Pular para o conteúdo principal
Version: 3.22

Terminal Proxy

O senhasegura Terminal Proxy é um serviço SSH operando na porta 22 padrão que autentica o usuário do senhasegura usando a mesma conta que o usuário usa na interface web. Este login respeita o mesmo bloqueio de conta e as mesmas configurações 2FA.

caution

O senhasegura se autentica no dispositivo de destino utilizando os protocolos nativos da sessão solicitada. Entregando ao usuário uma sessão já autenticada, sem risco de expor a credencial usada.

Terminal senhasegura

Ao fazer login no servidor senhasegura usando SSH, o usuário será direcionado para o prompt padrão conforme abaixo.

Proxy terminal

Este terminal simplificado tem apenas comandos para iniciar uma sessão proxy para um dispositivo remoto e transferir arquivos entre o dispositivo de origem e o dispositivo de destino. Use o comando help para listar os comandos disponíveis.

Para listar as credenciais de acesso, use o comando list.

Credenciais de acesso à lista

Observe que a conectividade disponível é exibida na primeira coluna, e dados de acesso como Nome do usuário, Hostname , e IP são listados a seguir.

caution

Credenciais de domínio não são listadas através deste comando. Para realizar o acesso com credenciais de domínio é necessário utilizar a seguinte sintaxe: ssh dominio\usuário@servidor

tip

Para vizualizar o acesso do usuário é necessário utilizar a seguinte sintaxe: list username –related Assim serão verificados todos os dispositivos que uma determinada conta tem acesso.

Para vizualizar o acesso do domínio é necessário utilizar a seguinte sintaxe: list domain –related Permite ao usuário verificar todos os domínios que determinada credencial de domínio tem acesso ou usuário.

Terminal connection

SSH Connection

Para fazer uma conexão SSH a um dispositivo que tenha esta conectividade ligada a uma credencial válida, execute o comando ssh seguido da credencial e do dispositivo como faria em uma conexão SSH padrão. Exemplo: ssh usr01@mylinuxserver ou ssh usr01@172.18.50.201.

Conexão SSH

Acesso usando chave ssh

Para realizar um acesso com chaves ssh use a seguinte sintaxe, substituindo as seguintes strings por:

keyValue: valor da chave ssh

valtServer: instância senhasegura

targetDevice: dispositivo que você deseja acessar

Acessando a instância;

ssh keyValue@valtServer

Acessando outro dispositivo;

ssh key keyValue@targetDevice

Acessando outro dispositivo ou quando uma chave e credencial possuírem o mesmo nome.

ssh key\keyValue@targetDevice

Acesso usando Multihop

Para facilitar o acesso ao dispositivo de destino em aplicativos que não fornecem prompts interativos é usado o Multihop para conectar diretamente ao destino sem a necessidade de executar etapas adicionais. Para os exemplos use:

  • valtUser: usuário senhasegura

  • valtServer: instância senhasegura

  • targetUser: credencial que você deseja usar para acesso

  • targetServer: servidor que você deseja acessar

Sequência de conexão padrão apenas com o usuário e o servidor senhasegura

 valtUser@valtServer

Conexão contendo o usuário e o servidor de destino

Neste exemplo, o senhasegura se conectará diretamente ao servidor de destino sem entregar o terminal intermediário. A credencial e o dispositivo de destino estão entre colchetes.

 valtUser[targetUser@targetServer]@valtServer
Conexão contendo o usuário e o servidor senhasegura

Multihop connection containing the OTP token

valtUser[targetUser@targetServer]2faToken@valtServer
Multihop connection containing the OTP token exemple

TELNET Connection

Para sessões TELNET, basta executar o comando telnet seguido da credencial e do dispositivo da mesma forma. Exemplo: telnet admin@myrouter.

Transferência de arquivos

caution

Para a transferência de arquivos diretamente ao servidor destino, é obrigatório o uso de conexão multihop, pois os binários que trafegam sob SFTP não têm uma maneira de interagir com o terminal intermediário.

Devido às limitações do protocolo, o usuário não pode usar uma credencial pessoal com a transferência do arquivo. Somente com uma credencial que esteja cadastrada no senhasegura.

A imagem proxy-terminal-200 usa o programa WinSCP como um exemplo.

O programa WinSCP como exemplo
O programa WinSCP como exemplo

O próximo exemplo abaixo usa uma versão de linha de comando do SFTP.

O programa WinSCP como exemplo
info

Se o usuário tiver um token OTP configurado, faça uso do token na cadeia de conexão.

Transfer with SCP

Para transferir um arquivo usando SCP de uma estação de trabalho para um servidor de destino, são necessárias duas etapas.

  1. Na primeira etapa, o arquivo é carregado no senhasegura usando o proxy do terminal do usuário.

  2. Segundo passo, o usuário deve se conectar ao senhasegura Terminal Proxy para fazer upload do mesmo arquivo para um servidor de destino.

Para usar o comando scp, use a sintaxe abaixo, substituindo as strings por:

  • fileName: Arquivo a ser transferido

  • vaultServer: instância senhasegura

  • vaultUser: credencial que autenticará na instância senhasegura

  • fileDestination: Local para onde o arquivo deve ser transferido

Fazendo upload de um arquivo para a instância senhasegura

scp fileName vaultUser@vaultServer

Baixando um arquivo da instância senhasegura para a estação de trabalho do solicitante

scp vaultUser@vaultServer:fileName fileDestination
caution

A sintaxe SCP não suporta cadeia de conexão multihop, tornando essas duas etapas obrigatórias. Use a transferência SFTP para uma melhor experiência.

Elevação automatizada de privilégios

O senhasegura pode permitir que o usuário execute tarefas elevadas, como SUDO, sem precisar saber a senha da credencial. Nesses casos, o usuário terá sua interatividade capturada e o senhasegura realizará a elevação utilizando a mesma credencial utilizada para autenticar no dispositivo alvo.

Observe neste primeiro exemplo que o usuário executa um supercomando sem precisar digitar a senha da credencial.

Exemplo de super comando

Se a elevação de privilégios for inativada na sessão, a senha de credencial do dispositivo é solicitada.

A elevação do privilégio é um exemplo inativado

Bloqueio de interatividade e logout obrigatório

Se o administrador ativar o bloqueio de interatividade, o usuário operador será avisado por uma mensagem no canto superior direito.

Exemplo de bloqueio de interatividade

E, se o administrador sair obrigatoriamente da sessão, o usuário também é avisado.

Alerta de logout obrigatoriamente da sessão