Назад | Перейти на главную страницу

Конфигурация SSH ProxyCommand запрашивает открытый ключ

Я пытаюсь подключиться к инстансу EC2 через шлюз.

Если я подключаюсь к шлюзу

local> ssh gateway

Тогда я могу подключиться к EC2 без пароля

gateway> ssh ec2  # works

Однако для попытки подключения через прокси-сервер, похоже, требуется файл отступов.

Host gateway
    HostName <gateway>

Host ec2
    HostName ec2-<ec2>.compute.amazonaws.com
    ProxyCommand ssh gateway -W %h:%p


local> ssh ec2
Permission denied (publickey).

Я думал, что ProxyCommand в основном регистрирует меня в шлюзе, а затем входит в конечный пункт назначения. Если да, то почему он запрашивает у меня открытый ключ, если шлюз настроен так, чтобы он не требовался? Как я могу подключиться к экземпляру ec2 таким же образом, как если бы я подключился к шлюзу по ssh, а затем по ssh в ec2?

Изменить: rsync работает нормально (не запрашивает ключевой файл)

rsync -pthrvz  --rsync-path=/usr/bin/rsync --rsh='ssh gateway ssh' . ec2:/path

ssh -v вывод из gateway> ssh ec2

gateway> ssh -v ec2
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to ec2 port 22.
debug1: Connection established.
debug1: identity file <snip> type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2
debug1: match: OpenSSH_6.2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'ec2' is known and matches the RSA host key.
debug1: Found key in ~/.ssh/known_hosts:63
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Trying private key: ~/.ssh/identity
debug1: Offering public key: ~/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.

ssh -v вывод при попытке подключения через прокси

local$ ssh -v ec2 
OpenSSH_6.7p1 Ubuntu-5ubuntu1.3, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /home/matt/.ssh/config
debug1: /home/matt/.ssh/config line 9: Applying options for ec2
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Hostname has changed; re-reading configuration
debug1: Reading configuration data /home/matt/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Executing proxy command: exec ssh gateway -W ec2:22
debug1: permanently_drop_suid: 1000
debug1: identity file /home/matt/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/matt/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.7p1 Ubuntu-5ubuntu1.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.2
debug1: match: OpenSSH_6.2 pat OpenSSH* compat 0x04000000
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr umac-64-etm@openssh.com none
debug1: kex: client->server aes128-ctr umac-64-etm@openssh.com none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 73:<snip>:0c
debug1: Host 'ec2.compute.amazonaws.com' is known and matches the ECDSA host key.
debug1: Found key in /home/matt/.ssh/known_hosts:11
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/matt/.ssh/id_rsa
debug1: Authentications that can continue: publickey
debug1: Trying private key: /home/matt/.ssh/id_dsa
debug1: Trying private key: /home/matt/.ssh/id_ecdsa
debug1: Trying private key: /home/matt/.ssh/id_ed25519
debug1: No more authentication methods to try.
Permission denied (publickey).

Проблема, похоже, в том, что он пытается найти ключ на моей машине, а не берет его со шлюза.

ProxyCommand работает не так, как вы думаете. Указанная команда не выполняется на шлюзе. Скорее, он запускается на подключающейся машине.

Таким образом, порядок исполнения:

  1. ProxyCommand «ssh gateway -W% h:% p» выполняется на «локальной» машине. Это устанавливает сеанс SSH к шлюзу с использованием идентификатора RSA на вашем локальном сервере. Флаг -W указывает, что stdin и stdout должны быть подключены к источнику TCP-сеанса на шлюзе в ваш конечный пункт назначения.

  2. После установления сеанса прокси ssh на вашем локальном компьютере снова использует этот сеанс для аутентификации на удаленном сервере SSH, опять же, с использованием локальных учетных данных.

Это немного сбивает с толку, но думайте о ProxyCommand как о простой установке «канала» между вашим локальным SSH-клиентом и SSH-сервером, который является вашим конечным пунктом назначения. Затем этот тупой канал используется вашим локальным SSH-клиентом для связи с SSH-службой конечного пункта назначения.

Ключ в том, что поэтому есть два экземпляры SSH, запущенные на вашем локальном компьютере, один из которых является ProxyCommand, а другой - фактическим SSH-соединением, которое вы хотите установить! Вы сможете убедиться в этом, посмотрев на вывод «ps aux» на вашем локальном компьютере.

Это тогда объяснило бы, почему он пытается использовать ключевой материал на вашем локальном компьютере, а не на вашем шлюзе для аутентификации. :-)

Причина, по которой rsync работает, заключается в том, что вы на самом деле выполняете "ssh gateway ssh" в качестве вашей команды --rsh, которая фактически запускает ssh один раз на локальном компьютере для подключения к шлюзу, а затем еще раз на удаленном компьютере, который будет затем используйте материал дистанционного ключа.

Надеюсь это поможет.