我有大约 30 台 Media Temple 网格服务器,我需要管理 15 位左右开发人员对这些服务器的访问。是否可以设置一台服务器,让其唯一作用是充当代理,而且更重要的是,这样安全吗?开发人员将登录该服务器,然后从那里建立到目的地的隧道。我希望这样设置,这样他们就不需要知道密码或拥有最终目标服务器的 RSA 密钥 - 这些将存储在身份验证服务器上。他们将使用自己的用户名和密码登录代理,如果他们对身份验证服务器的访问被切断,他们将无法登录任何网格服务器。代理将记录通过它的所有流量。作为最后的强化步骤,我希望将网格服务器设置为不接受来自身份验证服务器 IP 以外的任何地方的 ssh 登录尝试。
如果需要,我可以管理开发人员的笔记本电脑以更改他们的 ssh 配置文件。
这个方案是否可行且安全?