criptografia de estilo onion em comandos multi-hop ssh

Question

criptografia de estilo onion em comandos multi-hop ssh

#1 resposta do (1 votos)
#2 resposta do (0 votos)

0

No que poderíamos chamar de o exemplo canônico do multi-hop ssh , podemos ver que os seguintes O comando rotearia o tráfego ssh do usuário por três nós consecutivos (fictícios):

ssh ruapehu.example.com ssh aoraki ssh tongariro

chamado ruapehu.example.com , aoraki e tongariro . O exemplo simplifica a configuração usando comandos proxy. Uma fraqueza no esquema é que os dois primeiros nós podem ler o tráfego, enquanto seria melhor se eles não pudessem fazê-lo. Se conseguirmos introduzir os comandos [criptografar] e [descriptografar] na cadeia, poderemos chegar perto do que a rede tor faz. Outro problema é como introduzir o encaminhamento de porta na cadeia de múltiplos saltos? O seguinte obviamente não funcionará, mas é basicamente o que eu gostaria de fazer:

[encrypt] ssh ruapehu.example.com ssh aoraki ssh tongariro [decrypt] -L 80:somesite.com:80

Alguém poderia fazer algo assim funcionar?

ssh networking proxy encryption linux

por erik 15.11.2015 / 05:42

2 respostas

Tags ssh networking proxy encryption linux

ISP - Vários modems? Como iniciar o minecraft 1.8.5 a partir da linha de comando

score 1 · Answer 1

Você fez duas perguntas:

Como podemos garantir que o tráfego nos hosts intermediários não seja "farejado"?

A resposta é que você não precisa fazer nada. A conexão EACH ssh é criptografada. O tráfego "visto" por ruapehu e aoraki não está desimpedido. Você não precisa adicionar nenhuma camada de criptografia adicional.

Como você pode habilitar o encaminhamento de porta para o destino?

A resposta mais fácil é usar o arquivo ~/.ssh/config e adicionar uma diretiva apenas ao destino, como em (emprestado da sua própria referência, adicionando apenas a linha última ):

Host ruapehu
  HostName ruapehu.example.com

Host aoraki
  ProxyCommand ssh -q ruapehu nc -q0 aoraki 22

Host tongariro
  LocalForward 80:somesite.com:80
  ProxyCommand ssh -q aoraki nc -q0 %h 22

Ou seja, supondo que você pode abrir a porta 80 em seu host local, caso contrário, você pode ter que usar uma porta sem privilégios, algo acima de 1024 (dependendo do seu host e configuração).

score 0 · Answer 2

Se você criar uma porta encaminhada da sua máquina para a máquina de destino em uma etapa e, em seguida, emitir a conexão SSH por essa porta encaminhada, você basicamente verá o que descreveu em seu último exemplo.

Crie o encaminhamento de porta:

# jump from aoraki -> tongariro
ssh ruapehu.example.com "ssh -L 2222:tongariro:22 aoraki" 
# jump from ruapehu.example.com -> aoraki
ssh -L ruapehu.example.com:2222:aoraki:2222 ruapehu.example.com

Isto espera que você tenha configurado seu servidor com o GatewayPorts apropriado, assim você poderá ligar a porta 2222 de fora.

Inicie a nova conexão ssh com o servidor de destino:
```
ssh -p 2222 ruapehu.example.com
```
Esta conexão será criptografada em todas as etapas intermediárias e você também pode configurar outro encaminhamento de porta através dela.