ssh

https://medium.com/@paulskarseth/ansible-bastion-host-proxycommand-e6946c945d30#.rauzlfv0z

http://blog.scottlowe.org/2015/12/24/running-ansible-through-ssh-bastion-host

https://10mi2.wordpress.com/2015/01/14/using-ssh-through-a-bastion-host-transparently/

https://gagor.pl/2016/04/use-bastion-host-with-ansible

http://www.cweye.net/2015/07/17/ansible-jumper.html

http://my.oschina.net/foreverich/blog/657075

sudo

http://tech-sketch.jp/2016/06/ssh_sudo_su.html

案例

有A B两个数据中心,每个数据中心仅1台服务器(jumphost)有公网ip,其他服务器均为内网地址。

控制机

1 conctrol 生成带password的key

ssh-keygen -f a.pem -N '@ansible'

ssh-keygen -f b.pem -N '@ansible'

2 A jumphost & targethost

useradd ansible

su - ansible -c 'mkdir .ssh'

su - ansible -c 'curl http://install.local/a.pem.pub -O .ssh/authorized_keys'

su - ansible -c 'chmod 600 .ssh/authorized_keys'

su - ansible -c 'chmod 700 .ssh'

3 B jumphost & targethost

useradd ansible

su - ansible -c 'mkdir .ssh'

su - ansible -c 'curl http://install.local/b.pem.pub -O .ssh/authorized_keys'

su - ansible -c 'chmod 600 .ssh/authorized_keys'

su - ansible -c 'chmod 700 .ssh'

4 control ssh_config

# A

Host 69.xx.xx.xx

    User ansible

    Port 29922

    #IdentityFile keys/dc.pem

    ControlMaster auto

    ControlPath keys/ansible-%r@%h:%p

    ControlPersist 15m

    ForwardAgent yes

    StrictHostKeyChecking no

Host 10.150.1.*

    User ansible

    Port 29922

    #IdentityFile keys/dc.pem

    ProxyCommand ssh -p 29922 %r@69.xx.xx.xx -W %h:%p

    ForwardAgent yes

    StrictHostKeyChecking no

# B

Host 173.xx.xx.xx

    User ansible

    Port 29922

    #IdentityFile keys/dc.pem

    ControlMaster auto

    ControlPath keys/ansible-%r@%h:%p

    ControlPersist 15m

    ForwardAgent yes

    StrictHostKeyChecking no

Host 10.160.1.*

    User ansible

    Port 29922

    #IdentityFile keys/la.pem

    ProxyCommand ssh -p 29922 %r@173.xx.xx.xx -W %h:%p

    ForwardAgent yes

    StrictHostKeyChecking no

5 control login

# 私钥加入内存,用于ssh agent forward

#ssh-agent bash

ssh-add keys/a.pem

Enter passphrase for keys/a.pem:

ssh-add keys/b.pem

Enter passphrase for keys/b.pem:

# 分别登录A B跳板机和内网主机

ssh -F ssh_config 69.xx.xx.xx

ssh -F ssh_config 10.150.1.35

ssh -F ssh_config 173.xx.xx.xx

ssh -F ssh_config 10.160.1.35

# 删除内存私匙

ssh-add -D

6 jumphost & targethost sudo

cat > /etc/sudoers.d/ansible << _EOF_

Defaults:ansible,%operator    !requiretty

Cmnd_Alias SU = /bin/su*

Cmnd_Alias SUDO = /usr/bin/vim /etc/sudoers*, /bin/vi /etc/sudoers*, /bin/su*, /usr/sbin/visudo

Cmnd_Alias ACCOUNT = /usr/sbin/adduser*, /usr/sbin/useradd*, /usr/sbin/groupadd*, /usr/sbin/userdel*

