Gere dinamicamente entradas de host SSH em ~ / .ssh / config

Eu tenho que administrar uma pilha inteira de hosts sobre ssh. No entanto, só posso acessá-los através de um determinado servidor ssh de gateway.

Eu tenho o seguinte no meu ~/.ssh/config:

Host mygateway-www
Hostname www
IdentityFile ~/.ssh/id_rsa
ProxyCommand ssh mygateway nc %h 22

No entanto, tenho que me conectar a muitas dessas máquinas. Em vez de colocar dezenas de entradas no meu ~/.ssh/config, existe mesmo assim eu posso ter algo como isto:

Host mygateway-*
Hostname ???WHAT GOES HERE????
IdentityFile ~/.ssh/id_rsa
ProxyCommand ssh mygateway nc %h 22

Eu sei que você pode usar %hno Hostnameargumento, mas esse seria o nome do host. O que eu realmente preciso é de algum tipo de substituição de string, como o do bash ${VAR%thingie}. Isso é possível?

Isso pode ser feito com o seguinte arquivo de configuração SSH:

Host *
  ServerAliveInterval 120

Host gateway.somewhere.com
  User jdoe

Host gateway+*
  User jdoe
  ProxyCommand ssh -T -a $(echo %h |cut -d+ -f1).somewhere.com nc $(echo %h |cut -d+ -f2) %p 2>/dev/null
  ControlMaster auto
  ControlPath ~/.ssh/ssh-control_%r@%h:%p

Você acessa seus hosts internos da seguinte maneira:

ssh gateway+internalhost01.somewhere.com
ssh gateway+internalhost02.somewhere.com

O nome escolhido para a metade direita deve ser resolvido pelo host do salto.

O parâmetro User é especificado caso você precise mapear manualmente para diferentes usuários nas diferentes classes de hosts. ControlMaster e ControlPath são especificados para permitir a reutilização da conexão SSH.

Você não precisa especificar manualmente o HostName, pois ele virá da linha de comando.

Simplesmente tente:

Host *.domain  
  IdentityFile ~/.ssh/id_rsa  
  ProxyCommand ssh mygateway /usr/bin/nc %h 22

Parece que não há como fazer isso.

Eu tive um problema semelhante e acabei escrevendo um script que gerou todo o padrão para mim. Não altero mais o ~ / ssh / config, altero o ~ / ssh / config.in e executo o meu script.

Ignore a especificação de substituir o nome do host diretamente por meio da Hostnamedeclaração e, em vez disso, determine-o em tempo de execução. Faça isso avaliando-o como parte do ProxyCommand, usando %hpara referenciá-lo no comando (também use em %pvez de codificar como 22)

Host mygateway-*
   #Hostname ???WHAT GOES HERE????
   IdentityFile ~/.ssh/id_rsa
   ProxyCommand ssh mygateway nc $(echo %h|sed 's/^mygateway-//') %p

Pode-se até ter uma estrofe mais genérica, na qual é possível especificar qualquer host sem -a apenas para ser tratado como está, ou conforme outra estrofe correspondente, mas ter uma -abordagem genérica para especificar qualquer <gateway>-<target>:

Host *-*
   # Assume LHS of "-" is GW and RHS of "-" is target host
   IdentityFile ~/.ssh/id_rsa
   ProxyCommand ssh $(echo %h|cut -d - -f1) nc $(echo %h|cut -d - -f2-) %p

Além disso, as versões mais recentes do cliente SSH oferecem suporte à [-W host:port]opção de executar diretamente a mesma função que nc(netcat). Como tal, podemos usar o modificado:

Host *-*
   # Assume LHS of "-" is GW and RHS of "-" is target host
   IdentityFile ~/.ssh/id_rsa
   ProxyCommand ssh -W $(echo %h|cut -d - -f2-):%p $(echo %h|cut -d - -f1)

Obviamente, se você tiver uma lista finita de hosts, sempre poderá:

Host host1 host2 host3 hostN
   IdentityFile ~/.ssh/id_rsa
   ProxyCommand ssh mygateway nc %h %p

Espero que isto ajude!

Eu tinha um cliente com a mesma configuração e usei o DSSH para resolver meu problema.
O DSSH, entre outras coisas, permite que você efetue login transparente em hosts remotos por meio de um host de gateway.

Casos de uso

• Colete parâmetros de configuração dos roteadores Cisco que exigem login "ena"
• Efetue login nos servidores que têm o PermitRootLogin desativado diretamente como raiz (digitando su - e a senha automaticamente), preservando o status de saída
• Adicione lógica personalizada, como log avançado
• túnel através de várias conexões para chegar ao servidor de destino