我想看看是否可以检测何时使用跳转服务器。
想象一下以下场景:
Client -(ssh)-> JumpServer -(ssh)-> Server
是否有任何日志或任何东西(可能是IP地址)存储在连接到它的Server显示器上Client,或者它只会看到连接JumpServer到它并且完全没有Client用于JumpServer连接的线索
答案1
简单的答案是不,最终端点服务器上没有存储原始客户端的记录。服务器只能检测直接连接到它的 IP 地址以及连接凭据(用户、密码或公钥)。从服务器的角度来看,用户是从跳转主机登录的。
唯一可能存在的记录是在跳转主机上。尽管默认情况下,即使这样也可能不会留下任何痕迹。默认情况下,它会记录客户端登录,但不会记录转发到终端服务器的连接。
有趣的事实这就是为什么黑客一直试图登录到他们能找到的任何不安全的 SSH 服务器……从那里可以进行更严重的攻击,并使受感染的机器看起来像是受到攻击的罪魁祸首。