Cmnd_Alias SHELLS = /bin/sh, /bin/ksh, /bin/bash, /bin/zsh, /bin/csh, /bin/tcsh, /usr/bin/login

ansible ALL = (ALL) NOPASSWD: ALL, !SU

%operator ALL = (ALL) NOPASSWD: ALL, !SHELLS, !SU, !SUDO, !ACCOUNT

_EOF_

chmod 440 /etc/sudoers.d/ansible

groupadd operator


/etc/pam.d/su

#auth           required        pam_wheel.so use_uid

->

auth           required        pam_wheel.so use_uid


/etc/ssh/sshd_config

PermitRootLogin no

RSAAuthentication yes

PubkeyAuthentication yes

PasswordAuthentication yes

7 jumphost & targethost user (ansible控制)

1 建立用户

useradd ken

加入operator组

usermod -G operator ken

用户.ssh/authorized_keys写入用户公匙

ken.gem -> .ssh/authorized_keys

2 用户使用私匙登录

local> ssh-add ken.gem

local> ssh -p 29922 -A ken@69.xx.xx.xx

69> ssh -p 29922 -A ken@10.150.1.xx

3 删除用户

登录自动启动ssh-agent

cat > /etc/profile.d/ssh-agent.sh << EOF

#!/bin/bash

if [ ! -S ~/.ssh/ssh_auth_sock ]; then

  eval \`ssh-agent\`

  ln -sf "\$SSH_AUTH_SOCK" ~/.ssh/ssh_auth_sock

fi

export SSH_AUTH_SOCK=~/.ssh/ssh_auth_sock

EOF

手动执行ssh-add加入sshkey,只要不重启sshkey一直存在内存中

登录自动加载带密码的sshkey 密码输入没有解决

echo "echo '@ansible'" > /opt/ansible/keys/.passphrase && chmod 700 /opt/ansible/keys/.passphrase

ssh-add -l | grep 'The agent has no identities' && cat /opt/ansible/keys/{dc.pem,la.pem} | SSH_ASKPASS=/opt/ansible/keys/.passphrase ssh-add -


ssh-add 将私匙加入内存,公匙分别加入堡垒机及内网机,加入代理转发,可以登录任意服务器

ssh -p 29922 ansible@192.168.1.22 -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no \

-o ControlMaster=auto -o ControlPersist=5m -o ControlPath=/tmp/ansible-%r@%h:%p -o ForwardAgent=yes

ssh -p 29922 ansible@192.168.1.23 -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no \

-o ControlMaster=auto -o ControlPersist=5m -o ControlPath=/tmp/ansible-%r@%h:%p -o ForwardAgent=yes \

-o ProxyCommand='ssh -p 29922 %r@192.168.1.22 -W %h:%p'

ssh -p 22 ansible@192.168.1.24 -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no \

-o ControlMaster=auto -o ControlPersist=5m -o ControlPath=/tmp/ansible-%r@%h:%p -o ForwardAgent=yes \

-o ProxyCommand='ssh -p 29922 %r@192.168.1.22 -W %h:%p'

ansible 访问内网服务器的更多相关文章

  1. centos7下安装openvpn,访问内网服务器 (二) windows访问

    一.简介 在上一章中已经安装好了openvpn,并且已经启动成功,现在就可以通过openvpn的客户端进行连接访问内网服务器了. 二.安装openvpn客户端 下载地址: https://www.te ...

  2. H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器

    H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器 ------------------------------------------------------------ ...

  3. Nginx反向代理访问内网服务器

    Nginx反向代理访问内网服务器 问题描述 ​ 公司给配的台式机太垃圾了,不能访问外部网络就算了,还没有maven私服.近期项目不光得使用maven还得使用内网中的数据库之类,台式机太卡只能用自己的笔 ...

  4. 浏览器 Proxy SwitchyOmega 插件设置代理访问内网服务器

    使用Proxy SwitchyOmega 插件通过代理 直接访问到内网网站 一.使用场景 如下图所示,如果在电脑的网络设置中开启代理,每次更换代理就需要进入这里设置改变代理.且我们可能回需求到两个网页 ...

