在排除连接问题时,我们的网络团队缺乏在我们的服务器(Windows 和 RHEL)上连接和测试连接性的权限(例如,在调整防火墙规则时,票据会来回跳动,因为他们修改了某些内容,然后我们测试,然后他们调整它,然后我们再次测试,等等),这大大延长了故障排除的时间。有没有办法可以允许他们从有问题的服务器运行这些工具,同时将安全风险降至最低?
我知道如果我启用了 TELNET 或 SSH,他们就可以做到这一点,并且他们可以获得命令行访问权限,但我不想打开那么大的缺口。是否有一个小型的“基本网络工具”包可以安装在我的服务器上,可以通过 Web 界面或 TELNET 访问?只是让他们可以选择从该服务器进行 PING,测试通过端口到其他位置的连接等。
如果有其他解决方案或者我遗漏了一些明显的内容,请告诉我。
答案1
这实际上取决于你对他们的信任程度。
选项 1 - 继续自己做
如果你根本不信任他们,就不要给他们任何访问权限……尽管事实上,他们控制着你的防火墙,所以你必须至少在一定程度上信任他们。不过,没有什么比完全不给他们访问权限更安全了。
选项 2 - 给他们一个非常有限的账户
如果您相信他们不会做任何恶意的事情(但不相信他们不会做任何愚蠢的事情),请为他们提供一个 chrooted shell,其中复制了 ping 和 traceroute,他们可以通过 SSH 进入并运行测试。根据您设置的程度,它可以是瑞士奶酪到相当安全的任何地方。但即使它不是坚不可摧的,也可以阻止他们意外造成任何伤害。(我假设这里是 linux,因为您提到了 SSH...据我所知,windows 没有很好的等效物)。
这相当容易设置,但需要网络团队登录并自己运行命令。
选项 3 - 基于 Web 的跟踪路由
既然您提到让他们登录服务器可能会有社会/政治问题,那么另一个选择可能是设置一个非常简单的网站(如果这些是网络服务器,则在现有网站上设置一个文件夹),其中包含一个将运行 traceroute 和 ping(仅运行其他操作)的页面。例如http://tracert.com/,但从您自己的服务器运行。您可以将其限制为特定范围的源 IP 地址,或者在需要时要求输入用户名/密码才能访问页面。
如果您采用该方法,您可以通过搜索“基于 Web 的 traceroute php”之类的内容找到一些有用的现有脚本,或者您可以编写自己的脚本,只要您小心正确地转义用户输入即可。
这对他们来说是最简单和最快捷的使用方式,并且通过控制网络,他们获得的访问权限不会比他们已经拥有的访问权限多多少。
您甚至可以提前为他们做好准备 - 如果您想要允许从服务器 example.com 到 192.168.55.100 的出站流量,您可以向他们发送如下票:
请更改防火墙以允许我们连接到 192.168.55.100。您能否通过单击此链接并检查我们是否可以 ping 通它来检查它是否正常工作? http://example.com/networktools/ping.php?ip=192.168.55.100
根据信任级别,您还可以包含 nmap 之类的工具,以便他们可以验证端口是否可访问。