Я использую свой хост-бастион для подключения к внутренним серверам следующим образом:
ssh -J user@BastionHost user@InternalServer
Нужно ли создавать пользователя на хосте Bastion для перехода на внутренние серверы? Или мы можем просто использовать этот сервер для перехода на внутренние серверы?
решение1
Целью хоста-бастиона является, помимо прочего, предоставление доступа к вашим внутренним серверам только аутентифицированным пользователям.
Вы можете сами решить, как ваш бастион будет осуществлять аутентификацию.
Создание учетной записи пользователя для каждого пользователя, которому разрешен удаленный доступ по SSH, — простой способ настроить такую аутентификацию.
Это имеет несколько преимуществ (довольно надежный, простой для понимания и т. д.), но в зависимости от количества присоединяющихся и выходящих может быть трудоемким в обслуживании и масштабировании. И когда вы предоставляете только доступ по ssh, людям придется туннелировать другие протоколы (например, для управления вашими базами данных).
Запуск VPN-сервера на хосте bastion обеспечивает большую гибкость. VPN также имеет то преимущество, что пользователи VPN не смогут получить доступ к самому серверу bastion, он обеспечивает доступ только к внутренним серверам.