Перейти к основному содержимому

Настройка

Регистрация

После установки нужно зарегистрировать сервер. В этот момент сервер генерирует локально SSH ключи и подписывает свои сертификаты в API Tuna.

tuna-bastion enroll --key <your_enroll_key>
примечание

Как получить ключ для регистрации сервера, описано тут.

Если все обязательные ключи не указаны, то вы увидите консольное меню:

? Enroll Key (--key) 3678287f-93ea-4ebe-8478-4d9e9f28d95d
? Data directory (--data-dir) /var/lib/tuna-bastion/data
? Listen SSH port (--ssh-port) 993
? Advertise Address (--advertise-address) 1.2.3.4:993
? Hostname (--hostname) server-1
? Labels (--labels) env=testing,region=am,service=ssh
Successfully enrolled node: 688fa3e2-035e-40fb-88e6-2869b6025014
  • Enroll Key - используется только при регистрации
  • Data directory - каталог где будут сохранены SSH ключи и сертификаты (по умолчанию /var/lib/tuna-bastion/data)
  • Listen SSH port - порт который будет локально слушать tuna-bastion сервер. По умолчанию мы предлагаем использовать порт 993 (IMAPs) ибо как правило он открыт в корпоративных фаерволах изначально.
  • Advertise Address - адрес который будет зарегистрирован в API и на него будет выписан сертификат.
  • Hostname - имя сервера, будет записано в API и сертификате, нельзя сменить.
  • Labels - метки сервера, пометками можно настраивать роли доступа, их в случае необходимости можно будет переопределить в конфиг файле /etc/tuna-bastion/config.yaml.

Запуск

Запустите сервер

systemctl enable --now --no-block tuna-bastion.service

Если всё в порядке вы увидите, что сервер теперь доступен на этой странице. В случае неполадок смотрите логи сервера.

journalctl -o short -n 100 -f -u tuna-bastion.service