結論
Host humidai
HostName humidai.example.com
User user
IdentityAgent "~/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock"
IdentityFile "~/.ssh/humidai.pub"
Host target-server
HostName target-server.example.com
User user
ProxyCommand ssh humidai -W %h:%p
IdentityAgent "~/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock"
IdentityFile "~/.ssh/target-server.pub"
のConfigでクライアント側の1password管理のキーを使用して踏み台サーバーへの接続を行います。
序文
SSH接続は人類が生きていく上で欠かせない行動のひとつです。普段自宅のリソースへはTailscaleでVPN接続をしそこからSSHへ接続を行っています。
しかし、移動中の接続構成としてはあまり良くありません。電車で時速100kmを超えてくるとときどき詰まりを感じますし、新幹線で時速200kmを超えるとかなり苦痛になってきます。
TailscaleはWiregurdベースの技術でありVPN接続技術のなかではオーバーヘッドが少なく優秀な技術の認識です。
About WireGuard · Tailscale Docs
となるとVPNの選定を変えたとしてもこれ以上の改善を期待できそうにないため他の手法でのアクセス方法を検討します。
そこで古典的な踏み台接続に変更をすることにしました。踏み台にしたところで、クラウドに設置している踏み台から自宅リソースへのアクセスはVPNのためむしろ経由が1階層多くなるだけです。
そんな中見つけた物がquicssh-rsです。
GitHub - oowl/quicssh-rs: QUIC proxy that allows to use QUIC to connect to an SSH server without needing to patch the client or the server.
QUICでSSH通信をプロキシすることで、パケロスやIPアドレスの変更に強くなります。これで新幹線の中でも快適にSSH接続ができるようになるはずです。
そしてここからが本題ですが、普段SSHキーの管理はすべて1passwordで管理しています。この場合に踏み台サーバーには鍵を配置せずに端末側にだけ1passwordを入れている状態で踏み台接続ができるようになれば理想です。
本記事ではその方法について解説しますが、SSHのconfigを貼れば終わる話なのでそろそろこの記事は終わりです。
解説
基本的には普通の踏み台SSHの書き方と変わりません。
1passwordならではの設定としては、IdentityAgentで1passwordのエージェントを指定します。
IdentityFileでSSH接続する公開鍵を指定します。
公開鍵を指定する理由ですが、1Passwordではどのホストにどのキーを利用するかの情報を持っていません。 そのためデフォルトではすべてのキーを総当たりで利用しようとします。6個以上のキーペアを保存しているとSSH接続をする際の試行回数が最大値を超えてしまいます。
そのため、このHostはこの公開鍵とconfigに設定することで、1Passwordのエージェントがどのキーを利用するかを指定しています。
Advanced use cases | 1Password Developer
サーバーへの接続設定が増えるたびにここの記載が必要なため、SSHのConfigを1Passwordが管理するような仕様にしてくれると良いのにな……と日々思います。
