飞网SSH

1 飞网SSH简介

    飞网零信任安全运维系统（FW-SSH），用于飞网节点间安全的远程命令执行。飞网客户端程序中集成了SSH协议，您无需安装SSH服务端，无需开放SSH端口，使用密钥协商进行加密通信，无需担心密码泄露；命令执行前自动触发身份认证与设备认证，使用授权的操作系统账户进行登录，支持会话录屏与流量审计功能。

2 配置gmzta ssh

2.1 先决条件

    飞网SSH的服务仅在Linux操作系统上可用，您可以从网络内的其他设备进行连接。

2.2 在被连接的设备上运行飞网内置的SSH服务

sudo gmzta on --ssh

2.3 确保存在源地址可以连接到目的地址端口为22的NACP

    如果您尚未修改过控制面板中的网络访问控制策略，如下策略所示，默认为允许所有设备之间的访问，则不需要执行此步骤。

"Acls": [
    {
      "Action": "accept",
      "Src": [
        "*"
      ],
      "Dst": [
        "*:*"
      ]
    }
  ],

2.4 确保NACP中允许使用飞网SSH

    在使用飞网 SSH 之前，您必须配置飞网的网络访问控制策略确定哪些用户可以通过 SSH 连接到哪些设备。

每个 SSH 访问规则如下所示：

  "Ssh": [
    {
      "Action": "check", 
      "Src": [
        "autogroup:members"
      ],
      "Dst": [
        "autogroup:self"
      ],
      "Users": [
        "autogroup:nonroot"
      ],
        "checkPeriod": "20h"
    }
  ],

规则介绍说明可参考SSH的访问控制规则

允许所有用户（以 root 或非 root 身份）通过飞网SSH连接自己设备的示例：

"Acls": [
    {
      "Action": "accept",
      "Src": [
        "*"
      ],
      "Dst": [
        "*:*"
      ]
    }
  ],
  "Ssh": [
    {
      "Action": "accept", 
      "Src": [
        "autogroup:members"
      ],
      "Dst": [
        "autogroup:self"
      ],
      "Users": [
        "autogroup:nonroot"，"root"
      ],
    }
  ],

2.5 在另一台设备上，您需要使用以下命令进行连接

gmzta ssh 用户名@<被连接设备的飞网IP|域名>（使用域名需开启统一域名解析的功能）连接到指定设备的指定用户。

2.6 禁用飞网SSH

在被连接的设备上使用以下命令禁用飞网SSH

gmzta on --ssh=false

您也可以通过在NACP中删除相关的SSH规则来实现禁用飞网SSH。