Как я могу преобразовать существующее подключение в туннель?

Содержание

Вопрос или проблема
Ответ или решение
Теория
Пример
Применение

Вопрос или проблема

Обычно я подключаюсь к ssh, используя:

ssh username@host

Затем меня запрашивают сначала пароль, а потом сервис OTP после успешного ввода пароля.

Поскольку требуется также одноразовый пароль, мне нужно связаться с коллегой (У моего коллеги нет времени настроить для меня одноразовый пароль). Мне также может понадобиться настроить туннель ssh.

Существует ли способ преобразовать мое существующее соединение SSH в туннель или мне нужно открыть вторичное соединение?

На странице man для ssh есть раздел под названием ESCAPE CHARACTERS, который, как мне кажется, описывает функциональность, которую вы ищете. Вот несколько отрывков, которые кажутся релевантными:

ESCAPE CHARACTERS
  Когда запрашивается псевдо-терминал, ssh поддерживает ряд
  функций через использование символа выхода.

(пропускаем описание, что такое символ выхода и как программа ssh его обнаруживает)

  Поддерживаемые символы выхода (предполагая, что используется ‘~’):

  ~C  Открыть командную строку. В настоящее время это позволяет
      добавить перенаправление портов с использованием опций -L, -R и -D (см. выше).

Я опустил несколько опций между строкой с заголовком и командой ~C, а также другие функции, доступные через команду ~C.

Таким образом, похоже, что после установления соединения ssh с хостом вы можете добавить те же виды перенаправлений портов, которые вы получаете, вызывая ssh с опциями командной строки -L, -R и -D. Это кажется тем типом настройки соединения, который вы ищете.

Обязательно прочтите абзац в начале раздела ESCAPE CHARACTERS о том, как символ выхода должен следовать за новой строкой (т.е. нажмите клавишу Return перед нажатием клавиши ~). Это тонкость, которая расстраивает многих людей.

Ответ или решение

Для опытного специалиста в области ИТ вопрос об организации SSH-туннелирования является достаточно распространенным, особенно в случаях, когда доступ к удаленным ресурсам требует дополнительных шагов, таких как двуфакторная аутентификация (в данном случае — OTP). В описанном вами сценарии можно использовать встроенные возможности SSH для создания туннеля, не разрывая существующее соединение.

Теория

SSH (Secure Shell) — это протокол сетевого взаимодействия, который обеспечивает безопасность при передаче данных. Он использует шифрование для защиты данных и поддерживает множество функций, в том числе туннелирование, которое позволяет безопасно пересылать данные между клиентом и сервером через зашифрованный канал.

Туннелирование осуществляется с помощью перенаправления портов, что позволяет создавать так называемый "туннель" для передачи данных. Это достигается с использованием опций -L, -R и -D командной строки SSH:

-L [локальный_порт:удаленная_машина:удаленный_порт] позволяет открывать порт на локальной машине и передавать данные с него на указанный порт удаленной машины.
-R [удаленный_порт:локальная_машина:локальный_порт] делает то же самое в обратном направлении, открывая порт на удаленной машине.
-D [локальный_порт] создает динамическое перенаправление портов, что позволяет использовать SSH-туннель как SOCKS-прокси-сервер.

Пример

В случае, когда вы уже подключены к удаленной машине через SSH с помощью команды ssh username@host, вы можете воспользоваться функциональностью "Escape Characters" ("Экранированные символы") для создания дополнительных порт-форвардов прямо в рамках текущего соединения. Для этого:

Убедитесь, что вы используете командный интерфейс и активировали псевдо-терминал (-t или -tt, если нужно принудительно).
Введите символ ~ сразу после новой строки, чтобы активировать режим "Escape Characters". Нажмите Enter перед ~, чтобы избежать проблем с восприятием этого символа.
После ~ введите C, чтобы открыть командную строку управления SSH.
Используя командную строку управления SSH, укажите необходимые параметры для создания туннеля. Например, для создания локального перенаправления порта, введите:
```
-L 1234:remote.machine:5678
```
Это будет означать, что локальный порт 1234 будет направляться на порт 5678 машины remote.machine.
После ввода команды нажмите Enter, чтобы активировать перенаправление.

Применение

Ваша задача сводится к минимизации количества открытых SSH-сессий и удобству работы в условиях частой необходимости взаимодействия с ресурсами через зашифрованные туннели. Использование экранированных символов позволяет гибко изменять параметры SSH-сессии в режиме реального времени, что пригодится в условиях многозадачности и необходимости минимизировать время на установку дополнительных соединений.

Допустим, вам нужно работать с базой данных, расположенной на удаленном сервере, или же разрабатывать и тестировать веб-приложение, доступ к которому возможен только через корпоративный фаервол. Создание туннеля через существующее SSH-соединение позволяет надежно и быстро настроить маршрут для вашей работы, не прибегая к дополнительным подключениям.

Эта возможность особенно полезна для работы в командах, где не всегда есть время для ожидания помощи от отдела поддержки или коллег. Это дает вам возможность автономно настраивать необходимые каналы связи и сохранять высокий уровень продуктивности. к тому же, это снижает потенциальные риски, связанные с использованием несогласованных или небезопасных методов доступа к критично важным данным или системам.

Кроме того, понимание и использование этой функции может быть значительным преимуществом при выполнении задач по настройке серверов или инфраструктуры: она позволяет не только экономить время, но и закладывает хороший фундамент для управления безопасностью и удобством доступа.

В целом, знание изящных функциональностей SSH, таких как управление туннелированием через экранированные символы, дает вам необходимую гибкость и контроль, что является одним из ключевых аспектов безопасности и эффективности работы в современном ИТ-ландшафте.