Score:0

ผ่านการเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์อื่นในการเชื่อมต่อ

ธง za

สวัสดีตอนเย็น,
ขณะนี้ฉันกำลังพยายามทำความเข้าใจกับลินุกซ์ให้ลึกขึ้นอีกเล็กน้อยซึ่งฉันคุ้นเคย

ให้ตรงไปที่ปัญหาของฉัน:
ก่อนอื่น มาพูดถึงการตั้งค่าของฉันกันก่อน
ฉันมีเซิร์ฟเวอร์ 3 เครื่อง โดยแต่ละเครื่องมี IP สาธารณะ
แต่ละเซิร์ฟเวอร์เป็นส่วนหนึ่งของ VLAN
เซิร์ฟเวอร์ #1 (vlan 10.0.0.2) ไม่ได้รับการป้องกันโดยไฟร์วอลล์
เซิร์ฟเวอร์ #2 (vlan 10.0.0.3) และเซิร์ฟเวอร์ #3 (vlan 10.0.0.4) ถูกบล็อกจากอินเทอร์เน็ตโดยสิ้นเชิง และสามารถเข้าถึงได้จาก vlan เท่านั้น
เซิร์ฟเวอร์ #2 รันคอนเทนเนอร์ KeyCloak อย่างไรก็ตาม สิ่งนี้ไม่เกี่ยวข้องกับปัญหา
เซิร์ฟเวอร์ # 3 ควรทำหน้าที่เป็นเซิร์ฟเวอร์คอมไพล์ของฉัน
โดยปกติฉันจะสร้างไฟล์ คอมไพล์ ผู้ใช้, เชื่อมโยง อนุญาต_คีย์ ไฟล์กับไฟล์ GitLab คอนเทนเนอร์. รหัสสาธารณะแต่ละรายการจะขึ้นต้นด้วยคำสั่ง ซึ่งจะส่งผ่านการเชื่อมต่อกับ ssh deamon ภายในคอนเทนเนอร์
แต่เนื่องจากเซิร์ฟเวอร์ #3 ไม่สามารถเข้าถึงได้แบบสาธารณะ ฉันจำเป็นต้องยอมรับการเชื่อมต่อ ssh ขาเข้าบนเซิร์ฟเวอร์ #1
ฉันสร้าง คอมไพล์ ผู้ใช้และเริ่มคิดว่าฉันจะเอาชนะปัญหานี้ได้อย่างไร

ฉันคิดอยู่สองวิธีที่จะสามารถจัดการกับมันได้

  1. อนุญาตให้ คอมไพล์ ผู้ใช้สามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านและเปิดการเชื่อมต่อกับ [email protected] (ใช้งานได้หรือไม่ ไคลเอ็นต์ ssh-agent ทำงานในกรณีนี้หรือไม่ ผู้โจมตีสามารถออกจากการเชื่อมต่อ ssh ภายในและทำสิ่งต่างๆ บนเซิร์ฟเวอร์ #1 ได้หรือไม่)
  2. เซิร์ฟเวอร์ #3 เชื่อมต่อกับเซิร์ฟเวอร์ #1 เป็นประจำและอัปเดต อนุญาต_คีย์ ไฟล์ (จากนั้นฉันจะต้องเขียนสคริปต์ที่สองที่ไฟล์ สั่งการ ที่ตั้งซึ่งจะเปิดการเชื่อมต่อไปยัง เซิร์ฟเวอร์ #3. สิ่งนี้จะช้าลง เนื่องจากผู้ใช้ต้องรอจนกว่าเซิร์ฟเวอร์ #3 จะซิงค์กับเซิร์ฟเวอร์ #1)
Michael Hampton avatar
cz flag
3. ทำให้เซิร์ฟเวอร์ 3 เข้าถึงได้แบบสาธารณะ
za flag
@MichaelHampton ที่ไม่มีประโยชน์เลยและไม่ใช่สิ่งที่ฉันถาม
Michael Hampton avatar
cz flag
เป็นสิ่งที่คุณถามมาอย่างแน่นอน และเป็นวิธีแก้ปัญหาที่ง่ายและน่าเชื่อถือที่สุดหากคุณไม่ต้องการพิจารณา คุณควรอธิบายรายละเอียดว่าทำไมคุณไม่ต้องการทำ
za flag
@MichaelHampton ฉันอธิบายการตั้งค่าเครือข่ายของฉันและสันนิษฐานว่ามันชัดเจนว่าฉันต้องการให้เซิร์ฟเวอร์ #1 ถูกพิจารณาว่าเป็นเกตเวย์ไปยังเซิร์ฟเวอร์อื่น ๆ ทุกเซิร์ฟเวอร์ และควรเป็นเช่นนั้น ฉันเลวที่ไม่แสดงเจตจำนงอย่างชัดเจน นี่เป็นข้อกำหนดพื้นฐานสำหรับการตั้งค่าทั้งหมด ซึ่งหมายความว่า หากคุณอยู่ในเครือข่าย คุณสามารถทำอะไรก็ได้ที่คุณต้องการ หากคุณไม่ใช่ คุณต้องเข้าถึงผ่านเกตเวย์ ไม่ว่าจะใช้ "เส้นทาง" ที่กำหนดไว้ล่วงหน้า (เช่น ผู้ใช้ ssh ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ git โดยอัตโนมัติ ฯลฯ) หรือเชื่อมต่อผ่าน ssh

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา