Servizio Bastion: Accesso SSH a workstation in Dipartimento

Il servizio di Bastion host SSH permette l'accesso SSH protetto alle risorse informatiche sulla rete interna del Dipartimento, evitando di esporre direttamente all'esterno i servizi e migliorando drasticamente la sicurezza della rete.

Per accessi diversi da SSH contattare supporto tramite difa.csi@unibo.it.

A chi è rivolto

Possono utilizzarlo:

personale strutturato del DIFA (docenti, PTA)
dottorandi del DIFA
contrattisti del DIFA
accreditati del DIFA

Attivazione

Il servizio Bastion è attivo in automatico e non è necessario fare domanda di abilitazione. È legato ai ruoli ricoperti e riconosciuti dall'Ateneo.

Gli studenti non hanno la possibilità di accedere da remoto.

In caso di problemi, contattare il supporto tramite difa.csi@unibo.it.

Come accedere

È possibile utilizzare il servizio solo con le proprie credenziali istituzionali.

Chi ha effettuato un cambio di UPN nel proprio account istituzionale deve utilizzare le credenziali complete o quelle precedenti alla modifica.

Ad esempio chi usa n.cognome@unibo.it (oppure nome.cognome@unibo.it) al posto di nome.cognomeN@unibo.it, per l'autenticazione sul servizio Bastion deve usare una fra le due seguenti opzioni:

nome.cognomeN
n.cognome@unibo.it (oppure nome.cognome@unibo.it)

Quindi in questo caso non è possibile autenticarsi usando solamente n.cognome (oppure nome.cognome) senza @unibo.

Configurazione

OpenSSH (command line Linux / macOS / Windows PowerShell)

È sufficiente aggiungere "-J nome.cognome@137.204.50.15" all'inizio del comando ssh che si utilizzava precedentemente. Ad esempio:

ssh -J nome.cognome@137.204.50.15 <account_macchina>@<IP_macchina>

dove <IP_macchina> è l’indirizzo IP della macchina da raggiungere e <account_macchina> è l’utente con il quale accedere alla macchina remota.

Ancora meglio sarebbe modificare ~/.ssh/config aggiungendo le sezioni:

Host bastion
     Hostname 137.204.50.15
     User     nome.cognome

Host <IP_macchina>
     User      <account_macchina>
     ProxyJump bastion

Per copiare file verso o da una macchina remota attraverso il servizio Bastion si possono usare strumenti come scp o rsync.

Poiché scp è basato su SSH, se si è configurato SSH tramite ~/.ssh/config si continua ad utilizzare la sintassi utilizzata precedentemente. Altrimenti è sufficiente aggiungere -J nome.cognome@137.204.50.15 all'inizio del comando scp che si utilizzava precedentemente. Ad esempio:

scp -J nome.cognome@137.204.50.15 $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo
Il programma rsync deve essere impostato per utilizzare il servizio Basstion tramite SSH aggiungendo l’opzione -e "ssh J nome.cognome@137.204.50.15" all'inizio del comando rsync che si utilizzava precedentemente. Se si è configurato SSH tramite ~/.ssh/config è sufficiente aggiungere -e "ssh -J bastion". Ad esempio:

rsync -e "ssh -J nome.cognome@137.204.50.15" $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo

rsync -e "ssh -J bastion" $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo

Putty (Windows)

Sito di riferimento: https://www.chiark.greenend.org.uk/~sgtatham/putty/

Richiede almeno la versione 0.80 (quelle più vecchie non supportano il proxyhost).

Nell'albero "Category", sotto "Connection" -> "Proxy":

selezionare SSH to proxy and use port forwarding per Proxy type
inserire 137.204.50.15 come Proxy hostname e 22 come porta.

Le altre impostazioni rimangono uguali a quelle precedentemente usate.

MobaXTerm (Windows)

Sito di riferimento: https://mobaxterm.mobatek.net

Modificare la connessione:

selezionare la scheda Network Settings e fare click su SSH Gateway (jump host).
impostare il campo Gateway host a 137.204.50.15
impostare il campo Username con il proprio l'account istituzionale