Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps

Освоение SSH Agent и переадресации агента для бесшовной аутентификации

Используйте ssh-agent и пересылку агента безопасно для ключей с парольной фразой, шлюзов и многошаговых SSH-рабочих процессов.

Освоение SSH-агента и пересылки агента для бесшовной аутентификации

Аутентификация по ключам Secure Shell (SSH) безопаснее, чем повторно используемые пароли, но парольные фразы могут замедлить работу при подключении к множеству хостов. ssh-agent решает эту проблему, сохраняя разблокированные ключи доступными для вашего текущего сеанса входа, а пересылка агента позволяет использовать эти локальные ключи через доверенный шлюз. При осторожном использовании это обеспечивает более плавный доступ по SSH без копирования закрытых ключей на серверы.

Понимание SSH-агента

ssh-agent — это фоновая программа, которая безопасно хранит ваши закрытые SSH-ключи в памяти, расшифрованные и готовые к использованию. Вместо того чтобы требовать ввода парольной фразы каждый раз при подключении к удаленному серверу, вы вводите ее только один раз при добавлении ключа в агент. Это значительно повышает эффективность рабочего процесса без ущерба для безопасности, обеспечиваемой защитой парольной фразой.

Запуск и управление SSH-агентом

Процесс запуска агента и предоставления его сокета вашей сессии оболочки имеет решающее значение. В большинстве современных систем Linux и macOS агент часто запускается автоматически сценариями инициализации системы или вашей средой рабочего стола.

Если вам нужно запустить его вручную, используйте следующую последовательность команд. Это гарантирует, что необходимые переменные среды (SSH_AUTH_SOCK и SSH_AGENT_PID) будут правильно установлены для вашей текущей сессии оболочки:

# Запуск агента и вывод необходимых переменных среды
eval "$(ssh-agent -s)"

Добавление ключей в агент

После запуска агента используйте команду ssh-add, чтобы загрузить ваши закрытые ключи в его память. Если ваш ключ защищен парольной фразой, вам будет предложено ввести ее сейчас.

Пример: добавление ключа по умолчанию

ssh-add
# Введите парольную фразу при запросе
# Identity added: /home/user/.ssh/id_ed25519 (user@localbox)

Пример: добавление конкретного файла ключа

ssh-add ~/.ssh/my_project_key

Проверка загруженных ключей

Вы можете проверить, какие ключи в данный момент управляются агентом, с помощью флага -l:

ssh-add -l
# Пример вывода:
2048 SHA256:abcdef1234567890... user@localbox (RSA)

Используйте парольные фразы для закрытых ключей. Агент избавляет вас от повторных запросов во время сеанса; он не делает незащищенный закрытый ключ безопаснее на диске.

Разъяснение пересылки SSH-агента

Пересылка агента — это мощная функция, которая позволяет использовать ключи, загруженные в ваш локальный ssh-agent, для аутентификации на втором удаленном хосте, к которому вы подключаетесь с первого удаленного хоста.

Это полезно для многошаговых рабочих процессов, например, подключения с ноутбука к бастион-хосту, а затем с этого бастион-хоста к внутреннему серверу.

Как работает пересылка агента

Когда вы подключаетесь к хосту A с включенной пересылкой агента, SSH создает специальный сокет домена UNIX на хосте A. Этот сокет действует как прокси. Когда вы пытаетесь выполнить SSH с хоста A на целевой хост B, SSH-клиент хоста A пересылает запрос аутентификации через этот прокси-сокет обратно на локальный запущенный ssh-agent. Агент обрабатывает криптографический вызов, используя ваш сохраненный закрытый ключ, и отправляет сигнал об успехе обратно, завершая аутентификацию на хосте B.

Ваш закрытый ключ не покидает вашу локальную машину. Удаленный хост получает доступ к временному сокету агента, а не к самому файлу ключа.

Включение пересылки агента

Чтобы включить пересылку агента при подключении к удаленному хосту, используйте флаг -A с командой ssh:

ssh -A user@bastion-host

Вы также можете настроить это для одного доверенного хоста в ~/.ssh/config:

Host bastion-host
    Hostname 192.168.1.100
    User myuser
    ForwardAgent yes

Тестирование пересылки агента

После успешного подключения к бастион-хосту с включенной пересылкой проверьте, доступен ли сокет агента на удаленной машине. Вы можете проверить наличие переменной среды SSH_AUTH_SOCK или использовать ssh-add -l на удаленной машине:

На бастион-хосте:

# Проверка, пересланы ли ключи (агент, запущенный локально, должен ответить)
ssh-add -l
# В случае успеха вы увидите ключи, управляемые ВАШИМ ЛОКАЛЬНЫМ агентом.

Теперь вы можете выполнить SSH с бастион-хоста на внутренний целевой хост, используя аутентификацию по ключу, без необходимости наличия файла закрытого ключа на бастион-хосте:

На бастион-хосте:

ssh user@target-host
# Аутентификация происходит бесшовно с использованием вашего локального ключа через пересланный сокет агента.

Соображения безопасности

Пересылка агента удобна, но она меняет ваш профиль риска.

Когда пересылка активна на удаленном хосте, пользователь с правами root на этом хосте обычно может получить доступ к вашему пересланному сокету агента, пока ваша SSH-сессия открыта. Он не может прочитать ваш закрытый ключ из агента, но может попросить агента подписать запросы аутентификации для других серверов, к которым у вас есть доступ.

Стратегии смягчения последствий

  1. Оставляйте пересылку выключенной по умолчанию: Используйте -A только тогда, когда она нужна для конкретной многошаговой задачи.
  2. Ограничьте пересылку в ~/.ssh/config: Включайте пересылку только для доверенных серверов-шлюзов.
    Host trusted-jump
    ForwardAgent yes
Host untrusted-server
    ForwardAgent no
  3. Требуйте подтверждения для чувствительных ключей: ssh-add -c ~/.ssh/keyname запрашивает подтверждение перед использованием ключа агентом. Это помогает, когда пересланный агент доступен на хосте, которым вы управляете, но не полностью доверяете.
  4. Предпочитайте ProxyJump, когда пересылка не нужна: Если ваша цель — только достичь частного хоста через бастион, ssh -J user@bastion user@target часто позволяет избежать пересылки агента на бастион вообще.

Управление жизненным циклом агента

Рекомендуется управлять жизненным циклом вашего агента, особенно при ручном управлении. Когда вы закрываете сессию терминала, агент может продолжать работать в фоновом режиме, потребляя ресурсы и потенциально оставляя сокет активным.

Удаление ключей

Чтобы удалить конкретный ключ из памяти агента:

ssh-add -d ~/.ssh/my_project_key

Чтобы удалить все ключи из агента:

ssh-add -D

Остановка агента

Чтобы завершить процесс агента и очистить все загруженные ключи из памяти:

ssh-agent -k

Эта команда выводит команды оболочки для сброса связанных переменных среды и завершения процесса агента. Если вы запустили агент с помощью eval "$(ssh-agent -s)", выполните eval "$(ssh-agent -k)", чтобы применить эту очистку к вашей текущей оболочке.

Ключевой вывод

Используйте ssh-agent для повседневной работы с ключами и оставляйте пересылку агента для доверенных шлюзов, где она действительно нужна. Для простого доступа через бастион сначала попробуйте ProxyJump; для пересланных агентов держите сессии короткими и удаляйте ключи, которые больше не нужны, с помощью ssh-add -d или ssh-add -D.