🥷 Джонни вещает: проброс авторизации
OpenSSH позволяет использовать сервера в качестве плацдарма для подключения к другим серверам, даже если эти сервера недоверенные и могут злоупотреблять чем хотят.
🆘 Для понимания ситуации, пример ниже будет ссылаться на вот эту схему (click)Допустим, мы хотим подключиться к серверу
10.1.1.2
, который готов принять наш ключ. Но копировать его на
8.8.8.8
мы не хотим, ибо там проходной двор и половина людей имеет sudo и может шариться по чужим каталогам.
— Компромиссным вариантом было бы иметь «другой» SSH-ключ, который бы авторизовывал
[email protected]
на
10.1.1.2
, но если мы не хотим пускать кого попало с
8.8.8.8
на
10.1.1.2
, то это не вариант (тем паче, что ключ могут не только поюзать, но и скопировать себе «на чёрный день»).
⚙️ SSH предлагает возможность форварда SSH-агента (это такой сервис, который запрашивает пароль к ключу). Опция
ssh -A
пробрасывает авторизацию на удалённый сервер.
Вызов выглядит так: ssh -A [email protected] ssh [email protected]
Удалённый SSH-клиент (на
8.8.8.8
) может доказать
10.1.1.2
, что мы это мы только если мы к этому серверу подключены и дали SSH-клиенту доступ к своему агенту авторизации (
но не ключу!).
#SSH #Authorization | 😊 @iscode