Conexão SSH de dois saltos com duas chaves públicas separadas

1

Nós temos a seguinte configuração de ssh hop:

    localhost -> hub -> server

hubuser @ hub aceita a chave pública para localuser @ localhost.

serveruser @ server aceita a chave pública para hubuser @ hub.

Portanto, estamos emitindo ssh -t hubuser@hub ssh serveruser@server para conectar ao servidor.

O problema com esta configuração é que não podemos scp diretamente para o servidor.

Eu tentei criar o arquivo .ssh / config assim:

    Host server
      user serveruser
      port 22
      hostname server
      ProxyCommand ssh -q hubuser@hub 'nc %h %p'

Mas não consigo me conectar (yigit é localuser):

    $ ssh serveruser@server -v
    OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
    debug1: Reading configuration data /home/yigit/.ssh/config
    debug1: /home/yigit/.ssh/config line 19: Applying options for server        debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Executing proxy command: exec ssh -q hubuser@hub 'nc server 22'
    debug1: permanently_drop_suid: 1000
    debug1: identity file /home/yigit/.ssh/id_rsa type 1000        debug1: identity file /home/yigit/.ssh/id_rsa-cert type -1
    debug1: identity file /home/yigit/.ssh/id_dsa type -1
    debug1: identity file /home/yigit/.ssh/id_dsa-cert type -1
    debug1: identity file /home/yigit/.ssh/id_ecdsa type -1
    debug1: identity file /home/yigit/.ssh/id_ecdsa-cert type -1
    debug1: Remote protocol version 2.0, remote software version OpenSSH_5.9p1 Debian-5ubuntu1
    debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1 pat OpenSSH_5*
    debug1: Enabling compatibility mode for protocol 2.0        debug1: Local version string SSH-2.0-OpenSSH_6.1
    debug1: SSH2_MSG_KEXINIT sent
    debug1: SSH2_MSG_KEXINIT received
    debug1: kex: server->client aes128-ctr hmac-md5 none
    debug1: kex: client->server aes128-ctr hmac-md5 none        debug1: sending SSH2_MSG_KEX_ECDH_INIT
    debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
    debug1: Server host key: ECDSA cb:ee:1f:78:82:1e:b4:39:c6:67:6f:4d:b4:01:f2:9f
    debug1: Host 'server' is known and matches the ECDSA host key.
    debug1: Found key in /home/yigit/.ssh/known_hosts:33
    debug1: ssh_ecdsa_verify: signature correct
    debug1: SSH2_MSG_NEWKEYS sent
    debug1: expecting SSH2_MSG_NEWKEYS
    debug1: SSH2_MSG_NEWKEYS received
    debug1: Roaming not allowed by server
    debug1: SSH2_MSG_SERVICE_REQUEST sent
    debug1: SSH2_MSG_SERVICE_ACCEPT received
    debug1: Authentications that can continue: publickey
    debug1: Next authentication method: publickey
    debug1: Offering RSA public key: /home/yigit/.ssh/id_rsa
    debug1: Authentications that can continue: publickey
    debug1: Trying private key: /home/yigit/.ssh/id_dsa
    debug1: Trying private key: /home/yigit/.ssh/id_ecdsa
    debug1: No more authentication methods to try.
    Permission denied (publickey).

Observe que ele está tentando usar a chave pública localuser @ localhost para autenticação no servidor e falha, pois não é o correto. É possível modificar o ProxyCommand para que a chave do hubuser @ hub seja usada para autenticação no servidor?

    
por yigit 06.11.2012 / 17:14

2 respostas

0

Você pode usar -i no ProxyCommand para especificar um arquivo-chave a ser usado para a conexão de localhost a hub . Você pode usar IdentityFile para especificar um arquivo-chave a ser usado para a conexão de localhost a server

Ambos os arquivos de chave precisam estar localizados em localhost . Esta configuração não precisará de nenhum dos dois arquivos-chave localizados em hub .

    
por 25.04.2014 / 14:41
0

Verifique se você tem o pacote netcat instalado em sua máquina local (e provavelmente todos os outros servidores), por exemplo no Ubuntu você pode instalar com sudo apt-get install netcat .

Assegure-se de que o servidor de salto possa SSH para o servidor de destino sem senha (por exemplo: use ssh-copy-id )

Adicione ~ / .ssh / config em sua máquina local:

Host any-nickname-here
    User destination-user
    ProxyCommand ssh -o 'ForwardAgent=yes' user@hop-server 'ssh-add && nc destination-host destination-port'

Em seguida, o seguinte deve funcionar ssh any-nickname-here ou scp file.txt any-nickname-here:/dir/path/

    
por 02.05.2016 / 21:33

Tags