我有一台机器位于一个大防火墙后面,我希望能够通过 ssh 访问它,而无需突破防火墙。
因此,我从防火墙后面的机器反向 SSH 进入我的私有服务器。然后,我只需 SSH 进入我的私有服务器,并通过隧道进入我试图访问的机器即可。
不过,这样做存在一个小的安全问题。要访问防火墙后面的机器,我只需向我的私人服务器进行身份验证,而我还想向防火墙后面的机器进行身份验证(私钥或密码)。
有办法吗?我不认为我的私人服务器非常安全,所以我想保留防火墙后面机器的 sshd 保护层。
(实际上,你真的需要验证进入私人服务器吗?我认为可能不需要,所以这个漏洞比我想象的还要大)
答案1
我认为,在试图避免在防火墙上戳一个“漏洞”时,您会使解决方案变得更加模糊和不安全,因为您不“极其安全”的服务器成为了王国的钥匙。
我个人认为通过防火墙将 ssh 转发到您最终想要访问的服务器会更安全。理想情况下,该服务器应仅允许私钥身份验证,而不允许 root 登录,并且可能在 iptables 中限制 ssh 连接速率。
请记住,shh 应该是安全的,并且正确使用,我想不出您需要“大防火墙”的任何理由。
答案2
如果内部服务器过于敏感,无法直接向互联网开放,那么通过不安全的外部设备建立永久可访问的连接会降低您的安全态势。
如果该服务器需要从外部访问,理想的情况是使用 VPN 进入其所在的站点,使用行业标准的双因素身份验证方法,并限制对特定 IP 地址的访问。
您选择的方法可以有效地将您的安全范围扩展到“私人服务器”所在的任何地方,以及用于保护它的安全架构。