Bastionhost は、セキュアコピー( SCP )コマンドを監査できません。 Bastionhost を使用して SCP ベースの操作を監査するには、ファイルを転送するために SCP コマンドを実行する前に、コンピューターで ProxyJump を構成できます。
背景情報
ProxyJump は、OpenSSH 7.3 以降でサポートされています。 ProxyJump が構成されたコンピューター上の SSH クライアントからファイルをアップロードまたはダウンロードするために SCP コマンドを実行すると、SSH クライアントは最初に bastion ホストへのセキュアな接続を確立します。 次に、SSH クライアントは、bastion ホストを使用して、ファイルをアップロードまたはダウンロードするホストと通信します。 この方法で、bastion ホストを使用して SCP ベースの操作を監査できます。
前提条件
オンプレミスクライアントが bastion ホストに接続されており、クライアントから bastion ホストにログオンできます。 関連する問題のトラブルシューティング方法の詳細については、クライアントと bastion ホスト間の接続に関する FAQ をご参照ください。
O&M 操作を実行するホストとホストアカウントは、bastion ホストによって管理されます。 詳細については、ホストの追加 および ホストアカウントの管理 をご参照ください。
bastion ホストへのアクセスに使用するユーザーは、ホストを管理する権限を与えられています。 詳細については、ユーザーにホストの管理を承認する または ユーザーにホストグループの管理を承認する をご参照ください。
クライアントは OpenSSH 7.3 以降である必要があります。
ProxyJump の構成
オンプレミスの Linux コンピューターにログオンします。
次のコマンドを実行して、
configファイルを.sshディレクトリに作成し、パラメーターを構成します。vim ~/.ssh/config次のサンプルコードは、パラメーターを構成する方法の例を示しています。
#-------Bastion ホストの構成---------# # Bastion ホストのエイリアス。 Host bastion # Bastion ホストの O&M アドレス。 HostName ****-public.bastionhost.aliyuncs.com # Bastion ホストのポート番号。 デフォルトポートは 60022 です。 Port 60022 # Bastion ホストのユーザー。 User bastion-user # -------Bastion ホストによって管理されるホストの構成---------# # ホストのエイリアス。 Host target-host-A # ホストの IP アドレス。 HostName 192.168.XX.XX # ホストのユーザー名。 User tagert-user # ProxyJump を構成します。 SCP コマンドを実行すると、SSH クライアントは bastion ホストに接続し、次に bastion ホストを使用してホスト target-host-A に接続します。 ProxyJump bastion # --------複数のホストのサポート--------# #Host target-host-B # HostName 192.168.XX.XX # User tagert-user # ProxyJump bastionSCP コマンドを実行して、ホストにファイルをアップロードするか、コンピューターにファイルをダウンロードします。 例:
ホストにファイルをアップロードする:
次のサンプルコードは、
file-name.txtファイルをホスト target-host-A のhomeディレクトリにアップロードする方法の例を示しています。scp /file-name.txt target-host-A:/home/コンピューターにファイルをダウンロードする:
次のサンプルコードは、ホスト target-host-A からコンピューターの
homeディレクトリにfile-name.txtファイルをダウンロードする方法の例を示しています。scp target-host-A:/file-name.txt /home/
bastion ホストで監査ログを表示する
bastion ホストにログオンして、SCP ベースの操作の監査ログを表示します。 詳細については、セッションの検索とセッションの詳細の表示 をご参照ください。
