一个。我的~/.ssh/config看起来是这样的:
Host ssh.uswe2
HostName ssh.uswe2.example
浏览 0提问于2019-10-15得票数 2
我有三个堡垒实例,Capistrano使用SSH连接到堡垒并执行代码。
以下是我为Capistrano提供的SSH选项:
set :ssh_options, forward_agent: true, auth_methods: %w(publickey), user_known_hosts_file: %w(/dev/null), paranoid: Net::SSH::Verifiers::Null.new, proxy: Net::SSH::Proxy::Command.new(ssh_command)
每次将主机密钥添加到已知主机文件(~/.ssh/ known _ hosts )时。
浏览 5提问于2017-05-19得票数 1
1回答
是否可以使用Navicat或MySQL工作台(或任何其他工具)像堡垒主机那样通过跳转框连接到Amazon?
如果我在终端中手动打开ssh隧道,我可以这样做:
ssh -A <my_user>@<bastion_endpoint> -L 3306:<RDS_ENDPOINT>:3306
然后从mysql工具连接到localhost:3306,这是可行的。重要的是要知道,在堡垒上,MFA需要登录。
我甚至不能使用与我在终端/命令行中使用的完全相同的凭据从Navicat连接到我的堡垒框。我知道错误:
Access denied for 'none'
浏览 22提问于2021-09-14得票数 0
回答已采纳
我正在研究如何减少在运行CentOS 8的GCE中使用scp命令的可能性。
当前的设置是一个堡垒VM,它能够将SSH转换为辅助VM (实例-1)。在建立第一个SSH连接后,我无法从辅助VM返回到堡垒VM,我假设这是因为没有一个相反方向的SSH键区(如果我错了,就有人纠正我)。运行ssh <BASTION_IP>为Permission denied (publickey,gssapi-keyex,gssapi-with-mic)时出错
我试图从实例1到堡垒进行SCP,这在Permission denied (publickey,gssapi-keyex,gssapi-with-mic
浏览 0提问于2021-08-12得票数 0
1回答
我正在尝试建立一个堡垒,我想记录所有执行的命令并输出到(理想的是每个用户)日志文件。
我查看了auditd,并了解了如何将执行的命令记录到系统--我不捕获从堡垒出站的ssh连接在辅助系统上执行的命令。
例如:
Desktop# ssh bastion.corp
Bastion# ssh switch1.corp
sw1# show run
<stuff>
对于auditd,我只是被告知ssh ssh 1. told是被执行的,而不是远程系统上的show run命令。
浏览 0提问于2019-10-10得票数 0
我已经部署了Google cloud Kubernetes集群。群集仅有内部IP。
为了访问它,我创建了一个具有外部IP的虚拟机bastion-1。
结构:
My Machine -> bastion-1 -> Kubernetes cluster
与代理工作站的连接:
$ ssh bastion -D 1080
现在使用代理使用kubectl:
$ HTTPS_PROXY=socks5://127.0.0.1:1080 kubectl get pods
No resources found.
Kubernetes主服务器正在响应,这是一个好兆头。
现在,尝试ssh一个pod:
$
浏览 0提问于2019-02-06得票数 0
为了通过跳转代理(bastion主机)连接到设备,我输入以下内容:
ssh -J bhost myuser@localhost -p $PORT
myuser是我当前在本地设备上登录的用户以及我在堡垒主机上连接到的帐户的用户名。我设置了不止一个港口。
bhost在我的SSH .config中定义如下:
Host bhost
HostName www.example.com
PasswordAuthentication no
IdentityFile ~/.ssh/id_ed25519
我的目标是不必键入myuser@localhost。相反,我希望能够像这样登录:
ssh -J b
浏览 0提问于2020-11-11得票数 0
我有几个GCE实例,它们都在同一个项目和相同的默认网络中。我指定了一个实例为" bastion“服务器,并希望阻止SSH从internet到除bastion服务器以外的所有实例,但允许bastion服务器对我的其他实例进行SSH。
因此,我修改了默认的允许SSH规则,只允许SSH到带有"jumphost“标记的目标,并将该标记应用于我的bastion实例。这是可行的,因为我可以SSH从我的堡垒服务器从互联网,但不能再SSH到我的其他实例从互联网。
然后,我创建了一个新的限制-允许- SSH规则,它只允许从我的bastion实例到我的其他实例访问SSH:
gcloud compu
浏览 0提问于2017-01-24得票数 1
我的公司使用堡垒连接到我们的私有VPC,我想在那里创建我的Docker swarm。我通常使用~/.ssh/config文件连接到我们vpc中的任何EC2实例,该文件将ssh重定向到我们的堡垒主机。
问题是docker-machine似乎没有像中指出的那样支持这一点。有没有人找到解决这个问题的办法,或者我只是用一种不同的方式来部署swarm?如果是这样的话有什么建议吗?