  5. (四)ansible 通过堡垒机访问内网服务器

    场景:     在ansible的使用过程中,存在这样的场景,ansible所在的管理节点与被管理的机器需要 通过一个跳板机才能连接,无法直接连接.要解决这个问题,并不需要在 ansible里做什么处 ...

  6. centos7下配置iptables实现外网访问内网服务器

    说明:Centos 7 默认的防火墙是 firewall,安装iptables之前需关闭Firewall 外网机器:外网ip:120.25.71.183内网ip:10.1.1.23 内网机器:内网ip ...

  7. 建立SSH隧道从外网访问内网服务器

    http://blog.trackets.com/2014/05/17/ssh-tunnel-local-and-remote-port-forwarding-explained-with-examp ...

  8. centos7下安装openvpn,访问内网服务器 (三)证书取消授权

    1.创建临时证书 使用easy-rsa创建额外的证书: [root@origalom openvpn]# cd /usr/share/easy-rsa/2.0/ [root@origalom 2.0] ...

  9. 简单物联网:外网访问内网路由器下树莓派Flask服务器

    最近做一个小东西,大概过程就是想在教室,宿舍控制实验室的一些设备. 已经在树莓上搭了一个轻量的flask服务器,在实验室的路由器下,任何设备都是可以访问的:但是有一些限制条件,比如我想在宿舍控制我种花 ...

随机推荐

  1. codeforces 439 E. Devu and Birthday Celebration 组合数学 容斥定理

    题意: q个询问,每一个询问给出2个数sum,n 1 <= q <= 10^5, 1 <= n <= sum <= 10^5 对于每一个询问,求满足下列条件的数组的方案数 ...

  2. NeHe OpenGL教程 第三十五课:播放AVI

    转自[翻译]NeHe OpenGL 教程 前言 声明,此 NeHe OpenGL教程系列文章由51博客yarin翻译(2010-08-19),本博客为转载并稍加整理与修改.对NeHe的OpenGL管线 ...

  3. Android 区别普通Touch方法和Scroll

    今天想实现这个功能,但只是利用现有的onTouchEvent和GestureDetector感觉做起来有些纠结,原来好像也尝试过,最后搞的程序有点乱,不好维护,那么就利用一下Android程序员最大的 ...

  4. Guava 10-散列

    概述 Java内建的散列码[hash code]概念被限制为32位,并且没有分离散列算法和它们所作用的数据,因此很难用备选算法进行替换.此外,使用Java内建方法实现的散列码通常是劣质的,部分是因为它 ...

  5. Python语言快速入门

    Python的主提示符(>>>):是解释器告诉你它正在等待你输入的下一个语句 Python的次提示符(...):告诉你解释器正在等待你输入当前语句的其他部分 [简介] Python( ...

  6. PyDev-Python的Eclipse插件安装

    PyDev官网:http://marketplace.eclipse.org/node/114 安装方法: 1,打开Eclipse,如果是初次使用,关闭欢迎页面,否则无法按照我说的方法安装. 2,打开 ...

  7. Android 开发中常用 ADB 命令总结

    adb 的全称为 Android Debug Bridge,就是起到调试桥的作用.通过 adb 我们可以在 Eclipse 中方便通过 DDMS 来调试 Android 程序,说白了就是 debug ...

  8. Spring中PropertyPlaceholderConfigurer的使用

    Spring中PropertyPlaceholderConfigurer的使用     在使用Spring配置获取properties文件时,在网上查到相关的资料,分享哈!! (1)获取一个配置文件 ...

  9. c#内置颜色大全

  10. relative和absolute的效果

    我对这样几个效果不是特别理解: 1.float的效果: 就是搞不清楚我想要什么效果的时候可以将某个标签设置为float,一直没总结出什么规律. 2.relative和absolute的效果: 也是不清 ...