DevOps知识中心
DevOps知识中心

精通 SSH 代理和代理转发,实现无缝身份验证

通过掌握 SSH 密钥管理,提升远程工作流的效率。本指南详细介绍了如何使用 `ssh-agent` 安全地将带有密码的密钥存储在内存中,从而消除重复的身份验证提示。了解启用 SSH 代理转发(`-A`)的实用步骤,以实现跨服务器的安全、无密码、多跳身份验证,同时确保您的私钥材料绝不会暴露在本地计算机之外。

41 浏览量

掌握 SSH Agent 和 Agent 转发,实现无缝身份验证

安全外壳(SSH)是安全远程管理的核心,它高度依赖基于密钥的身份验证来确保强大的安全性。然而,管理多个受密码保护的 SSH 密钥可能会变得繁琐,需要重复输入密钥密码。本文将作为您的综合指南,通过掌握 ssh-agent 工具及其强大的对应功能 SSH Agent 转发,来优化这一工作流程。通过利用这些工具,您可以在复杂的、多跳的远程环境中实现真正无缝的、无密码的身份验证,同时保持高安全标准。

了解 SSH Agent:密钥保管员

ssh-agent 是一个后台程序,它将您的私有 SSH 密钥解密并安全地保存在内存中,随时可用。您无需每次连接到远程服务器时都输入密码,只需在将密钥添加到 Agent 时输入一次。这显著提高了工作流程效率,而不会牺牲密码保护提供的安全性。

启动和管理 SSH Agent

启动 Agent 并使其套接字可供您的 Shell 会话使用至关重要。在大多数现代 Linux 和 macOS 系统上,Agent 通常由系统的初始化脚本或您的桌面环境自动启动。

如果您需要手动启动它,请使用以下命令序列。这确保了必要的环境变量(SSH_AUTH_SOCKSSH_AGENT_PID)为当前的 Shell 会话正确设置:

# 启动 Agent 并输出必要的环境变量
eval "$(ssh-agent -s)"

将密钥添加到 Agent

Agent 运行后,您可以使用 ssh-add 命令将私钥加载到其内存中。如果您的密钥受密码保护,系统会提示您现在输入密码。

示例:添加默认密钥(例如 ~/.ssh/id_rsa

ssh-add
# 输入 /home/user/.ssh/id_rsa 的密码:[在此处输入密码]
Identity added: /home/user/.ssh/id_rsa (/home/user/.ssh/id_rsa)

示例:添加特定密钥文件

ssh-add ~/.ssh/my_project_key

验证已加载的密钥

您可以使用 -l 标志检查 Agent 当前正在管理哪些密钥:

ssh-add -l
# 输出示例:
2048 SHA256:abcdef1234567890... user@localbox (RSA)

最佳实践: 始终使用强密码保护您的私钥。Agent 仅在每个会话中要求密码 一次;它不会移除密钥文件本身的底层安全保护。

揭秘 SSH Agent 转发

Agent 转发是一个强大的功能,它允许您使用加载到本地 ssh-agent 中的密钥,从第一个远程主机连接到 第二个 远程主机时进行身份验证。

这对于多跳工作流程至关重要,例如从您的本地机器连接到堡垒机(或跳板机),然后从该堡垒机连接到内部受保护的服务器(目标主机)。

Agent 转发的工作原理

当您启用 Agent 转发连接到主机 A 时,SSH 会在主机 A 上创建一个特殊的 UNIX 域套接字。这个套接字充当代理。当您尝试从主机 A SSH 到目标主机 B 时,主机 A 的 SSH 客户端通过这个代理套接字将身份验证请求转发回您的 本地机器上 运行的 ssh-agent。Agent 使用您存储的私钥处理加密挑战,并将成功信号发回,从而完成对主机 B 的身份验证。

至关重要的是,您的私钥永远不会离开您的本地机器,从而确保密钥在您的工作站上保持安全。

启用 Agent 转发

要在连接到远程主机时启用 Agent 转发,请使用 ssh 命令的 -A 标志:

ssh -A user@bastion-host

或者,您可以在 SSH 配置文件(~/.ssh/config)中永久配置它:

Host bastion-host
    Hostname 192.168.1.100
    User myuser
    ForwardAgent yes

测试 Agent 转发

成功连接到启用转发的堡垒机后,测试 Agent 套接字在远程机器上是否可用。您可以检查 SSH_AUTH_SOCK 环境变量是否存在,或在远程机器上使用 ssh-add -l

在堡垒机上:

# 检查密钥是否已转发(本地运行的 Agent 应该响应)
ssh-add -l
# 如果成功,您将看到由您的本地 Agent 管理的密钥。

现在,您可以从堡垒机 SSH 到内部目标主机,使用密钥身份验证,而无需在堡垒机上存在私钥文件:

在堡垒机上:

ssh user@target-host
# 身份验证通过转发的 Agent 套接字,使用您的本地密钥无缝完成。

Agent 转发的安全考量

尽管 Agent 转发极其方便,但它引入了一个需要用户注意的安全考量。

安全警告: 当远程主机(主机 A)上 Agent 转发处于活动状态时,任何拥有主机 A 的 root 访问权限 或能够以 root 身份执行命令的用户,都可能使用您的转发 Agent 套接字,以您的身份对主机 A 可以访问的 其他 服务器进行身份验证。只要您在主机 A 上的 SSH 会话处于活动状态,您的密钥就可用。

缓解策略

  1. 默认使用 ForwardAgent no 仅在您明确需要多跳场景时才启用转发(-A)。
  2. 限制 ~/.ssh/config 中的转发: 仅对受信任的跳板机启用转发。
    ssh-config Host trusted-jump ForwardAgent yes Host untrusted-server ForwardAgent no
  3. 使用受限 Agent(可选): 对于极高安全需求,您可以使用 ssh-add -c,它会在 Agent 释放密钥材料进行身份验证尝试 之前 提示您。这提供了一个二次确认步骤,即使在转发活动时也是如此。

管理 Agent 生命周期

管理 Agent 的生命周期是一个好习惯,尤其是在手动操作时。当您关闭终端会话时,Agent 可能会继续在后台运行,消耗资源并可能使套接字保持活动状态。

移除密钥

要从 Agent 内存中移除特定密钥:

ssh-add -d ~/.ssh/my_project_key

要从 Agent 中移除 所有 密钥:

ssh-add -D

停止 Agent

要终止 Agent 进程并清除内存中所有已加载的密钥:

ssh-agent -k

此命令会终止 Agent 进程,通常还会清理相关的环境变量,从而结束持有密钥的会话。

结论

ssh-agent 和 Agent 转发(-A)的结合将 SSH 密钥管理从重复的苦差事转变为流畅、安全的工作流程的一部分。通过一次将带有密码的密钥加载到 Agent 中,您可以在整个基础设施中实现无缝、安全的身份验证,包括复杂的跳板机设置。请记住,在启用 Agent 转发时务必谨慎,确保您信任转发套接字所在的远程主机,以维护您凭据的最高安全级别。