SSH Agent Forwarding概念与示例

已于 2022-01-21 16:14:31 修改
阅读量3k 收藏 1
点赞数
分类专栏: Tips & Tricks linux 文章标签: ssh-agent forwarding ssh
于 2020-11-04 17:34:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevensxiao/article/details/109494833
版权
本文介绍如何利用SSH密钥转发功能,在无需将内网目标机的私钥放置于公网跳板机的情况下,从客户机安全地访问目标机。通过在客户机上启动ssh-agent并添加目标机的私钥,再配置SSHAgentForwarding选项,即可实现在跳板机上通过访问客户机上的ssh-agent获取私钥,进而登录目标机。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用ssh-copy-id拷贝公钥及ssh-agent添加passphrase一文中,我们已经知道ssh-agent可以免除输入passphrase的麻烦,本文演示其另一功能,SSH agent forwarding。

假设有3台机器,客户机,位于公网的跳板机和位于内网的目标机。

为了访问内网的目标机,通常需要将目标机的私钥放置在跳板机上。而SSH agent forwarding可以实现以下的功能:

  • 跳板机上无需放置目标机的私钥
  • 跳板机通过访问客户机上的ssh-agent获取私钥

注意,前提是客户机可以访问跳板机,也就是具有访问跳板机的私钥

因此在客户机上需要启动ssh-agent,并添加目标机的私钥。

#  以下操作均位于客户机
$ eval `ssh-agent`
Agent pid 17808


# 可以指定key的路径,例如ssh-add -k /tmp/id_rsa
$ ssh-add
Identity added: /c/Users/yyxiao/.ssh/id_rsa (/c/Users/yyxiao/.ssh/id_rsa)

$ ssh-add -l
2048 SHA256:VSjsgy1rieKeqZqSOf/ubyXilTwdwURLZOPcuxaA3pU /c/Users/yyxiao/.ssh/id_rsa (RSA)

客户机和跳板机均需要允许SSH Agent Forwarding,或者说ssh和sshd都需要允许SSH Agent Forwarding。
客户机的配置可以在ssh_config文件中配置,或者使用-A选项。sshd的配置需要以下选项,默认是允许的:

AllowAgentForwarding yes

下面我们来验证这个过程:

# 在客户机上,以-A选项登录跳板机
$ ssh -A opc@130.61.120.167
Last login: Wed Nov  4 09:12:15 2020 from 202.45.129.203

# 在跳板机上,确认没有存私钥文件id_rsa
[opc@instance-20201027-1039 ~]$ ls -l ~/.ssh
total 12
-rw-------. 1 opc opc  398 Oct 27 02:40 authorized_keys
-rw-------. 1 opc opc 1672 Nov  4 03:16 id_rsa.orig
-rw-r--r--. 1 opc opc  342 Nov  4 03:23 known_hosts

