SSH ProxyCommand no lado do servidor SSH

4

Usando a diretiva SSH ProxyCommand no arquivo cliente ~/.ssh/config , é possível se conectar a um servidor SSH por meio de um servidor SSH diferente que atua como host de salto.

Existe uma configuração semelhante para o lado do servidor SSH? Por exemplo, quando o usuário faz logon em uma máquina de salto com uma determinada chave autorizada, desejo que essa conexão SSH seja encaminhada automaticamente para outra máquina que também esteja executando sshd .

    
por sakra 30.04.2011 / 13:42

2 respostas

5

Você pode especificar um comando que é executado sempre que alguém faz login usando uma chave ssh.

Edite o arquivo ~/.ssh/authorized_keys . Prefira todas as chaves que você deseja encaminhar com command=ssh user@target .

Isso precisa ser feito para todos os usuários. Como isso é feito usando um arquivo de configuração do usuário, todos os usuários podem alterar isso. Se você confia em seus usuários (ou você é o único usuário), então está tudo bem. Você também pode impedir que os usuários alterem isso, não dando a eles outros meios para acessar o shell nesta máquina.

Para mais informações, leia a página sshd man. Pesquise a seção AUTHORIZED_KEYS FILE FORMAT e, em seguida, por command="command" .

Alternativamente: você pode forçar um comando usando ForceCommand in /etc/ssh/sshd_config . Esta opção é mais segura, pois é reforçada pelo sshd, e somente usuários com privilégios de root podem mudar isso.

Para mais informações, leia a página sshd_config man. Pesquise ForceCommand .

    
por 01.05.2011 / 13:08
1

A maneira mais fácil seria ter

ssh -t user@host

no arquivo .bash_login do usuário para que, quando fizerem login, inicie uma nova sessão ssh na máquina remota. (O -t força a alocação pseudo-tty - não tem certeza se você precisa disso ou não)

Se você quiser se tornar mais complexo / gerenciado centralmente, você pode substituir o shell do usuário por um script / programa que selecione o servidor remoto correto para se conectar e executar o comando ssh adequadamente.

    
por 30.04.2011 / 13:55

Tags