Domanda rapida: eseguo due box Linux, uno il mio desktop e l'altro il mio VPS. Per motivi di sicurezza sul lato VPS ho optato per connessioni socket a MySQL ( /var/run/mysqld/mysql.sock). So di poter eseguire il tunneling in questo modo: ssh -L 3307:127.0.0.1:3306 user@site.comse ho impostato il server sql remoto per l'ascolto su una porta, ma quello che voglio sapere è che posso fare qualcosa del genere: in ssh -L /path/to/myremotesqlserver.sock:/var/run/mysqld/mysql.sockquesto modo il tunneling di due socket, anziché due porte?

Una soluzione perfettamente accettabile sarebbe anche quella di inoltrare una porta locale al file socket remoto, ma dove possibile sto cercando di non avere server tcp in esecuzione sul box remoto.

(e sì, so che TCC sarebbe più facile).

Inoltra un socket locale su richiesta

• Configurare l'autenticazione con chiave pubblica SSH
• Installa socatad entrambe le estremità
• crea una directory localmente per i tuoi socket, inaccessibile ad altri utenti.

export SOCKET_DIR=~/.remote-sockets
mkdir -p $SOCKET_DIR
socat "UNIX-LISTEN:$SOCKET_DIR/mysqld.sock,reuseaddr,fork" \
EXEC:'ssh user@server socat STDIO UNIX-CONNECT\:/var/run/mysqld/mysqld.sock'

poi

mysql -S $SOCKET_DIR/mysqld.sock -u mysqluser -p

rubato dall'inoltro dei socket di dominio unix con ssh e socat

Anche allora, quando la domanda è stata posta, era davvero impossibile, ma è possibile al giorno d'oggi.

È possibile entrambi: UNIX => TCP e UNIX => inoltro UNIX.

Per esempio:

ssh \
  -R/var/run/mysql.sock:/var/run/mysql.sock \
  -R127.0.0.1:3306:/var/run/mysql.sock \
  somehost

È possibile da OpenSSH 6.7.

non l'ho fatto, ma proverei con socat . forse qualcosa del tipo:

ssh xxx@yyy.zzz -L 9999:localhost:9999 "socat TCP-LISTEN:localhost:9999 UNIX-CONNECT:/var/run/mysqld/mysql.sock"
socat UNIX-LISTEN:/path/to/local/socket TCP:localhost:9999

di nuovo, non ho mai fatto nulla di simile.

Non è più necessario socat da ssh 6.7. Puoi inoltrare socket di dominio unix direttamente come:

ssh -nNT -L $(pwd)/docker.sock:/var/run/docker.sock user@someremote

Maggiori informazioni: https://medium.com/@dperny/forwarding-the-docker-socket-over-ssh-e6567cfab160

Un'altra modifica della risposta di @mpontes / @ javier

ssh user@remoteserver -L 9999:localhost:9999 'socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock& pid=$!; trap "kill $pid" 0; while echo -ne " \b"; do sleep 5; done'

addetto alle pulizie

ssh user@remoteserver -L 9999:localhost:9999 '
  socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock&
  pid=$!
  trap "kill $pid" 0
  while echo -ne " \b"; do
    sleep 5
  done
'

PROFESSIONISTI

1. Funziona su openssh prima della 6.7 (come CentOS 7)
2. Uccide socat sulla terminazione ssh invece di dover re-ssh nel server remoto
3. Consente l'accesso ssh non pubblico (diversamente dalla soluzione ijk)

caratteristica

1. Poiché l' -fopzione non viene utilizzata, è possibile utilizzare una chiave pubblica ed eseguire in background tramite &oppure è possibile accedere in modo interattivo e utilizzare Ctrl + Z e utilizzare lo stesso $!per memorizzare il pid.

CONS

1. Non puoi usare facilmente l' -fopzione ssh, poiché perderai il pid di ssh in quel modo. Questo metodo si basa sull'esecuzione in primo piano e Ctrl + C per uccidere.
2. Molto più complicato

Spiegazione

• socat ...& - eseguire socat in background sul server remoto
• pid=$! - memorizza il pid
• trap kill\ $pid 0- eseguire kill $pidsu bash terminazione
• while :; sleep... - sedersi in un ciclo infinito
• echo -ne \ \b- Spazio eco seguito da backspace. Questo fallisce non appena l'ssh viene disconnesso. Con a sleep 5, questo significa che socatpuò funzionare fino a 5 secondi dopo ssh

Nota: In realtà testati utilizzando finestra mobile, la porta 2375, /var/run/docker.socke la variabile ambiente DOCKER_HOST='tcp://localhost:2375', ma dovrebbe funzionare per mysql tutti uguali

Aggiornare

Usando i controlli SSH , puoi usare la -fbandiera a modo mio, basta aggiungere le seguenti bandiere

-f -o ControlPath=~/.ssh/%C -o ControlMaster=auto

E otterrai

ssh -f -o ControlPath=~/.ssh/%C -o ControlMaster=auto user@remoteserver -L 9999:localhost:9999 'set -m; socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock& pid=$!; trap "kill $pid" 0; while echo -ne " \b"; do sleep 5; done'

Ora puoi terminare tutte le sessioni controllate usando

ssh -o ControlPath=~/.ssh/%C -O exit remoteserver

Le -oopzioni possono essere salvate nel tuo .ssh/configfile oppure puoi usare -S invece (ma avrai comunque bisogno -o ControlMaster)

Elaborando la risposta di Javier, questo funziona per me:

ssh -f xxx@yyy.zzz -L 9999:localhost:9999 "socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock"

È necessario forkper poter connettersi più volte senza morire dopo aver chiuso la prima connessione. Inoltre, il modo in cui socat consente di specificare un indirizzo a cui associarsi è tramite l' bindopzione, non come indirizzo prima della porta.

Dopo questo, connettiti localhost:9999normalmente come faresti. Quindi per demolire il tunnel:

ssh -f xxx@yyy.zzz "killall socat"

(o qualcosa di simile, puoi fare cose più elaborate che comportano mantenere il PID di socat)

Sì, puoi usare socat.

Prima fai il tunnel TCP con SSH. Quindi usa socat in questo modo:

socat unix-hear: /var/run/mysqld/mysqld.sock,fork,unlink-early tcp: 127.0.0.1: 3306

Quindi concedere le autorizzazioni al nuovo socket creato (potrebbe essere chmod 777)