Ich verwende meinen Bastion-Host, um mich wie folgt mit internen Servern zu verbinden
ssh -J user@BastionHost user@InternalServer
Ist es erforderlich, einen Benutzer auf dem Bastion-Host zu erstellen, um zu internen Servern zu springen? Oder können wir einfach diesen Server verwenden, um zu internen Servern zu springen?
Antwort1
Der Zweck des Bastion-Hosts besteht unter anderem darin, nur authentifizierten Benutzern den Zugriff auf Ihre internen Server zu gestatten.
Wie Ihre Bastion diese Authentifizierung durchführt, können Sie entscheiden.
Eine einfache Möglichkeit zum Einrichten einer solchen Authentifizierung besteht darin, dort für jeden Benutzer ein Benutzerkonto zu erstellen, dem Remote-SSH-Zugriff gestattet ist.
Das bringt einige Vorteile mit sich (ziemlich robust, leicht zu verstehen usw.), kann aber je nach Anzahl der Neuzugänge und Abgänge mühsam zu warten und zu skalieren sein. Und wenn Sie nur SSH-Zugriff bereitstellen, müssen die Leute andere Protokolle tunneln (zum Beispiel um Ihre Datenbanken zu verwalten).
Das Ausführen eines VPN-Servers auf Ihrem Bastion-Host ermöglicht mehr Flexibilität. Ein VPN hat außerdem den Vorteil, dass VPN-Benutzer nicht auf den Bastion-Server selbst zugreifen können, sondern nur auf die internen Server.