Настройка
Регистрация
После установки нужно зарегистрировать сервер. В этот момент сервер генерирует локально SSH ключи и подписывает свои сертификаты в API Tuna.
tuna-bastion enroll --key <your_enroll_key>
note
Как получить ключ для регистрации сервера, описано тут.
Если все обязательные ключи не указаны, то вы увидите консольное меню:
? Enroll Key (--key) 3678287f-93ea-4ebe-8478-4d9e9f28d95d
? Data directory (--data-dir) /var/lib/tuna-bastion/data
? Listen SSH port (--ssh-port) 993
? Advertise Address (--advertise-address) 1.2.3.4:993
? Hostname (--hostname) server-1
? Labels (--labels) env=testing,region=am,service=ssh
Successfully enrolled node: 688fa3e2-035e-40fb-88e6-2869b6025014
- Enroll Key - используется только при регистрации
- Data directory - каталог где будут сохранены SSH ключи и сертификаты (по умолчанию
/var/lib/tuna-bastion/data) - Listen SSH port - порт который будет локально слушать
tuna-bastionсервер. По умолчанию мы предлагаем использовать порт993(IMAPs) ибо как правило он открыт в корпоративных фаерволах изначально. - Advertise Address - адрес который будет з�арегистрирован в API и на него будет выписан сертификат.
- Hostname - имя сервера, будет записано в API и сертификате, нельзя сменить.
- Labels - метки сервера, пометками можно настраивать роли доступа, их в случае необходимости можно будет переопределить в конфиг файле
/etc/tuna-bastion/config.yaml.
Запуск
Запустите сервер
systemctl enable --now --no-block tuna-bastion.service
Если всё в порядке вы увидите, что сервер теперь доступен на этой странице. В случае неполадок смотрите логи сервера.
journalctl -o short -n 100 -f -u tuna-bastion.service