У меня есть машина за большим брандмауэром, и я хочу иметь возможность получить к ней доступ через ssh, не пробивая дыру в брандмауэре.

Итак, я переворачиваю SSH с компьютера за брандмауэром на свой частный сервер. Затем я могу просто подключиться к своему частному серверу и подключиться к машине, к которой я пытаюсь получить доступ.

Однако с этим есть небольшая проблема безопасности. Чтобы получить доступ к машине за брандмауэром, мне нужно пройти аутентификацию только на своем частном сервере, когда я хочу также пройти аутентификацию на машине за брандмауэром (личный ключ или пароль).

Есть ли способ сделать это? Я не считаю, что мой частный сервер чрезвычайно безопасен, поэтому я бы хотел сохранить уровень защиты sshd от машины за брандмауэром.

(На самом деле, вам даже нужно пройти аутентификацию на частном сервере? Я думаю, что, возможно, нет, так что это большая дыра, чем я думал)

2 ответа2

0

Я думаю, пытаясь избежать «дыры» в брандмауэре, вы делаете решение более неясным и менее безопасным, поскольку ваш не «чрезвычайно безопасный» сервер становится ключами к королевству.

Лично я чувствовал бы себя намного безопаснее с ssh, перенаправленным через брандмауэр на сервер, к которому вы в конечном итоге хотите получить доступ. В идеале этот сервер должен разрешать только аутентификацию с закрытым ключом, не разрешать вход в систему root и, возможно, скорость соединения ssh ограничена в iptables.

Помните, что shh должен быть безопасным и использоваться правильно. Я не могу придумать причину, по которой вам нужен «большой брандмауэр».

0

Если внутренний сервер слишком чувствителен, чтобы открываться напрямую в Интернет, то создание постоянного доступа к нему через небезопасное внешнее устройство снижает вашу безопасность.

Если этот сервер должен быть доступен извне, идеальным сценарием будет использование VPN на сайте, где он находится, с использованием стандартных двухфакторных методов аутентификации и ограничения доступа к определенным IP-адресам.

Выбранный вами метод эффективно расширяет ваш периметр безопасности, где бы ни находился "частный сервер", и архитектуру безопасности, используемую для его защиты.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .