飞网SSH
1 关于gmzta ssh连接
常见的SSH认证方式为密码认证和密钥认证,密码认证方式比较简单,且每次登录都需要输入用户名和密码,密钥认证可以实现安全性更高的免密登录。在飞网中,使用SSH连接将是一种全新的体验。飞网将密钥认证和身份认证进行统一,并且可以通过访问控制策略进一步限定SSH的访问,具体包括:
- 可以连接和使用SSH功能的用户或设备;
- SSH时是否需要额外的一次身份认证;
- SSH时额外身份认证的时间间隔;
- SSH时是否可以Root身份登录;
- SSH时可以使用的用户名;
- 是否开启SSH录屏功能并可以自定义录屏设备;
另外,使用飞网SSH时,无需安装SSH服务端,无需开启22端口。使用录屏功能时,需要单独部署录屏服务端。
2 配置gmzta ssh
2.1 先决条件
飞网SSH的服务仅在Linux操作系统上可用,您可以从网络内的其他设备进行连接。
2.2 在被连接的设备上运行飞网内置的SSH服务
sudo gmzta on --ssh
2.3 确保存在源地址可以连接到目的地址端口为22的NACP
如果您尚未修改过控制面板中的网络访问控制策略,如下策略所示,默认为允许所有设备之间的访问,则不需要执行此步骤。
"Acls": [
{
"Action": "accept",
"Src": [
"*"
],
"Dst": [
"*:*"
]
}
],
2.4 确保NACP中允许使用飞网SSH
在使用飞网 SSH 之前,您必须配置飞网的网络访问控制策略确定哪些用户可以通过 SSH 连接到哪些设备。
每个 SSH 访问规则如下所示:
"Ssh": [
{
"Action": "check",
"Src": [
"autogroup:members"
],
"Dst": [
"autogroup:self"
],
"Users": [
"autogroup:nonroot"
],
"checkPeriod": "20h"
}
],
规则介绍说明可参考SSH的访问控制规则
允许所有用户(以 root 或非 root 身份)通过飞网SSH连接自己设备的示例:
"Acls": [
{
"Action": "accept",
"Src": [
"*"
],
"Dst": [
"*:*"
]
}
],
"Ssh": [
{
"Action": "accept",
"Src": [
"autogroup:members"
],
"Dst": [
"autogroup:self"
],
"Users": [
"autogroup:nonroot","root"
],
}
],
2.5 在另一台设备上,您需要使用以下命令进行连接
gmzta ssh 用户名@<被连接设备的飞网IP|域名>
(使用域名需开启统一域名解析的功能)连接到指定设备的指定用户。
2.6 禁用飞网SSH
在被连接的设备上使用以下命令禁用飞网SSH
gmzta on --ssh=false
您也可以通过在NACP中删除相关的SSH规则来实现禁用飞网SSH。