Швидке запитання - я запускаю два вікна Linux, один власний робочий стіл та інший VPS. З міркувань безпеки на кінці VPS я вибрав підключення сокета до MySQL ( /var/run/mysqld/mysql.sock). Я знаю, що можу зробити тунель так: ssh -L 3307:127.0.0.1:3306 user@site.comякщо я встановив віддалений сервер sql для прослуховування на якомусь порті, але те, що я хочу знати, чи можу я зробити щось на кшталт: ssh -L /path/to/myremotesqlserver.sock:/var/run/mysqld/mysql.sockтим самим тунелювання двох сокетів, на відміну від двох портів?

Ідеально прийнятним рішенням буде також пересилання локального порту на файл віддаленого сокета, але там, де це можливо, я намагаюся не мати серверів tcp, які працюють на віддаленій коробці.

(і так, я знаю, що tcp було б простіше).

Надішліть місцеву розетку на вимогу

• Установіть автентифікацію відкритого ключа SSH
• Встановіть socatз обох кінців
• створити локальний каталог для своїх сокетів, недоступний для інших користувачів.

export SOCKET_DIR=~/.remote-sockets
mkdir -p $SOCKET_DIR
socat "UNIX-LISTEN:$SOCKET_DIR/mysqld.sock,reuseaddr,fork" \
EXEC:'ssh user@server socat STDIO UNIX-CONNECT\:/var/run/mysqld/mysqld.sock'

потім

mysql -S $SOCKET_DIR/mysqld.sock -u mysqluser -p

викрадені з переадресації сокетів домену unix з ssh та socat

Хоча в той час, коли було задано питання, це було справді неможливо, але це можливо і сьогодні.

Ви можете обидва: UNIX => TCP та UNIX => переадресація UNIX.

Наприклад:

ssh \
  -R/var/run/mysql.sock:/var/run/mysql.sock \
  -R127.0.0.1:3306:/var/run/mysql.sock \
  somehost

Це можливо з OpenSSH 6.7.

я цього не робив, але спробував би з socat . можливо щось на кшталт:

ssh xxx@yyy.zzz -L 9999:localhost:9999 "socat TCP-LISTEN:localhost:9999 UNIX-CONNECT:/var/run/mysqld/mysql.sock"
socat UNIX-LISTEN:/path/to/local/socket TCP:localhost:9999

знову ж таки, я ніколи нічого подібного не робив.

Більше socat більше не потрібен, оскільки ssh 6.7. Ви можете пересилати Unix доменні розетки безпосередньо так:

ssh -nNT -L $(pwd)/docker.sock:/var/run/docker.sock user@someremote

Більше інформації: https://medium.com/@dperny/forwarding-the-docker-socket-over-ssh-e6567cfab160

Ще одна модифікація відповіді @mpontes / @ javier на це

ssh user@remoteserver -L 9999:localhost:9999 'socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock& pid=$!; trap "kill $pid" 0; while echo -ne " \b"; do sleep 5; done'

Очисник

ssh user@remoteserver -L 9999:localhost:9999 '
  socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock&
  pid=$!
  trap "kill $pid" 0
  while echo -ne " \b"; do
    sleep 5
  done
'

ПРОС

1. Працює з opensh раніше, ніж 6,7 (як CentOS 7)
2. Вбиває socat під час припинення ssh замість того, щоб повторно виконувати ssh на віддалений сервер
3. Дозволяє непублічний ssh ​​логін (на відміну від ijk рішення)

Особливість

1. Оскільки -fпараметр не використовується, ви можете або використовувати відкритий ключ, і запускати у фоновому режимі через, &або ви можете ввійти в систему інтерактивно, використовувати Ctrl + Z і використовувати те саме, $!щоб зберігати pid.

КОНС

1. Неможливо легко скористатися параметром -fssh, оскільки таким чином ти втратиш приріст ssh. Цей метод залежить від запуску на передньому плані та Ctrl + C для вбивства.
2. Набагато складніше

Пояснення

• socat ...& - запустити socat у фоновому режимі на віддаленому сервері
• pid=$! - зберігати під
• trap kill\ $pid 0- запустити kill $pidна припинення bash
• while :; sleep... - сидіти в нескінченній петлі
• echo -ne \ \b- Ехо-простір з подальшим зворотним простором. Це не вдається, як тільки SSH відключено. З sleep 5, це означає, що socatпісля ssh може працювати до 5 секунд

Примітка: На насправді протестовані з використанням докер, порт 2375, /var/run/docker.sockі змінну оточення DOCKER_HOST='tcp://localhost:2375', але повинні працювати для всіх MySQL те ж саме

Оновлення

Використовуючи управління SSH , ви можете використовувати -fпрапор, використовуючи мій спосіб, просто додайте наступні прапори

-f -o ControlPath=~/.ssh/%C -o ControlMaster=auto

І отримаєш

ssh -f -o ControlPath=~/.ssh/%C -o ControlMaster=auto user@remoteserver -L 9999:localhost:9999 'set -m; socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock& pid=$!; trap "kill $pid" 0; while echo -ne " \b"; do sleep 5; done'

Тепер ви можете скасувати всі контрольовані сеанси за допомогою

ssh -o ControlPath=~/.ssh/%C -O exit remoteserver

Ці -oпараметри можуть бути збережені в вашому .ssh/configфайлі, або ви можете використовувати замість -S (але все одно потрібно -o ControlMaster)

Розуміючи відповідь Хав'єра, це працює для мене:

ssh -f xxx@yyy.zzz -L 9999:localhost:9999 "socat TCP-LISTEN:9999,fork,bind=localhost UNIX-CONNECT:/var/run/mysqld/mysql.sock"

Вам потрібно forkдля того, щоб мати можливість підключитися кілька разів, не вмираючи socat, як тільки ви закриєте перше з'єднання. Крім того, спосіб socat дозволяє вам вказати адресу для прив'язки через bindопцію, а не як адресу перед портом.

Після цього просто підключіться до localhost:9999звичайного способу, як би ви хотіли. Потім, щоб зняти тунель:

ssh -f xxx@yyy.zzz "killall socat"

(або щось подібне, ви можете зробити більш детальні речі, які передбачають збереження PID соца)

Так, ви можете використовувати socat.

Спочатку зробіть тунель TCP з SSH. Потім використовуйте socat так:

socat unix-liste: /var/run/mysqld/mysqld.sock,fork,unlink-early tcp: 127.0.0.1: 3306

Потім надайте дозволи новому створеному сокету (може бути chmod 777)