| Re: [ssfr] Lancer 2 ssh a la suite dans un script |
[ Thread Index |
Date Index
| More debianworld.org/shellscript-fr Archives
]
On 2008-10-14 01:10:35 +0200, Laurent Hermann wrote:
> Laurent CARON a écrit :
>> Laurent Hermann wrote:
>>> Avec cette méthode, il devrait être possible d'ouvrir plusieurs
>>> tunnels les uns après les autres.
>>> Exemple:
>>>
>>> ssh -i ~/.ssh/id_rsa compteA@machineA -L 10022:machineB:22 -f "sleep 1"
>>> ssh -i ~/.ssh/id_rsa compteB@localhost -p 10022 -L 10023:machineC:22
>>> -f "sleep 1"
>>> ssh -i ~/.ssh/id_rsa compteC@localhost -p 10023 -L 10024:machineD:22
>>> -f "sleep 1"
>>> ssh -i ~/.ssh/id_rsa compteD@localhost -p 10024 "echo Bonjour; whoami"
>>>
>> Il ne faut pas vérifier les fingerprints ssh dans ce cas.
>>
>> Le fingerprint de localhost sera différent ...
>
> Dans la 2ème ligne,
> -> ssh -i ~/.ssh/id_rsa compteB@localhost -p 10022
> Ce n'est pas une connexion sur localhost, mais sur machineB.
> Il faut comprendre que le port 10022 de localhost est en fait le port 22
> sur machineB. Cela est complètement transparent.
> Ne faut-il pas une authentification sur machineB ?
C'est justement le problème. Pour la deuxième ligne, ssh va vérifier
avec le fingerprint de localhost, alors qu'il faudrait lui dire de
vérifier avec le fingerprint de machineB. C'est possible avec de la
config...
Autre problème est que le port 10022 n'est pas forcément disponible
(e.g. si la machine a plusieurs utilisateurs). Bref, comme je l'ai
dit, c'est une méthode inutilement lourde et pas transparente pour
l'utilisateur.
De plus, quand on fait un tunnel de ce style, il vaut mieux utiliser
l'option -N que "sleep 1".
--
Vincent Lefèvre <vincent@xxxxxxxxxx> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)
---