1
Help us understand the problem. What are the problem?

posted at

updated at

SSHを駆使して数々の試練(プロキシ、踏み台)を乗り越える話

はじめに

この記事は富士通クラウドテクノロジーズ Advent Calendar 2021の24日目の記事です。

こんにちは新入社員の @u-koji です。
昨日の記事は @s_ave さんによる「Apache BenchとVegetaを使ってLiteSpeed/Nginx/Apacheを性能比較」でした。
スループットや負荷への耐性がWebサーバによって有意に異なるということを知って大変おどろきました。
使い方によって最適なWebサーバを選択できるよう、ぜひ参考にさせていただきたいです。

この記事の目標

以下の状況を想定します。

  • 組織のWAN
    • 外部のサーバにアクセスでは必ずプロキシを経由する
  • クラウド上に構築したシステム
    • クラウド上のVMへのsshには踏み台サーバを経由する

この記事では組織のWANに接続されたローカルPCから、sshを駆使してクラウド上の各種サーバにアクセスする方法を紹介します。
なおプロキシ、踏み台の設定によっては紹介した機能が制限されていることもありますのでご注意ください。
プロキシ.png

踏み台サーバにログインする

Linux/Macの場合

MacOSや多くのLinuxディストリビューションでは標準でOpenSSHクライアントがインストールされています。
OpenSSHはそれ自身でプロキシ経由でSSH接続することはできませんが、ProxyCommandオプションで外部のコマンドを呼び出すことでプロキシ経由でSSH接続が可能です。
connect-proxyコマンドとncコマンドを使って、HTTPプロキシ、SOCKS5プロキシ経由で踏み台にSSHする方法を以下に記します。
(コマンドはOS推奨のパッケージなどを利用してインストールしてください。)

# connect-proxyを使う場合
## http
ssh -o "ProxyCommand connect-proxy -H http_user@http_proxy.example.com:3128 %h %p" bation_user@bation.example.com
## socks5
ssh -o "ProxyCommand connect-proxy -S socks_user@socks_proxy.example.com:1080 %h %p" bation_user@bation.example.com
# ncを使う場合
## http
ssh -o "ProxyCommand nc -X connect -P http_user -x http_proxy.example.com:3128 %h %p" bation_user@bation.example.com

*ncコマンドを用いてSOCKS5経由でコネクションを張るには-X 5オプション(-Xでプロトコルを選択しない場合はデフォルトでSOCKS5)を指定するとマニュアルには記載されていますが、検証環境では以下のエラーのため接続できませんでした;(求情報)

nc: authentication method negotiation failed

$HOME/.ssh/configに以下の設定を書き込むことで、コマンドをオプションを省略することができます。

Host Bation
    HostName bation.example.com
    User bation_user
    Port 22
    ProxyCommand connect-proxy -H http_user@http_proxy.example.com:3128 %h %p
    # 外部コマンドとオプションは任意のものを記載
    # 公開鍵を利用したい場合はよしなにIdentityfileを記載

この例では、ssh Bationとコマンドを入力することで踏み台サーバに接続することができます。

Windowsの場合

WindowsでProxyを経由してSSHを行いたい場合、主に以下の3つの方法があると思います。

ターミナルエミュレータを利用する

Tera TermやRloginなどのターミナルエミュレータでは、オプションを設定することでプロキシ経由で外部サーバにSSHすることができます。(説明は省きます)

WSLを利用する

WSLの任意のディストリビューションを利用して、Linux/Macの場合と同様にSSHすることができます。

Git Bash + OpenSSH

Git Bash同梱のMingw-w64にはWindowsで使えるconnectのバイナリが配布されており、これを利用してcmdからOpneSSHコマンドを利用してProxy経由でSSH接続ができます。
Git Bash(Git for Windows)をインストールして%homepath%\.ssh\configに以下の設定をしてください。

Host Bation
    HostName bation.example.com
    User bation_user
    Port 22
    ProxyCommand C:\Program Files\Git\mingw64\bin\connect.exe -H http_user@http_proxy.example.com:3128 %h %p
    # connect.exeのパスはx86の場合とAMD64の場合で異なるため事前に確認してください
    # SOCKS Proxyの場合は `-S socks_user@socks_proxy.example.com:1080`

コマンドプロンプトやPowerShellでssh Bationとすることで、踏み台サーバにログインできます。
*ちなみにMingw-w64単体にはconnect.exeは含まれておらず、Git Bashをインストールする必要がありました。

開発サーバにSSH

踏み台サーバにSSHした後に、踏み台サーバで再度sshコマンドを叩くことで開発サーバにログインすることができます。
-J(ProxyJump)オプションを利用すると、sshコマンドを2回実行する必要がなく、一発で踏み台サーバを経由して開発サーバにsshすることができます。
先程設定した.ssh/configを利用すると、以下のコマンドでログインできます。

ssh remote_user@ -J Bation

DBへのポートフォワーディング

SSHにはポートフォワーディング機能が備わっており、これを活用することでローカルからDBにログインすることが可能です。
以下の例では.ssh/configに記載したBationを経由し、ローカルの3306ポートをDBサーバの3306ポートにフォワーディングしています。

ssh -L 3306:192.0.2.3:3306 Bation

このコマンドを実行するとプロンプトは踏み台サーバにログインした状態になります。
プロンプトのログインを保持したまま、CLIやGUIのDBクライアントでlocalhost(127.0.0.1):3306に接続することで、DBサーバにログインできます。

mysql -h 127.0.0.1 -uuser -p

*小ネタですが、mysqlでlocalhostを指定した場合はデフォルトでUNIXソケットを利用するため、127.0.0.1としています。

SOCKSを利用したWebサーバへのアクセス

DBサーバにアクセスしたときと同様に、Webサーバの80番ポートをローカルの8080番ポートなどにフォワーディングすることで、ローカルからWebサーバにアクセスすることができます。
しかし複数のWebサーバが立ち上がっている場合などはポートの割当が大変になってきます。
sshの-Dオプションを利用することで、sshをSOCKS5プロキシとして動作させることができ、プライベートLAN上のサーバへのアクセスが楽になります。

ssh -D 1080 Bation

ポートフォワーディングの時と同様にプロンプトは踏み台サーバにログインした状態になります。
その間はlocalhost:1080が踏み台へのSOCKS5プロキシとして動作します。

curl --proxy socks5://localhost:1080 192.0.2.4

またプロキシの設定をすることで、WebブラウザからもプライベートLAN上に構築したWebコンテンツの閲覧が可能になります。

終わりに

今回はSSHを活用して、幾多の試練(プロキシや踏み台)を乗り越え幸せな開発環境を構築する方法をご紹介しました。
みなさまの素敵なSSHライフに貢献できれば幸いです。
ここまで続いてきたアドベントカレンダーもついに明日で最後となります!
明日は @ConHumi さんの「FJCT エンジニアタスクフォース 2021 レポート」です。
それではみなさん、よいクリスマスを!

おまけ

今回検証環境はDockerを利用して構築しました。
おそらくいないと思いますが、必要な人がいましたらご利用ください。

ソース
version: '3'
services:
  socks5:
    image: serjs/go-socks5-proxy
    ports:
      - "1080:1080"
    environment:
      - PROXY_USER=socks_user
      - PROXY_PASSWORD=socks_password
    networks:
      - net1
  http-proxy:
    image: babim/squid
    ports:
      - "3128:3128"
    environment:
      - AUTH=true
      - USERNAME=http_user
      - PASSWORD=http_password
    networks:
      - net1
  bation_sshd:
    build:
      context: ./sshd
      dockerfile: ./Dockerfile
      args:
        - USER=bation_user
        - PASSWORD=bation_password
    networks:
      - net1
      - net2
  remote_sshd:
    build:
      context: ./sshd
      dockerfile: ./Dockerfile
      args:
        - USER=remote_user
        - PASSWORD=remote_password
    networks:
      - net2
  web:
    image: nginx
    networks:
      - net2
  db:
    image: mariadb
    environment:
      MARIADB_ROOT_PASSWORD: root_password
      MARIADB_USER: user
      MARIADB_PASSWORD: user_password
    networks:
      - net2
networks:
  net1:
  net2:

sshdのDokcerfileはDockerのドキュメントとほぼ同じです。

FROM ubuntu:14.04
ARG USER
ARG PASSWORD
RUN apt-get update && apt-get install -y openssh-server
RUN mkdir /var/run/sshd
RUN useradd $USER
RUN echo ${USER}:${PASSWORD} | chpasswd
RUN sed -i 's/PermitRootLogin without-password/PermitRootLogin yes/' /etc/ssh/sshd_config

# SSH login fix. Otherwise user is kicked off after login
RUN sed 's@session\s*required\s*pam_loginuid.so@session optional pam_loginuid.so@g' -i /etc/pam.d/sshd

ENV NOTVISIBLE "in users profile"
RUN echo "export VISIBLE=now" >> /etc/profile

EXPOSE 22
CMD ["/usr/sbin/sshd", "-D"]

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
1
Help us understand the problem. What are the problem?