Estoy usando mi host bastión para conectarme a servidores internos de la siguiente manera
ssh -J user@BastionHost user@InternalServer
¿Es necesario crear un usuario en el host Bastion para saltar a los servidores internos? ¿O podemos simplemente usar este servidor para saltar a los servidores internos?
Respuesta1
El propósito del host bastión es, entre otros, permitir que sólo los usuarios autenticados accedan a sus servidores internos.
Cómo hace su bastión esa autenticación es algo que usted puede decidir.
Crear una cuenta de usuario allí para cada usuario al que se le permite acceso remoto ssh es una manera fácil de configurar dicha autenticación.
Esto tiene un par de ventajas (bastante sólido, fácil de entender, etc.), pero dependiendo del número de personas que entran y salen, puede ser laborioso de mantener y escalar. Y cuando solo proporcionas acceso ssh, las personas necesitarán hacer un túnel con otros protocolos (por ejemplo, para administrar tus bases de datos).
Ejecutar un servidor VPN en su host bastión permite una mayor flexibilidad. Una VPN también tiene la ventaja de que los usuarios de VPN no podrán acceder al servidor bastión en sí, solo proporciona acceso a los servidores internos.