Como adicionar autenticação ao encaminhamento dinâmico de porta ssh?

Navegue suas respostas
3

Estou usando ssh client como SOCKS server executando no servidor remoto neste comando: 

ssh -f2qTnND *:1080 some-server-user@localhost

Há apenas um problema aqui: qualquer pessoa pode se conectar ao servidor e usá-lo na conexão com a Internet.

Opções:

  • Para usar iptables para filtrar o acesso ao servidor remoto , mas os clientes se conectam ao servidor a partir de vários endereços IP alocados estaticamente, para que os filtros sejam editados com muita frequência, o que é estranho .
  • Para instalar um servidor SOCKS no servidor remoto (por exemplo, Dante ). Em última análise, esta é a última opção, se não houver outra maneira mais simples de fazê-lo.
  • Iniciando o comando em clientes em vez de servidor remoto . O problema aqui é que alguns clientes não são executados em Linux e é estranho configurar o túnel novamente (por exemplo, Windows + Putty ). Também é mais difícil para os usuários finais configurarem seu servidor SOCKS local (por exemplo, lembrando o comando, digitando erros).

Existe uma maneira de adicionar autenticação a um servidor SOCKS feito usando ssh client?

Pergunta de bônus : Como adicionar criptografia entre o cliente e o servidor (feita usando ssh client)?

    
por Aalex Gabi 14.10.2012 / 02:32

2 respostas

1

Você está dizendo que é estranho fazer um túnel no Windows. Tente Bitvise Tunnelier , é muito fácil de usar.

Não há autenticação de usuário disponível no servidor de meias do cliente OpenSSH.

Bonus question: How to add encryption between the client and the server (made using SSH)?

O SSH já está criptografado e é inútil para você, já que você está se conectando ao host local. É melhor desativar a criptografia para obter mais velocidade. Não há criptografia para meias, se houver, provavelmente não funcionará para a maioria dos clientes.

    
por 14.10.2012 / 05:01
2

O SSH é sua autenticação

Se você quiser que somente o host local acesse,

ssh -D localhost: port usuário @ host

Isso garante que apenas programas locais possam acessar a porta. vs *:porta Isso é obrigatório para o localhost e todos os seus endereços.

Se você quiser reduzir as tentativas de login no seu ssh, apenas altere a porta padrão e limite a taxa com iptables,

Eu também recomendaria configurar o link

do fail2ban

Por que adicionar um nível extra de autenticação no topo? Se você é muito preguiçoso, basta configurar o par de chaves ssh e um atalho para o putty com as configurações necessárias.

    
por 14.10.2012 / 03:10

Tags

Como posso redimensionar meu volume lógico no CentOS6? FPM às vezes servindo de pool errado