飞网SSH

1 关于gmzta ssh连接

    常见的SSH认证方式为密码认证和密钥认证，密码认证方式比较简单，且每次登录都需要输入用户名和密码，密钥认证可以实现安全性更高的免密登录。在飞网中，使用SSH连接将是一种全新的体验。飞网将密钥认证和身份认证进行统一，并且可以通过访问控制策略进一步限定SSH的访问，具体包括：

• 可以连接和使用SSH功能的用户或设备；
• SSH时是否需要额外的一次身份认证；
• SSH时额外身份认证的时间间隔；
• SSH时是否可以Root身份登录；
• SSH时可以使用的用户名；
• 是否开启SSH录屏功能并可以自定义录屏设备；

    另外，使用飞网SSH时，无需安装SSH服务端，无需开启22端口。使用录屏功能时，需要单独部署录屏服务端。

2 配置gmzta ssh

2.1 先决条件

    飞网SSH的服务仅在Linux操作系统上可用，您可以从网络内的其他设备进行连接。

2.2 在被连接的设备上运行飞网内置的SSH服务

sudo gmzta on --ssh

2.3 确保存在源地址可以连接到目的地址端口为22的NACP

    如果您尚未修改过控制面板中的网络访问控制策略，如下策略所示，默认为允许所有设备之间的访问，则不需要执行此步骤。

"Acls": [
    {
      "Action": "accept",
      "Src": [
        "*"
      ],
      "Dst": [
        "*:*"
      ]
    }
  ],

2.4 确保NACP中允许使用飞网SSH

    在使用飞网 SSH 之前，您必须配置飞网的网络访问控制策略确定哪些用户可以通过 SSH 连接到哪些设备。

每个 SSH 访问规则如下所示：

  "Ssh": [
    {
      "Action": "check", 
      "Src": [
        "autogroup:members"
      ],
      "Dst": [
        "autogroup:self"
      ],
      "Users": [
        "autogroup:nonroot"
      ],
        "checkPeriod": "20h"
    }
  ],

规则介绍说明可参考SSH的访问控制规则

允许所有用户（以 root 或非 root 身份）通过飞网SSH连接自己设备的示例：

"Acls": [
    {
      "Action": "accept",
      "Src": [
        "*"
      ],
      "Dst": [
        "*:*"
      ]
    }
  ],
  "Ssh": [
    {
      "Action": "accept", 
      "Src": [
        "autogroup:members"
      ],
      "Dst": [
        "autogroup:self"
      ],
      "Users": [
        "autogroup:nonroot"，"root"
      ],
    }
  ],

2.5 在另一台设备上，您需要使用以下命令进行连接

gmzta ssh 用户名@<被连接设备的飞网IP|域名>（使用域名需开启统一域名解析的功能）连接到指定设备的指定用户。

2.6 禁用飞网SSH

在被连接的设备上使用以下命令禁用飞网SSH

gmzta on --ssh=false

您也可以通过在NACP中删除相关的SSH规则来实现禁用飞网SSH。