¿Cómo puedo solucionar los problemas de acceso a mi instancia de EC2 mediante una conexión de SSH a través de un host bastión?

Breve descripción

Para solucionar los problemas de conexión a una instancia de EC2 a través de SSH mediante un host bastión, haga lo siguiente:

1. Configure el reenvío del agente SSH para iniciar sesión en el host bastión desde su máquina local.
2. Conéctese a su instancia de EC2 desde el host bastión con la mensajería detallada activada.
3. Utilice los mensajes de salida del cliente SSH para identificar y solucionar problemas. Comience por solucionar los problemas para conectarse desde su máquina local al host bastión. A continuación, solucione los problemas de conexión desde el host bastión a la instancia de EC2.

Solución

Configuración del reenvío del agente SSH para iniciar sesión en el host bastión desde su máquina local

1.    Añada una o varias claves privadas de su instancia de EC2 y de su host bastión a ssh-agent en su máquina local. En el siguiente comando de ejemplo, sustituya private-key.pem por el nombre de su clave privada.

$ ssh-add private-key.pem

    Ejecute el siguiente comando para comprobar que las claves estén disponibles para ssh-agent:

$ ssh-add -L

2.    Ejecute el siguiente comando para conectarse al host bastión mediante la opción -A con la mensajería detallada activada. En el siguiente comando de ejemplo, sustituya ec2-user por su nombre de usuario. Sustituya 192.0.2.0 por la dirección IP pública adecuada para su host bastión. También puede utilizar la entrada DNS pública en lugar de la dirección IP pública.

$ ssh -v –A ec2-user@192.0.2.0

**Importante:**La opción -A habilita el reenvío de ssh-agent. El reenvío de agentes se debe utilizar únicamente para solucionar problemas. El reenvío permite al ssh-agent local responder al desafío de la clave pública, incluso cuando se conecta desde su host bastión a su instancia de EC2. Al configurar el reenvío de agentes, se crea un archivo de socket en el host bastión. El archivo de socket actúa como el mecanismo que reenvía la clave a su instancia de EC2. Otro usuario del host bastión con capacidad para modificar archivos podría utilizar esta clave para autenticarse como si fuera usted. Si se conecta a su instancia con un host bastión periódicamente (al margen de la solución de problemas), utilice ProxyCommand u otro método similar.

Conexión a su instancia de EC2 desde el host bastión con la mensajería detallada activada

Tras conectarse al host bastión, ejecute el siguiente comando para conectarse a su instancia de EC2 mediante SSH con la mensajería detallada activada. En el siguiente comando de ejemplo, sustituya ec2-user por su nombre de usuario. Sustituya 192.0.2.0 por la dirección IP pública adecuada para su host bastión. También puede utilizar la entrada DNS pública en lugar de la dirección IP pública.

$ ssh -v ec2-user@192.0.2.0

Nota: No es necesario proporcionar una clave de forma explícita en los dos comandos anteriores. ssh-agent va probando sucesivamente todas las claves cargadas en el agente hasta que una de ellas funciona correctamente. Las instancias terminan la conexión tras cinco intentos fallidos de conexión. Por lo tanto, asegúrese de que el agente tenga cinco claves o menos. Cada administrador debe tener una clave, por lo que esto no suele ser un problema en la mayoría de los despliegues. Para obtener más información sobre cómo administrar las claves en ssh-agent, ejecute el comando man ssh-agent.

Solución de los problemas para conectarse desde su máquina local al host bastión

Si tiene problemas para conectarse al host bastión desde su máquina local, haga lo siguiente:

• Compruebe que ha agregado correctamente la clave privada del host bastión al agente SSH de su máquina local. Este procedimiento se muestra en el paso 1.
• Compruebe que ssh-add -L devuelva cinco claves o menos.
• Si sigue sin poder conectarse al host bastión, utilice los mensajes de salida obtenidos de la mensajería detallada del cliente SSH para identificar el mensaje de error. Según el mensaje de error recibido, consulte el paso 2 en «¿Cómo puedo solucionar los problemas para conectarme a mi instancia de Linux de Amazon EC2 mediante SSH?» para solucionar el problema.

Solución de los problemas para conectarse desde el host bastión a su instancia de EC2

Si tiene problemas para conectarse a la instancia de EC2 desde el host bastión, haga lo siguiente:

• Compruebe que ha agregado correctamente la clave privada de su instancia de EC2 al agente SSH de su máquina local. Puede que tenga que comprobarlo si la clave es diferente de la clave privada de su host bastión.
• Compruebe que ssh-add -L devuelva cinco claves o menos.
• Si sigue sin poder conectarse al host bastión, utilice los mensajes de salida obtenidos de la mensajería detallada del cliente SSH para identificar el mensaje de error. Según el mensaje de error recibido, consulte el paso 2 en «¿Cómo puedo solucionar los problemas para conectarme a mi instancia de Linux de Amazon EC2 mediante SSH?» para solucionar el problema.

---