我来解释一下我们公司的情况。
我们使用VPN。
然后,我们使用远程桌面连接 RDP 并连接到服务器。
从该服务器,我们使用 SSH 访问其他远程应用程序服务器(仅 SSH,无隧道)。 (我们的工作是linuxadmin的)
为了连接到数据库,我们需要创建一个到数据库的 SSH 隧道。
我问了我的经理,但他也不太清楚,或者可能是我没有抓住重点。我不明白 SSH 隧道的意义。为什么不能直接访问? SSH隧道在安全性方面有什么不同,因为如果我没记错的话,几乎每个在同一VPN下访问应用程序服务器的人都可以通过SSH隧道访问该数据库。
SSH 隧道在这种情况下有什么优势吗?
我没有看到 SSH 隧道在这种情况下解决的问题。
答案1
来自评论
您可以使用 VPN 直接连接到数据库吗?如果你不能,这就是答案。 – 安纳赫里
不可以。但是任何有权访问该应用程序服务器的人(即具有 VPN 访问权限的人)都无法建立隧道吗? – 泽山塞赫
通常,访问 VPN 与通过 SSH 访问[虚拟]服务器不同。尽管您和您的同事可能同时获得了两者,但其他人可能只获得了其中之一。
答案可能只是最小化攻击面的原则。数据库可能已设置防火墙或以其他方式配置,以便只有来自应用程序服务器的连接才能访问它。同样,应用程序服务器可能限制 ssh 访问,以便只有 VPN 客户端才能访问 SSH。
在这种情况下,听起来 SSH 隧道是开发人员协商通过网络限制的一种方式,他们本身并不是为了增加安全性。也就是说,重点是限制而不是隧道。
答案2
您可以使用防火墙(iptables
模块owner
)或网络命名空间(对其他人不可见的接口)来限制谁可以使用 SSHtun
接口。