浏览 0提问于2020-01-03得票数 0
环境中心/大黄
我有两个系统。堡垒和DEV。
堡垒-
堡垒有许多独立的用户。(apple,orange.等)
用户可以直接从ssh到Bastion。
发展-
DEV只有一个用户。(fruit)
只有Bastion用户可以从Bastion从ssh到DEV。
最终,我想追踪“谁做了什么和什么时候”
在DEV方面,我可以在/var/etc/ fruit和/var/etc/audit.log中看到以身份登录的人,而不是“被谁”登录。
我的问题是:如何收集apple作为fruit连接到DEV的时间以及他做了什么?
浏览 0提问于2021-06-21得票数 0
回答已采纳
2回答
我们希望使用SSH堡垒将dbt连接到Postgres。我跟踪了在下留下的注释,但是我得到了一个超时错误。
几个问题:
应该如何配置profiles.yml以通过SSH进行连接?我添加了ssh-host,但这没有起作用。
还有其他需要设置的配置吗?
浏览 19提问于2021-07-27得票数 2
我想使用KOPS创建一个kubernetes集群,该集群完全使用私有拓扑(所有主/从机节点都在私有子网上,API ELB是内部的)。
创建集群后-如何配置kubectl通过我的堡垒服务器使用ssh隧道?
浏览 13提问于2018-09-10得票数 10
1回答
我在一个私有子网中设置了一个数据库(使用RDS),在一个公共子网中在它前面设置了一个堡垒。从本地笔记本电脑访问此数据库的传统方法是在该堡垒/jumpbox上设置ssh隧道,并将数据库端口映射到本地。但这对开发并不方便,因为我们每次都需要建立隧道,然后才能连接。我正在寻找一种方法来访问这个数据库,而不需要先设置一个ssh隧道。我见过一个案例,本地笔记本电脑直接使用堡垒的ip和它的3306端口连接到后面的数据库。我不知道这是怎么做的。 顺便说一句,在这种情况下,他们不使用端口转发,因为我在堡垒的iptable中没有找到任何特殊的规则。
浏览 5提问于2020-04-14得票数 1
回答已采纳
1回答
在我当前的环境中,我的所有Linux服务器都只能通过一个具有MFA功能的堡垒主机访问。
我设法让Ansible通过这个堡垒成功地与服务器对话,唯一的问题是它为每个主机建立了一个新的连接,这意味着我必须输入与服务器一样多的MFA密钥。糟糕的时光。:(
我尝试在ssh配置中使用这样的东西来尝试多路复用工作:
Host bastion
ControlMaster auto
ControlPath ~/.ssh/ansible-%r@%h:%p
ControlPersist 5m
不幸的是,它似乎并没有做到。有人知道我如何阻止Ansible通过我的堡垒主机为它所接触的每一个主机重新建立它的
浏览 0提问于2016-02-29得票数 9
2回答
我在用AWS。我需要与本地SSH客户端连接到LinuxEC2/ECS实例。我还需要与本地PostgreSQL客户端连接到RDS实例。
有用于在AWS中创建SSH堡垒的教程:
https://docs.aws.amazon.com/quickstart/latest/linux-bastion/welcome.html
https://cloudacademy.com/blog/aws-bastion-host-nat-instances-vpc-peering-security/
我认识几个这样的人。
我还看到关于不这样做的文章:
https://medium.com/@henriksylve
浏览 0提问于2018-09-19得票数 3
我试图在Windows7机器上使用pycharm 2018.1创建一个使用putty的堡垒。
我找到了一些ssh服务器的文档,并且这项工作没有任何问题:。
对于bastion服务器,py魅力似乎不允许这样的连接(在配置中,我只将登录名和服务器名作为参数)。我试图将通向本地主机的隧道放入到堡垒服务器的putty配置中。在我的窗口机器上,我看到了本地主机的端口。
问题是,我没有设法将pycharm连接到本地主机。它期望一个登录名和一个pwd,而我只有本地主机名。
我在去年的一篇文章中看到,“如果您使用的是一个堡垒主机(也称为跳转主机),您将很高兴知道PyCharm 2017.3支持SSH配置文件,
浏览 0提问于2018-05-13得票数 1