# 在跳板机上,登录目标机成功
[opc@instance-20201027-1039 ~]$ ssh 10.0.1.14
Last login: Wed Nov  4 09:09:12 2020 from instance-20201027-1039.sub07281614200.training.oraclevcn.com
linux ssh forward,SSH & SSH agent forward
weixin_33724264的博客
05-16 821
最近新入手了一个MacPro2016,需要配置很多东西。其中就包括的SSH。因为之前用Windows,使用的是Xshell客户端,跳板机什么的都正常操作。但是这次在Mac上像用同样的办法没有成功。调研了一番,问了一些SA大神及查阅了一些文档,基本上搞清楚问题原因。做笔记来记录下过程。windows版跳板机的使用姿势,可以自行百度跳板机的配置通过上面的办法我选定了node1.org作为我的跳板机,配...
SSH Agent:轻松管理密钥的秘密武器
最新发布
weixin_42587823的博客
03-10 755
SSH Agent 是一个后台进程,它负责管理和缓存你的私钥。启动 SSH Agent 后,你只需一次性输入私钥的密码(Passphrase),然后 SSH Agent 会将解密后的密钥存储在内存中。当你使用 SSH 登录时,SSH 客户端会通过 SSH Agent 自动完成身份验证,无需每次都输入密码。SSH Agent 为我们提供了一个安全、便捷的密钥管理方式,让 SSH 认证过程变得更加流畅。通过启动 SSH Agent、添加私钥、配置 Agent 转发,我们可以避免频繁输入密码,提高工作效率。
SSH Agent Forwarding原理
aabbcc456aa的专栏
02-20 1943
本周为了做ssh agent相关的培训,多方查看资料,包括ssh/sshd的manual, 相关RFC, wikipedia。 终于算是把密码学和ssh相关东西理解得更深入了。然后重新将agent guide看了看,发现了一些问题。agent guide是2006年写的,而06年SSH-2刚刚出来,因此文章是基于SSH-1的。虽然ssh agent的基本原理还是对的,但有的地方(主要是认证部分)已
ssh agent forward
alloc_young的专栏
07-08 908
See more details: http://unixwiz.net/techtips/ssh-agent-forwarding.html How to enable ssh agent: on server A: enable it on /etc/ssh/sshd_config AllowAgentForwarding yes ssh to server A with option
使用SSH Agent Forwarding
aabbcc456aa的专栏
02-20 1579
SSH Agent Forwarding原理讲了ssh认证以及agent forwarding的基本原理, 但没有讲具体该怎么做。下面就讲讲最佳实践 (Best Practice). Using ssh-agent with ssh一文讲得很清楚,这里做一下翻译和扩展。 公钥认证配置 在本机生成公私钥对 ssh-keygen -f $HOME/.ssh
SSH客户端操作Linux
01-30
Agent forwarding is disabled to avoid attacks by corrupted servers. Are you sure you want to continue connecting (yes/no)? yes Do you want to change the host key on disk (yes/no)? yes Agent forwarding...
sshtun: Go软件包实现SSH隧道端口转发功能
标签“go ssh golang forwarding ssh-tunnel Go”说明了sshtun软件包Go语言以及SSH隧道相关的功能和应用场景。Go语言以其简单、高效和并发性能强而著称,因此在编写网络服务相关软件时,Go语言是一个很好的选择。...
ssh例子
03-06
在这个压缩包文件"SSH_Self"中,可能包含了相关代码示例、配置文件或详细步骤说明,帮助用户更好地理解和应用SSH。 在SSH的使用中,有几个关键知识点是必须掌握的: 1. **加密原理**:SSH基于公钥/私钥加密机制,...
IOSSHy:自动化SSH隧道配置命令执行的桌面工具
- SSH代理(SSH Agent):是一个用于管理SSH密钥的程序,它提供了一种安全的方式来缓存用户身份验证过程中的私钥,使得用户在一次身份验证后可以执行多次不需要再次输入密码的SSH操作。 - rdesktop命令:是一个允许...
ssh远程登录协议和tcp wappers
wulei_123456789的博客
12-07 3062
ssh远程登录协议和tcp wappers 1.SSH服务 1.1 SSH基础 什么是SSH服务器? SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。 SSH客户端<--------------网络---------------->SSH服务端 优点: 数据传输是加密的,可以防止信
ssh密钥代理转发(ssh agent forwarding)
学习是为了探索这个世界的本质
09-07 8269
之前一直用SecureCRT登陆服务器A然后再跳到服务器B,某日突然需要从另一台可信任的机器C用ssh登陆,ssh的key已经复制好,所以登陆A没有问题,但是登陆B会出现Pubkey Unauthorization. 仔细翻查SecureCRT的设置,发现有密钥代理转发的设置:     如此类推,ssh也必须有相应的设置。方法如下: 1. 修改ssh_config(不
Docker SSH Agent Forwarding - 开源项目实战指南
gitblog_00175的博客
08-23 407
Docker SSH Agent Forwarding - 开源项目实战指南 docker-ssh-agent-forwardForward SSH agent socket into a container项目地址:https://gitcode.com/gh_mirrors/do/docker-ssh-agent-forward 项目介绍 Docker SSH Agent Forwardin...
SSH Agent Forward on Windows
azxsdv的博客
01-23 690
公司由于面向github编程拉取git代码比较缓慢,因此需要实现ssh key forward 来进行加速,不过面向linux或者mac,是支持ssh-agent forward的,windows需要手动设置,下面开始设置。这里笔者使用的是gitbash,下载地址为 git-scm.com,安装过程就不赘述了,想省心的话默认下一步下一步,想自定义的可以搜索安装教程。
SSH agentagent forwarding
RomanBrickie的专栏
01-24 4451
ssh-agent单拿出来说,是因为随着公司的跳板机方案的实施,ssh-agent将大规模被或暗地里被应用。理解它的原理有助于我知道相关的部署和操作,以及如何安全滴应用。 像其他linux软件一样,最好的资料是用英文写的,关于ssh的认证和用户管理,有个不错的系列:http://www.symantec.com/connect/articles/ssh-and-ssh-agent, 搜
SSH Agent Forwarding
yangjingxu的专栏
09-15 214
https://help.github.com/articles/using-ssh-agent-forwarding http://www.unixwiz.net/techtips/ssh-agent-forwarding.html
ssh 转发
勤不了一点
04-15 1305
ssh 一些转发配置测试,SSH 命令的三种代理功能
linux隧道反向代理
hyz792901324的博客
08-21 1102
文件位置 /etc/ssh/sshd_conf AllowAgentForwarding yes AllowTcpForwarding yes X11Forwarding yes UseLogin no GatewayPorts yes 配置完成后重启ssh service sshd restart 然后配置 xshell 的 属性 链接>ssh>隧道 ...
应用使用经验(三):SSH远程服务器端口转发,本地调试远程调用
出家二少
07-22 702
文章目录一、使用工具二、操作步骤1、入手vps云主机2、安装xsell客户端3、远程登录 上一篇文章中解决了我们本地调试请求对方公网IP白名单的问题,但是有时候我们还需要对外提供公网服务,供对方调用,需要将我们本地服务映射出去,也就是我们常说的内网穿透,现在网上也有很多花生壳类似的代理软件,反正鄙人就是觉得很重,还占用着本地的很大资源,于是在各种爬,也看到自己常用的xshell里面有个forward功能,赶脚着这里面有三种方式,看字面意思应该有符合我这个需求的,功夫不负有心人,终于入尝所愿,下面听强哥娓娓道
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值