你们都是怎么登录公司服务器的？

为啥要在服务器放私钥？？？

如果你是用自己电脑登陆公司服务器，那服务器上放的是公钥，自己电脑上放的是私钥，公钥是可以公开的，你是不是搞错了。

@Ghoul2005 @cxbig

假设有 3 个 server ， A 、 B 、 C


如果没有私钥或 agent forward ，怎么从 A 到 B 或到 C 呢？

不可能每次都从本地登陆吧

@lcj2class
不明白为什么要这样跳跃登陆，能说明用途么？ 3 台不同的机器都从本地登陆有什么不妥？

@cxbig 敏感业务需要跳板机

man ssh, 阅读 -W 参数。大些的 W

@cxbig
一个很简单场景，想从 A 上拷贝一个 10G 的文件到 B ，内网传输应该没什么问题，直接 scp 即可。但是如果 A 不能直接登录 B ，那你会怎么办？

ProxyCommand ssh -q -W %h:%p relay

relay 就是那个中转服务器

@binss 跳板机是不允许 agent forward 的，允许了 agent forward 跳板机的意义何在

建议搜索 kerberos ，可以和 LDAP 整合，实现跳板机的安全通信

我司是每人有一台内网 vps 和本机拥有一样的权限

但是所有测试服务器之间默认是无法互相访问的（因为会经常 wipe ， 重新 deploy ）

有时候懒就直接 forward 了
不懒的话用内网的 vps 中转 scp 一下

之前的公司 VPN 拨号 动态口令授权 虚拟机作为跳板机审计

现在的公司只给预上线可读权限的私钥,懒得掰扯，一般也就是预上线好即可视为代码没问题

自己的 VPS 和服务器之类的多数情况下用 guacamole 之类的访问有内网的 VPN 互联绑定内网

xendesktop

telnet 登陆对外，再 telnet ，访问机房内 BAS ， OLT ，实话说刚开始知道是这样的吓一跳完全没有任何安全可言，而且都是除了对外账户密码有修改，其他设备都是默认账户密码，这些设备可是带了几十万的宽带用户，不过这些数据都有实时备份，而且是多个系统协同使用。所以就算单独破坏设备数据也是无所谓的了。

直连就可以了.

@9hills 只是不卡而已

kinit

题主 最好的做法是什么呢

跑回机房物理连接内网（斜眼

You can try ssh with socks5 proxy

基本都是密码登陆加登陆来源限制