回答已采纳
我正在尝试设置端口转发,以便特定的IP (例如1.2.3.4/32)可以通过一个堡垒(例如,5.5.5.5:2222)向应用服务器(10.3.3.3:22)发送SSH。堡垒和应用服务器运行在亚马逊的VPC中,只有堡垒暴露在互联网上。
我在堡垒上使用了以下规则(在开始工作之前,我忽略了源IP ):
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 2222 -j DNAT --to 10.3.3.3:22
但是当我试图连接时,我没有得到任何回应。
在堡垒上运行tcpdump显示流量已经通过,所以我想我是在访问应用服务器的VPC安全组,而不是
浏览 0提问于2013-08-14得票数 4
回答已采纳
1回答
我在一个私人VPC上有一个AWS MSK kafka集群。我已经设置了一个堡垒来连接到这个集群,并且可以使用kafka控制台命令和使用用于SSL auth的JVM密钥存储成功地从这个堡垒生成和使用消息。
我正在尝试通过我的mac ->堡垒-> kafka代理的SSH隧道来生成/消费消息,但我似乎无法让它正常工作。
这是我的SSH隧道命令:ssh -i ~/bastion.pem -N ec2-user@ec2-myhost.compute.amazonaws.com -L 9094:kafkacluster.amazonaws.com:9094 -v
然后在我的mac上本地运行
浏览 1提问于2020-06-05得票数 0
我在我的本地机器上工作,在库伯奈特斯的一个吊舱中部署了一个数据库。要连接到它,首先需要连接到一个堡垒主机VM。
基本上,它是一个双ssh隧道:端口3306被映射到堡垒主机VM的端口3306,然后通过
gcloud beta compute ssh my-bastion-host --project my-gcp-project --zone us-west1-b --command "kubectl -n mynamespace port-forward app-mysqldb-12345-abcde 3306" -- -L3306:127.0.0.1:3306
但是,当我终止
浏览 6提问于2022-04-04得票数 0
我工作在一个环境中,对于多个环境,我有多个ssh键,所有这些都使用一个堡垒主机,这意味着ssh到任何环境中的任何框,它是一个2步跳,首先是到堡垒,第二步到目标框,我的ssh身份必须随身携带。
我知道ssh和. ssh /config都有选项,可以将所有当前ssh标识与您一起转发到bastion主机,这样您就可以在那里重用它们:
ssh -A IPADDRESS和ForwardAgent
此外,我知道. ssh /config有IdentityFile选项,它允许我根据我试图连接的主机指定使用哪个ssh键。然而,我注意到的是,IdentityFile选项使用的任何标识都不是由ForwardAge
浏览 0提问于2018-04-19得票数 1
对不起,如果这是一个微不足道的问题:我使用端口转发远程计算机上的端口22被重定向到本地计算机上的端口2222。隧道是使用以下azure命令创建的:
az网络堡垒隧道
我可以从ssh开始第一堂课。
ssh seva@localhost -p 2222
但是,当我使用相同的命令从另一个终端窗口启动另一个ssh会话时,它工作得很好。
ssh seva@localhost -p 2222
只有当第一个连接终止时,连接才会挂起并通过,我知道,我可以使用azure本机客户端运行多个会话:
az网络堡垒ssh
但是我需要通过同一个端口“经典方式”进行多个会话,因为这显然是Visual代码在尝
浏览 0提问于2022-05-04得票数 2
1回答
在私有子网中执行
、、、、
我在AWS中有两个实例。其中一个在公共子网(堡垒)中,第二个在私有子网中。
它们都是用相同的密钥对(.pem文件)启动的。
这就是我如何连接到堡垒的方式:
ssh -i secret.pem ec2-user@public-ip
工作很好,我加入了。
现在,我想在私有子网中对实例进行ssh。谷歌说我应该转发代理:
ssh -A ubuntu@private-ip
但不幸的是,我得到了一个错误:
Permission denied (publickey).
