设置 ssh 身份验证服务器

设置 ssh 身份验证服务器

我有大约 30 台 Media Temple 网格服务器,我需要管理 15 位左右开发人员对这些服务器的访问。是否可以设置一台服务器,让其唯一作用是充当代理,而且更重要的是,这样安全吗?开发人员将登录该服务器,然后从那里建立到目的地的隧道。我希望这样设置,这样他们就不需要知道密码或拥有最终目标服务器的 RSA 密钥 - 这些将存储在身份验证服务器上。他们将使用自己的用户名和密码登录代理,如果他们对身份验证服务器的访问被切断,他们将无法登录任何网格服务器。代理将记录通过它的所有流量。作为最后的强化步骤,我希望将网格服务器设置为不接受来自身份验证服务器 IP 以外的任何地方的 ssh 登录尝试。

如果需要,我可以管理开发人员的笔记本电脑以更改他们的 ssh 配置文件。

这个方案是否可行且安全?

答案1

是的,你可以这样做;这种设置通常被称为堡垒主机或者跳转主机

然而,在实施任何安全措施时,建立一个明确的威胁模型是很有用的:您要防范哪些攻击?是防止现任员工做不该做的事情(可能是无意的)?是防止前任员工使用旧凭证访问系统?是外部攻击者强行进入系统?

相关内容