堡壘主機說明

我剛剛在 AWS 中設置了我的第一個堡壘主機，這讓我想到了訪問權限。例如：

user --> bastion (public) --> database (will only allow access from bastion IP on port 22)

似乎我可以通過兩種方式做到這一點：

第一的

使用者將有兩個私鑰，即他的個人密鑰和數據庫密鑰。添加使用ssh-add -K. 因此，為了通過 ssh 進入數據庫，使用者將執行以下操作：ssh -A user@bastion然後一旦登錄堡壘主機，他就可以執行另一個 ssh 進入數據庫。

第二

使用者將只有一個私鑰，即他的個人密鑰。他將使用它通過 ssh 進入堡壘主機，然後從那裡連接到數據庫。這次沒有密鑰轉發，因為數據庫已經從堡壘授權了密鑰。

這兩者之間的區別在於，使用者只需要第一種方法的數據庫密鑰，而不需要第二種方法。

**我的問題是，哪一個是最好的方法？**似乎它們都可以被認為是安全的。但是第二個可能會更好，因為管理員不必將數據庫密鑰分發給使用者。

如果您將 ssh 私鑰視為標識使用者，那麼第二種方法只是授權同一使用者訪問堡壘和數據庫主機。正如您所說，它稍微簡化了管理，但您必須評估風險以及是否值得。

然而，第一種方法在實踐中不太可能增加任何安全性。如果攻擊者能夠獲得其中一個私鑰，他們可能也能夠獲得另一個。

總而言之，除非您是高價值目標，否則第二種方法可能沒問題。無論哪種方式，都需要仔細保護對您的數據庫具有 ssh 訪問權限的使用者帳戶。

引用自：https://serverfault.com/questions/1041053