ドッカーコンテナへの透過的なssh接続転送

Question

クライアントからドッカーコンテナへの着信ssh接続を透過的に転送するサーバを用意したいとします。これには、scp、gitトランスポートなどが含まれている必要があります。これはキーで動作する必要があります。パスワードは無効です。ユーザーはサーバーを見てはいけません。 更新：はい、これは実際には、ユーザーがサーバーがあることに気付かないことを意味します。設定はサーバ上で完全に行わなければなりません！だから、

client -----> server -----> container (actual connection) 
client -------------------> container (what the user should see) 

、どのような与えられたことはこれです：

user@client$ ssh user@server 
user@server$ ssh -p 42 user@localhost 
user@container$ 

しかし、私が欲しいのはこれです：

user@client$ ssh user@server 
user@container$ 

私はauthorized_keysファイルにcommand="ssh -p 42 user@localhost"構文を使用してみました、これはちょっと2番目のssh接続でのみ、認証が成功しなかったときにユーザーがパスワードを入力する必要があります（serverはha秘密鍵はuserです）。 パスワードを入力しても、この方法はscpでは機能しません。

私もtunnel=コマンドについて聞いたが、私はそれを設定する方法がわからない（とmanページが参考未満です）。

私はArchでOpenSSH 7.5p1を使用しています。あなたの~/.ssh/configファイルでこれを入れて

Answer 1

：

Host server-container 
    ProxyCommand ssh server -W localhost:42 

はその後、単に実行します。

ssh server-container 

---

限り、あなたのユーザ名が一致しているよう。ない場合は、このようにそれらを指定することができます。

Host server-container 
    ProxyCommand ssh server-user@server -W localhost:42 

を次に単に実行します。

ssh container-user@server-container 

---

ちょうどボーナスとして、あなたは docker execを使用した容器の中に入るようにsshを使用することを避けることができます。このように：

ssh -t server docker exec -it <container-id> bash 

Answer 2

これは私が今思い描いた解決策です。それは公共の一部は、他のすべてのものが動作するように見える非常にわずかに透明性を破るcontainer年代~/.ssh/authorized_keysに見えるが、それ以外になりますように私は、2番目のキーを持つビット不幸です。

user@server$ cat .ssh/authorized_keys 
command="ssh -q -p 42 user@localhost -- \"$SSH_ORIGINAL_COMMAND\"",no-X11-forwarding ssh-rsa <KEYSTRING_1> 
user@server$ cat .ssh/id_rsa.pub 
<KEYSTRING_2> 
user@container$ cat .ssh/authorized_keys 
ssh-rsa <KEYSTRING_2> 

clientは自分の秘密鍵でserverに対して許可します。その後、サーバーは、その特定の認証のためにのみ存在し、専用キーでcontainerにジャンプします。私はあなたには、いくつかのコマンドを注入することによって、command=から抜け出すことを少し心配だけど、今のところ、私は脱出することができます何の順列を発見しました。
により$SSH_ORIGINAL_COMMANDを渡すことに、あなたも、等々scpとssh-copy-idとを行うことができます。

注：その他の理由でssh-copy-idを許可しないようにするには、コンテナ内のuserに対してauthorized_keysを書き込み不可能にするだけです。