Fedora 开发者使用 ssh 访问基础设施（SOP）

SSH 访问基础设施 SOP

=============================

简介

============

这篇文章是对如何使用公钥认证安全登录 Fedora PHX2机器的说明。截止到2011年5月27日，所有机器要求使用密钥访问，密码认证的方式将停止使用。请注意，对于被访问的特定机器，实际上 SOP 什么都没做。所以，对于你所访问的机器，你一定要拥有其 shell 的组中。这个 SOP 简单描述了获得一个机器 shell 访问权限合适和有效的方法。

SSH 配置

=================

首先（在你本地的机器中）

vi ~/.ssh/config

..注意::

这个文件和其他密钥，需要 chmod 600，否则，会报“错误的所有者或权限”的错误。 .ssh 目录的权限必须是 700。

然后添加一下内容：

Host bastion.fedoraproject.org

User FAS_USERNAME

ProxyCommand none

ForwardAgent no

Host *.phx2.fedoraproject.org *.qa.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org

User FAS_USERNAME

ProxyCommand ssh -W %h:%p bastion.fedoraproject.org

有个不太完美的地方，当你 SSH 连接到 Fedora 机器时，为了连接能够顺利通过堡垒主机，你必须包括.phx2.fedoraproject.org

如果想避免这种情况，你可以给每个你登录的 Fedora 机器添加别名::

Host *.phx2.fedoraproject.org 10.5.125.* 10.5.126.* 10.5.127.* *.vpn.fedoraproject.org batcave01 noc01 # list all hosts here

ProxyCommand 如何工作

建立到堡垒主机的链接

+--------+ +--------------+

| 你 | --ssh--> | 堡垒主机 |

+--------+ +--------------+

堡垒主机建立到目标服务器的链接

+--------------+ +--------+

| 堡垒主机 | -------> | 服务器 |

+--------------+ +--------+

Your client then connects through the Bastion and reaches the target server

你的的客户端经过堡垒主机链接并到达目标服务器

+-----+ +--------------+ +--------+

| 你 | | 堡垒主机 | | 服务器 |

| | ===ssh到堡垒主机============================> | |

+-----+ +--------------+ +--------+

PyTTY SSH 配置

=======================

你可以这样配置 Putty

1、在绘画类型字段填入

batcave01.phx2.fedoraproject.org port 22

2、在连接中填入你的FAS_USERNAME

3、在连接中添加代理设置

.ProxyHostname is bastion.fedoraproject.org

.Port 22

.Username FAS_USERNAME

.Proxy Command plink %user@%proxyhost %host:%port

4、在连接-SSH-Auth 中，密钥要和 FAS 配置文件中你的认证信息相同

SSH 代理转发

====================

你通常应该有

ForwardAgent no

在Fedora主机中，这是OpenSSH的默认设置。你可以在 ssh 中使用 -A 参数，来推翻默认设置。如果使用端口转发连接到一个被攻击的主机，ssh代理可能会被滥用。此外，如果你需要SSH代理转发（比如说在机器之间复制文件），为了避免你的代理暴露，你应该记得尽快退出。

Fedora 开发者使用 ssh 访问基础设施（SOP）

你可能感兴趣的:(Fedora 开发者使用 ssh 访问基础设施（SOP）)