当任何人都可以访问该服务器时,SSH 隧道的目的是什么?

当任何人都可以访问该服务器时,SSH 隧道的目的是什么?

我来解释一下我们公司的情况。

我们使用VPN。

然后,我们使用远程桌面连接 RDP 并连接到服务器。

从该服务器,我们使用 SSH 访问其他远程应用程序服务器(仅 SSH,无隧道)。 (我们的工作是linuxadmin的)

为了连接到数据库,我们需要创建一个到数据库的 SSH 隧道。

我问了我的经理,但他也不太清楚,或者可能是我没有抓住重点。我不明白 SSH 隧道的意义。为什么不能直接访问? SSH隧道在安全性方面有什么不同,因为如果我没记错的话,几乎每个在同一VPN下访问应用程序服务器的人都可以通过SSH隧道访问该数据库。

SSH 隧道在这种情况下有什么优势吗?

我没有看到 SSH 隧道在这种情况下解决的问题。

答案1

来自评论

您可以使用 VPN 直接连接到数据库吗?如果你不能,这就是答案。 – 安纳赫里

不可以。但是任何有权访问该应用程序服务器的人(即具有 VPN 访问权限的人)都无法建立隧道吗? – 泽山塞赫

通常,访问 VPN 与通过 SSH 访问[虚拟]服务器不同。尽管您和您的同事可能同时获得了两者,但其他人可能只获得了其中之一。

答案可能只是最小化攻击面的原则。数据库可能已设置防火墙或以其他方式配置,以便只有来自应用程序服务器的连接才能访问它。同样,应用程序服务器可能限制 ssh 访问,以便只有 VPN 客户端才能访问 SSH。

在这种情况下,听起来 SSH 隧道是开发人员协商通过网络限制的一种方式,他们本身并不是为了增加安全性。也就是说,重点是限制而不是隧道。

答案2

您可以使用防火墙(iptables模块owner)或网络命名空间(对其他人不可见的接口)来限制谁可以使用 SSHtun接口。

相关内容