Я вошел на сервер под названием Walnut, с которого я пытаюсь войти на другой сервер под названием Hazelnut.
local machine (mac) ---ssh---> Walnut ---ssh---> Hazelnut
Первый ssh (с моей локальной машины на Walnut) идет нормально.
Однако вторая команда ssh дает мне отказ в разрешении.
Вот что говорят журналы, когда я это делаю ssh -v -A Haezlnut.
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to Hazelnut [address] port [port].
debug1: Connection established.
debug1: identity file /home/username/.ssh/id_rsa type -1
debug1: identity file /home/username/.ssh/id_rsa-cert type -1
debug1: identity file /home/username/.ssh/id_dsa type -1
debug1: identity file /home/username/.ssh/id_dsa-cert type -1
debug1: identity file /home/username/.ssh/id_ecdsa type -1
debug1: identity file /home/username/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u2
debug1: match: OpenSSH_6.7p1 Debian-5+deb8u2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-4+deb7u2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug1: kex: client->server aes128-ctr hmac-sha1 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: [Host key]
debug1: Host 'Hazelnut' is known and matches the ECDSA host key.
debug1: Found key in /home/username/.ssh/known_hosts:1
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/username/.ssh/id_rsa
debug1: Trying private key: /home/username/.ssh/id_dsa
debug1: Trying private key: /home/username/.ssh/id_ecdsa
debug1: No more authentication methods to try.
Permission denied (publickey).
Так что я думаю, что журналы ясно указывают на то, что в конце не удается найти ключевой файл. Что сбивает с толку, так это то, что, поскольку закрытый ключ находится на локальной машине Mac, он должен искать файл в /Users/username/.ssh/не /home/username/.ssh/. Первая команда ssh (от local до Walnut) делает это нормально, но вторая команда (от Walnut до Hazelnut) как-то портит.
Что еще более сбивает с толку, так это то, что один и тот же процесс отлично работает на многих других, казалось бы, идентичных машинах Mac. Если вы попытаетесь использовать ssh в Hazelnut from Walnut с помощью любого другого компьютера Mac, он попытается найти ключевой файл в правильном (/Users/username/.ssh) каталог.
У кого-нибудь была эта проблема раньше?
Вам нужно будет либо сделать свой ssh-агент доступным на walnut используя эту команду со своего Mac: ssh -A walnut затем нажмите ssh на лесной орех.
Однако такие действия считаются плохой практикой, поскольку они открывают доступ к вашему агенту удаленной машине. Если злоумышленник окажется на грецком орехе, он может украсть ваши личные ключи.
Или туннель к фундуку. Но есть много способов сделать это ...
Использовать -J option - ярлык для ProxyJump вариант (требуется openssh ver. 7.3+):
ssh -J <jumphost> <target>
Параметр ProxyCommand с использованием netcat на хосте перехода:
ssh -o ProxyCommand="ssh %h nc <target> 22" <jumphost>
или ProxyCommand с параметром -W:
ssh -o ProxyCommand="ssh -W %h:%p <jumphost>" <target>
В proxycommand или ProxyJump директивы конфигурации также могут быть помещены в файл конфигурации ssh для того же эффекта