Questions tagged «bastion»

“堡垒主机”和“跳转主机”之间有什么区别/相似之处？它们通常可互换使用吗？

13 firewall  proxy  bastion 

我们有堡垒服务器B。我们需要使用私钥从A到B到C进行SSH。 有什么更好的选择： 将私密SSH密钥放在服务器 B 上。我们了解到，在生产环境中执行此操作不是一个好主意。 从这里： 切勿将SSH私钥放在堡垒实例上。而是使用SSH代理转发来首先连接到该堡垒，然后再从那里连接到私有子网中的其他实例。这样，您就可以仅在计算机上保留SSH私钥。 使用SSH代理转发。为了设置代理转发，我需要允许TCP转发。设置代理转发时，将在转发主机上创建一个套接字文件，这是将密钥转发到目标的机制。在AWS的堡垒设置中： TCP转发：将此值设置为true将启用TCP转发（SSH隧道）。这可能非常有用，但同时也存在安全风险，因此我们建议您保留默认（禁用）设置，除非需要 也从这里： SSH代理转发被认为是有害的 什么是更好的？第二个链接的替代方法是什么：ProxyCommand，我知道它可以解决套接字文件问题，但是我仍然认为我必须启用TCP转发，这样是否足够安全？

10 linux  ssh  security  private-key  bastion 

在当前环境中，我只能通过启用了MFA的堡垒主机访问所有Linux服务器。 我设法使Ansible通过堡垒成功地与服务器通信，唯一的问题是它为每个主机建立了到堡垒的新连接，这意味着我必须输入与服务器数量一样多的MFA密钥。艰难时期。:( 我已经尝试在ssh配置中弄乱这样的东西，以尝试使多路复用工作： Host bastion ControlMaster auto ControlPath ~/.ssh/ansible-%r@%h:%p ControlPersist 5m 不幸的是它似乎没有做到。任何人都获得了一些提示，说明如何阻止Ansible通过我的堡垒主机为它碰到的每个主机重新建立其连接？ 谢谢！

9 ansible  configuration-management  two-factor  bastion