Назад | Перейти на главную страницу

Требуется ли для туннелирования SSH отдельный профиль SSH?

Я все еще пытаюсь понять, как работает туннелирование, но у меня есть несколько экземпляров на AWS, в которых я включил SSH-туннелирование для просмотра некоторых веб-приложений для мониторинга приложений, запущенных на машине, и я хотел бы знать, могу ли я выполнять свою обычную работу на профиль туннельной сессии

Я уже часто подключаюсь к машине по SSH для работы, и я создал еще один сеанс профиля Putty, который очень похож на исходный сеанс Putty, но предназначен для пересылки туннелей. Я следил за AWS ' инструкции здесь и это было довольно просто. Разница в том, что в новом туннеле явно включено динамическое профилирование. Могу ли я выполнять всю свою обычную работу с этим профилем сеанса с включенным туннелем? Или мне следует разделить их на 1 сеанс для нормальной работы и еще один сеанс для переадресации туннеля?

Нет, обычно для этого не требуется другой профиль, вы можете туннелировать и работать на удаленном клиенте в одном сеансе и профиле.

Однако с помощью специальной конфигурации можно ограничить туннелирование и использование cli разными способами с помощью конфигурации sshd / авторизованных ключей:

Экземпляры SSH-сервера, прослушивающие разные порты:

  • туннелирование возможно только через определенный порт TCP
  • доступ к терминалу возможен только через определенный порт TCP

Ограничения доступа SSH с использованием authorized_keys:

  • туннелирование возможно только с определенным ключом RSA, используемым для входа в систему
  • терминал возможен только с определенным ключом RSA, используемым для входа в систему

Ограничения доступа SSH с использованием сопоставления пользователей / групп:

  • туннелирование разрешено только для определенных учетных записей пользователей
  • терминал разрешен только для определенных учетных записей пользователей

Хотя вышеупомянутое возможно, это чаще всего не реализовано таким образом, и когда у кого-то есть доступ к cli, он также может обойти ограничения туннелирования, реализуя фиктивный протокол туннелирования, например, путем передачи данных через обычный сеанс ssh cli. Для этого не потребуется ничего особенного, стандартных двоичных файлов, доступных на большинстве серверов, будет достаточно.

Вы также можете взглянуть на этот ответ о каналах протокола SSH: https://unix.stackexchange.com/a/86162/27083

Нет никакой разницы в работе с сеансом «с туннелем» или «обычным» сеансом ssh. Единственное, что он несет с собой и туннель.

Часто бывает типично видеть варианты -f -N добавлено, чтобы процесс развивался в фоновом режиме и не выполнял удаленные действия над целью. Это может быть полезно, если вы оставите туннель открытым, не беспокоясь о случайном exit или другие факторы.