我有一组运行 Ubuntu 12.04 的分布式设备,我将其分发给客户。我想远程管理它们。它们可能没有固定 IP,并且可能位于防火墙后面。
我计划做的是让设备(永久连接到网络)轮询请求 URL,并根据响应打开到我的服务器的反向隧道,以便我可以通过该隧道访问它们。
我读到的关于 SSH 反向隧道的文章大多针对单一用例,很少涉及大量生产用途。这其中有什么原因吗?安全问题?还是稳定性问题?
如能提供任何帮助我将非常感激。
答案1
我以前见过一些公司这样做。Barracuda Networks 使用内置于其 UI 中的“支持隧道”,基本上创建了一个反向 SSH 隧道。如果您更喜欢更自主的东西,那么请谷歌搜索“持久 ssh 隧道”。那里有很多 shell 脚本。
请记住,如果您的支持服务器上的反向 SSH 端口可在互联网上访问,那么您将使您的客户/用户面临他们可能没有“注册”的安全漏洞。我还会将私钥管理作为高优先级。如果您对所有设备使用相同的 PK,并且该私钥被泄露,那么每个人都会受到威胁。
我个人曾使用 OpenVPN 作为支持隧道(证书认证)。该服务已经是持久的(开箱即用),并且非常容易设置。同样,密钥管理始终是重中之重。每个人都会获得不同的证书。如果情况变糟,我可以随时撤销证书。我还隔离了我的客户端,这样他们就无法看到/交谈。
祝你好运!