要连接到远程机器,我的公钥需要添加到它的 authorized_keys。按照这种逻辑,堡垒的公钥将在 EC2 的 authorized_keys 中有一个条目。这是否意味着如果有人可以访问我的堡垒,只要他们拥有正确的主机和用户,他们就会自动访问我的 EC2?然后,Bastion 如何增强我的 EC2 的安全性?黑客将他的公钥添加到堡垒或 EC2 中不是同样困难吗?
【问题讨论】:
authorized_keys 中的public 密钥不足以授予对另一台计算机的访问权限。您需要 private 密钥来执行此操作。并且您不应该将私钥存储在您个人机器以外的任何地方。
标签: amazon-web-services amazon-ec2 aws-security-group
你说的很对。在堡垒主机上存储密钥不是一个好主意。
堡垒的目的是成为架构中“突出”到 Internet 上的一部分,而其他资源则隐藏在“墙”后面。
事实上,堡垒这个名字是指“防御工事的突出部分,与墙线成一定角度,以便向多个方向提供防御火力。”。 p>
就像城堡有防御堡垒一样,您也应该通过不在堡垒上存储钥匙来防御堡垒。
相反,您可以使用代理转发。这允许您通过 SSH 连接到堡垒,然后使用相同的密钥对登录另一台计算机而无需将密钥对存储在堡垒上。
网上有很多解释代理转发的资料,比如:How to use SSH properly and what is SSH Agent Forwarding - DEV Community
【讨论】:
ProxyJump。见heipei.io/2015/02/26/SSH-Agent-Forwarding-considered-harmful