我的网络中有以下设置:
Internet <--> Bastion <--> Local Network
我有几个用户,每个用户都分配到一台特定的机器。或者换句话说:每个用户必须只能访问这些服务器之一。例如:User1 --> Machine1、User2 --> Machine2 等等。
这些用户将从我的网络外部连接,我已经考虑了许多选项如何通过我的堡垒主机将他们的连接转发到我的网络。
最终我选择了 Match Blocks 和 forcecommand。
所以,我在堡垒上的 /etc/ssh/sshd_config 看起来像这样:
Match User User1
ForceCommand ssh User1@Machine1 $SSH_ORIGINAL_COMMAND
User1 连接到堡垒主机,堡垒主机自动与 Machine1 建立连接。
据我了解 ForceCommand,User1 不会真正访问堡垒主机,因为他的所有操作都将首先由 match 块处理,因此重新路由到 Machine1。然而这是真的吗?这是否已经足以成为一个安全的设置?无论如何,用户在 Machine1 上被监禁,所以他在那里不会有很多可能性。