有人能解释一下我做错了什么,以及如何处理私人实例吗?(平安及保安团体均正常)
浏览 0提问于2021-08-08得票数 2
我的“问题”
我想通过SSH隧道连接到我的DocumentDB。我不确定这是否可能,但我想试一试。
是什么让我不这么做的:
我不能一边转发DocumentDB端口,一边提供我的EC2 pem文件以及DB (泛型RDS )的文件。
我的设置:
我已经在ECS中建立了基础设施,连接到一个DocumentDB。唯一提供给公众的港口是80和443 (80转至443),我想保持这种方式。当需要通过AWS连接时,我已经设置了一个EC2实例(没有传出路由)(我希望保持这种状态)。
EC2实例是AmazonLinux2AMI。
现在,我已经设置了一个proxy命令,用于通过SSH进行连接,而无需在我的~/.s
浏览 4提问于2020-03-05得票数 0
1回答
我们正在使用VPC在EC2上运行许多环境。在每个VPC中,我们都配置了一个经过强化的堡垒主机,它用作网络的初始SSH入口点。
要访问私有VPC子网中的主机,用户首先要将SSH访问到基站主机,然后才可以访问子网中的其他主机。为此,用户在进行初始SSH连接时转发SSH密钥(从AWS下载为.pem文件)。例如:
ssh -A ec2-user@bastion-host.on.aws
ssh ec2-user@app-server.on.aws
堡垒主机的全部目的是允许团队成员安全地访问我们的环境,只要他们同时拥有.pem键。团队成员是可信的,在一个单一的组织内。
我的问题是:在团队中管理和分发.pe
浏览 0提问于2015-06-09得票数 11
回答已采纳
1回答
我刚刚开始使用Go,我正在尝试通过堡垒主机建立ssh连接,我成功地通过了堡垒主机的身份验证,但在LAN主机上失败了。我已经读了很多帖子,我发现很有帮助。但我不确定那个persons配置中会有什么。我的代码如下。我正在尝试只使用PublicKeys,如果重要的是我在mac上启动,认证到linux,然后无法与另一台linux主机建立第二个连接。普通的ssh运行良好
package main
import (
"fmt"
"golang.org/x/crypto/ssh"
"io/ioutil"
"log
浏览 27提问于2020-02-04得票数 2
需要通过本地膝上型计算机在堡垒/jumpserver后面的EC2实例上到达EC2。
希望将这些步骤简化为使用. .shh/config。这个问题寻求解决正确的配置。
在没有公共堡垒服务器的情况下连接到EC2时,这是记录在案的正常方式,在我的情况下不起作用,因为我们的部署使用的是面向公共的堡垒:
当你需要跳过一个面向公众的堡垒时,例如:
本地/膝上型电脑
上面的参考链接不遵循相同的工作流,文档是稀疏的。为此功能设置入站/出站规则也很稀疏。
首选项是使用. .ssh/config,设置如下:
Host bastionHostTunnel
Hostname <publicBastionIp&
浏览 5提问于2020-04-11得票数 0
我无法使用ssh one liner建立连接链。
链:我的PC -> with主机->堡垒->我的应用程序X主机(与堡垒共享子网)
-Jumphost期望私钥A
-Bastion和X主机都需要私钥B
my pc> ssh -i /path_to_priv_key_for_X/id_rsa -o StrictHostKeyChecking=no -o
"ProxyCommand ssh -p 22 -W %h:%p -o \"ProxyCommand ssh -p 24 -W %h:%p
-i /path_to_key_jump/id_rsa jump
浏览 5提问于2018-03-18得票数 1
1回答
我尝试使用SSH但EC2连接ssh: connect to host XXXXXXXXX port 22: Connection timed out
注: XXXXXXXX是用户@IP
此外,我检查了security groups。允许ssh使用入站规则。
SSH TCP 22 0.0.0.0/0 -
SSH TCP 22 ::/0 -
我第一次能够使用SSH登录。之后,我在EC2实例上安装了LAMP堆栈。我想我忘了在ufw规则中添加ssh了。
我无法在AWS中使用基于浏览器的SSH连接进行连接,无法为会话管理器连接方法显示错误。
如何使用SSH或其他连接,以便在ufw规则中允许
浏览 1提问于2020-07-24得票数 0
我已经在Azure中创建了堡垒主机和一个虚拟机(没有公共IP),我可以通过堡垒主机登录到我的虚拟机,现在我想在虚拟机中部署flask应用程序,而不是允许通过堡垒主机向虚拟机发出flask web应用程序请求。
如何通过堡垒主机访问我的flask应用程序urls?
浏览 22提问于2021-03-23得票数 1
我想提供Windows主机,这是在子网访问,只有Linux跳转主机。
Windows机采用winrm连接方式。Linux跳转服务器可以通过SSH获得。
如果可以直接访问windows主机,则在以下方面我没有问题:
ansible_connection: winrm
如果我试图通过以下方式将任务委托给Linux跳转服务器(该服务器可以直接访问Windows):
- name: Ping windows
hosts: windows_machines
tasks:
- name: ping
win_ping:
delegate_to: "{{ ite
浏览 8提问于2015-12-17得票数 11
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
