IT-Service: SSH-Jump-Hosts (lxlogin.gsi.de)

Schnelleinstieg

Bei Jump-Hosts handelt es sich Maschinen, die speziell auf die Weiterleitung von Netzwerkverkehr zwischen verschiedenen Sicherheitszonen ausgelegt sind. Maschinen dieses Services leiten SSH-Verkehr weiter.

An der GSI ermöglichen diese Hosts allen Benutzer*innen mit einem Linux-Konto den Zugriff vom Internet auf das interne Netzwerk. Sie besitzen eine minimale Konfiguration, was Sicherheitsrisiken minimiert und die Leistung verbessert.

Service-Beschreibung

Jump-Hosts können auf folgende Arten genutzt werden (mit Beispielen). Mehr Informationen über SSH-Verbindungen finden Sie unter Fernzugriff auf Linux-Maschinen.

  • Als minimaler Login-Host: ssh gsilinuxaccount@lxlogin.gsi.de
  • Als Jump-Host, um eine interne Maschine zu erreichen (bspw. lx-pool.gsi.de): ssh -J gsilinuxaccount@lxlogin.gsi.de user@target.gsi.de
    (Bspw. für lx-pool.gsi.de: ssh -J gsilinuxaccount@lxlogin.gsi.de gsilinuxaccount@lx-pool.gsi.de)
  • Für lokale Port-Weiterleitung: ssh -L 8080:user@target.gsi.de:80 gsilinuxaccount@lxlogin.gsi.de
  • Als einfaches VPN mit sshuttle: sshuttle -r gsilinuxaccount@lxlogin.gsi.de target.gsi.de
  • Zum Dateizugriff über SSHFS sshfs: sshfs -o ProxyJump=gsilinuxaccount@lxlogin.gsi.de user@target.gsi.de:/path mountpoint
    (Bspw. um Lustre nach ~/lustre einzuhängen: sshfs -o ProxyJump=gsilinuxaccount@lxlogin.gsi.de gsilinuxaccount@files.hpc.gsi.de:/lustre ~/lustre)

Wenn Sie sich das erste Mal verbinden, werden Sie gefragt, ob Sie dem SSH-Fingerabdruck vertrauen. Bitte schauen Sie unter Linux-Poolmaschinen nach, ob dieser korrekt ist.

Maschinen dieses Services haben eine minimale Konfiguration für einen eingeschränkten Zweck. Daher ist nur eine minimale Liste an Software vorhanden. Es ist keine grafische Oberfläche verfügbar, ferner gibt keinen Zugriff auf zentrale Heimatverzeichnisse (/u/$konto). Bei der Anmeldung erhalten Sie ein neues Verzeichnis, welches beim Beenden der Sitzung wieder gelöscht wird.

Nutzen Sie Ihren GSI-Linux-Konto um sich an den Maschinen anzumelden. Sie können einen SSH-Schlüssel statt des Passwortes verwenden, obwohl die Maschinen keine zentralen Heimatverzeichnisse einbinden. Die Schlüssel werden jede halbe Stunde von allen zentralen Heimatverzeichnissen (.ssh/authorized_keys) geladen und den Jump-Hosts zur Verfügung gestellt.

Der Pool ist hochverfügbar. Das bedeutet, dass Sie sich bei einem Verbindungsabbruch, wegen einer fehlerhaften Maschine, sofort wieder verbinden können. Bitte sehen Sie sich die Anleitung unter Fernzugriff auf Linux-Maschinen an, um zu sehen, wie dieser Prozess automatisiert werden kann.

Alle Maschinen im Pool werden jeden Montag um 1 Uhr nacheinander neugestartet. Zu dieser Zeit werden Sie Ihre Verbindungen verlieren, der Pool wird aber durchgängig verfügbar sein.

Mit dem Bitvise SSH Client ist die Verbindung über lxlogin.gsi.de in zwei Schritten möglich.

  1. Erstellen Sie ein Profil mit dem Host "lxlogin.gsi.de" und Ihrem GSI-Linux-Kontonamen. Stellen Sie unter Proxy settings sicher, dass Use Proxy deaktiviert ist. Dies sollte der Fall sein, wenn Use global proxy settings aktiviert ist. Speichern Sie das Profil, z.B. als "lxlogin.gsi.de.tlp".
  2. Erstellen Sie ein zweites Profil mit dem Zielhost, z.B. "lx-pool.gsi.de" und Ihrem GSI-Linux-Kontonamen. Speichern Sie das Profil, z.B. als "lx-pool.gsi.de.tlp". Klicken Sie unter Proxy settings auf Use profile proxy settings (nur auswählbar, nachdem das Profil gespeichert wurde) und aktivieren Sie Use proxy. Wählen Sie SSH als Proxy-Typ aus und klicken Sie auf Profile file. Suchen Sie nach dem zuvor erstellten Profil (lxlogin.gsi.de.tlp). Speichern Sie das Profil erneut.

Jetzt nutzt Ihr zweites Profil Ihr erstes als Jump-Host, womit Sie sich aus dem Internet verbinden können.

Um lxlogin.gsi.de zu verwenden, um mit WinSCP interne Maschinen zu erreichen öffnen Sie die Tunnel-Einstellungen. Aktivieren Sie Connect through SSH tunnel und geben Sie "lxlogin.gsi.de" in das Feld Host name ein. Für Benutzername und Passwort geben Sie Ihre GSI-Linux-Kontodaten ein.

Verfügbarkeit und Support


Loading...