ssh port forwarding / risco de segurança

Navegue suas respostas
2

Eu quero acessar um aplicativo da Web em execução em um servidor da web atrás do firewall do meu escritório a partir de uma máquina externa.

Temos um host bastion rodando o sshd que é acessível pela Internet.

Eu quero saber se esta solução é uma má ideia:

  • Crie uma conta no host de bastiões com shell = / bin / false e sem senha ('testuser')
  • Crie uma chave RSA ssh na máquina externa
  • Adicione a chave pública RSA ao arquivo authorized_keys do testador
  • ssh para o host bastião do host externo usando: ssh -N 8888: targethost: 80
  • execute meus testes a partir do host externo
  • encerre o túnel ssh

Eu entendo que se minha chave privada RSA fosse comprometida, alguém poderia ssh para o host do bastião. Mas existem outras razões pelas quais esta solução é uma má ideia?

obrigado!

    
por user39832 06.04.2010 / 17:05

3 respostas

5

Acho que esta é uma configuração bastante segura, eu mesmo a uso. Você precisará adicionar '-L' ao seu comando: 

ssh -N -L 8888:targethost:80

Contanto que você não use a opção '-g', somente sua máquina cliente poderá acessar a porta.

O que eu recomendaria também é fazer com que o sshd no host bastion ouça em uma porta não padrão. Se você estiver ouvindo em uma porta padrão, o tráfego de ataque às vezes pode consumir quantidades consideráveis de CPU.

Escolha também uma boa senha para sua chave ssh e insira-a somente em máquinas confiáveis. De preferência, Linux, é menos trivial instalar keyloggers no Linux.

    
por 06.04.2010 / 17:11
0

Eu não acho que seja necessariamente uma má ideia. Coloque o SSH em uma porta diferente de 22 e você tornará um pouco mais obscuro para os kiddies de script localizarem, e se você estiver testando a partir de um laptop externamente, eu criptografaria as coisas na unidade, por isso, se ele for roubado / perdido / perdido etc. você não precisa se preocupar com os dados sendo comprometidos. Caso contrário, os túneis devem ajudar a manter as coisas sendo interceptadas entre o host bastion e o laptop nos webbertubes públicos.

    
por 06.04.2010 / 17:13
0

Stunnel pode ser uma boa alternativa. Você não precisaria de uma conta na máquina e ainda pode autenticar o cliente com um certificado.

    
por 06.04.2010 / 18:25

Tags

Crescimento rápido da tabela de páginas Prática recomendada para sincronização do relógio do sistema no host KVM