O tunelamento SSH requer um perfil SSH separado?

2

Ainda estou tentando entender como funciona o tunelamento, mas tenho algumas instâncias na AWS que habilitei o tunelamento SSH para visualizar alguns aplicativos da web para monitorar aplicativos em execução na máquina e gostaria de saber se posso fazer o meu trabalho normal em um perfil de sessão de túnel

Eu já tenho o SSH na máquina para fazer o trabalho, e criei outra sessão do perfil do Putty que é muito semelhante à do Putty original, mas é para o encaminhamento de túneis. Segui as instruções aqui da AWS e foi bastante simples. A diferença é que o novo túnel obviamente tem um perfil dinâmico ativado. Tudo bem se eu fizer todo o meu trabalho normal neste perfil de sessão habilitado para túnel? Ou eu deveria estar separando-os em uma sessão para o trabalho normal, e outra sessão para o encaminhamento do túnel?

    
por simplycoding 27.04.2018 / 16:21

2 respostas

0

Não há diferença de funcionamento de uma sessão "encapsulada" ou de uma sessão ssh "normal". A única coisa é que também está carregando o túnel com ele.

Geralmente, é comum ver as opções -f -N adicionadas para bifurcar o processo em segundo plano e não executar ações remotas no destino. Isso pode ser útil para permitir que você deixe o túnel aberto sem se preocupar com um percentual acidental de exit ou outros fatores em jogo.

    
por 27.04.2018 / 16:45
0

Não, normalmente não requer perfil diferente, você pode encapsular e trabalhar em cli remoto na mesma sessão e perfil.

No entanto, com a configuração especial, é possível restringir o uso de tunelamento e cli de várias maneiras através da configuração de chaves sshd / autorizadas:

Instâncias do servidor SSH ouvindo em portas diferentes:

  • encapsulamento só é possível através de uma porta TCP específica
  • acesso ao terminal só é possível através de uma porta TCP específica

Restrições de acesso SSH usando authorized_keys:

  • encapsulamento possível apenas com chave RSA específica usada para efetuar login
  • terminal
  • somente possível com chave RSA específica usada para efetuar login

Restrições de acesso SSH usando correspondência de usuário / grupo:

  • encapsulamento permitido apenas para contas de usuário específicas
  • Terminal
  • permitido somente para contas de usuários específicas

Embora acima seja possível, na maioria das vezes não é implementado assim e quando alguém tem acesso cli ele também poderia trabalhar com restrições de tunnelin implementando o protocolo mock tunelamento, por exemplo, através de dados de tubulação através da sessão ssh cli normal. Isso não exigirá nada especial, binários padrão disponíveis na maioria dos servidores serão suficientes.

Você também pode querer dar uma olhada nesta resposta falando sobre os canais do protocolo SSH: link

    
por 27.04.2018 / 18:55