まず、SSHエージェントの配信について他に多くの質問があることを指摘したいと思います。人々は、プロキシ転送タスクを実行する方法、またはそれを安全に設定する方法を知りたいと思います。しかし、逆の問題があります。安定してできないようです。障害を負うそれ。それでは始めましょう。
私はこの記事を書いている時点で、最新で基本的に在庫があるDebian Bulls Iシステムを実行しています。このシステムでは、SSHデーモンは次の構成で実行されます/etc/ssh/sshd_config。
AcceptEnv LANG LC_*
AllowAgentForwarding no
AllowTcpForwarding no
AllowStreamLocalForwarding no
ChallengeResponseAuthentication no
Ciphers [email protected],[email protected]
Compression no
DebianBanner no
HostKeyAlgorithms rsa-sha2-512,ssh-ed25519
KbdInteractiveAuthentication no
KexAlgorithms curve25519-sha256,[email protected],diffie-hellman-group-exchange-sha256
ListenAddress aaa.bbb.ccc.ddd
LoginGraceTime 20
MACs [email protected],[email protected]
PasswordAuthentication no
PermitUserRC no
Protocol 2
# The first of the following version is the right one.
# However, for brain-dead WinSCP, we need the second version.
#PubkeyAcceptedKeyTypes rsa-sha2-512,rsa-sha2-256,ssh-ed25519
PubkeyAcceptedKeyTypes rsa-sha2-512,rsa-sha2-256,ssh-ed25519,ssh-rsa
RekeyLimit 100M 20m
Subsystem sftp /usr/lib/openssh/sftp-server
Match user copyremote
ChrootDirectory /backup
ForceCommand /usr/lib/openssh/sftp-server
これは十分構成ファイル。リッスンするIPアドレスを除いて、何も削除または難読化されません。さらに、SSHデーモンの追加の構成フラグメントは他の場所には含まれていません。
デフォルトでは、この設定はプロキシ転送機能など、必要のないすべての機能をオフにしようとします(注:この設定ファイルには、デフォルトでほとんどの機能をオフにする行は追加されていません(次の説明に従ってください。マニュアル))。また、認証は完全に公開鍵に基づいていることがわかります。
ある日、私はcopyremoteユーザーとSFTPサブシステムの問題を調査していたので、これをクライアントシステムにパラメータとして-v提供しました。sftp結果は次のとおりです(関連部分のみが表示されます)。
root@morn ~/scripts # sftp -v -i ~/.ssh/id_rsa_backup_user [email protected]:/backup/achilles.bsdtar.gz .
OpenSSH_8.4p1 Debian-5+deb11u1, OpenSSL 1.1.1n 15 Mar 2022
[...]
debug1: Remote: /home/usr/copyremote/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
debug1: Remote: /home/usr/copyremote/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
[...]
今これはひどいです。私はサーバーのシステム全体の構成ファイルからグローバルにプロキシ配信を無効にしたと思いました。ただし、出力を理解する限り提供されます。
プロキシ転送(およびサーバーから提供したくないその他の機能)をオフにする方法を説明できる人はいますか?グローバル?
これらの機能はauthorized_keysファイル内で明示的に無効にすることができますが、ユーザーが複数のユーザーであり、各ユーザーが複数の公開鍵を許可する場合は、エラーが発生しやすく作業量が多いため、無効にすることをお勧めします。一箇所で。
authorized_keys以下はサーバー上のユーザーファイルです。copyremote
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDs6ku+LXaUBs....JFchhaoQ== me@client
そこには特別なものはありません。プロキシ配信が明示的に許可されていないことは注目に値します。それでは、システム全体の構成の設定を適用しないのはなぜですか?
PS SSH / SFTP chrootが私たちが期待するセキュリティを提供していないことを知っています。問題を軽減するためにサーバーに追加の手順を実装したので、ここでは議論する必要はありません。 :-)
ベストアンサー1
プロキシ転送がグローバルに有効になっている場合(そうでない場合)、プロキシ転送にキー(デフォルト)を使用できると言います。
ログエントリにはauthorized_keysファイルの解析結果のみが表示されます。これは、デフォルトでは、no-agent-forwardingそのエントリにフラグが見つからないことを意味します。これはそのガイドラインをまったく反映しませんAllowAgentForwarding no。