Amazon-Web-Services

堡壘主機說明

  • November 3, 2020

我剛剛在 AWS 中設置了我的第一個堡壘主機,這讓我想到了訪問權限。例如:

user --> bastion (public) --> database (will only allow access from bastion IP on port 22)

似乎我可以通過兩種方式做到這一點:

第一的

使用者將有兩個私鑰,即他的個人密鑰和數據庫密鑰。添加使用ssh-add -K. 因此,為了通過 ssh 進入數據庫,使用者將執行以下操作:ssh -A user@bastion然後一旦登錄堡壘主機,他就可以執行另一個 ssh 進入數據庫。

第二

使用者將只有一個私鑰,即他的個人密鑰。他將使用它通過 ssh 進入堡壘主機,然後從那裡連接到數據庫。這次沒有密鑰轉發,因為數據庫已經從堡壘授權了密鑰。

這兩者之間的區別在於,使用者只需要第一種方法的數據庫密鑰,而不需要第二種方法。

**我的問題是,哪一個是最好的方法?**似乎它們都可以被認為是安全的。但是第二個可能會更好,因為管理員不必將數據庫密鑰分發給使用者。

如果您將 ssh 私鑰視為標識使用者,那麼第二種方法只是授權同一使用者訪問堡壘和數據庫主機。正如您所說,它稍微簡化了管理,但您必須評估風險以及是否值得。

然而,第一種方法在實踐中不太可能增加任何安全性。如果攻擊者能夠獲得其中一個私鑰,他們可能也能夠獲得另一個。

總而言之,除非您是高價值目標,否則第二種方法可能沒問題。無論哪種方式,都需要仔細保護對您的數據庫具有 ssh 訪問權限的使用者帳戶。

引用自:https://serverfault.com/questions/1041053