Compartilhe arquivos sobre o Samba de uma montagem remota sobre o ssh. Boa ideia? Melhor pratica?

1

Eu preciso de alguns usuários trabalhando em suas casas para acessar muitos arquivos (não muito grandes, mas muitos deles), facilmente com mais de 18 TB de arquivos. O problema é que esses usuários não estão trabalhando 100% para nós, e precisamos de uma maneira de isolar suas máquinas o máximo possível de nós.

Eu sei que existem outras maneiras de conseguir isso, mas eu gostaria de explorar essa.

Minha ideia é:

Dê a eles uma pequena máquina virtual para executar localmente em seus computadores. Essa VM será configurada para:

  • Tenha poucos recursos (estou pensando em uma instalação mínima do CentOS para levar apenas talvez 256MB de RAM ou mais).
  • Seja bloqueado, criptografado e incapaz de se conectar com qualquer coisa, exceto com nosso servidor.
  • Conecte-se à nossa rede por meio de SSH ou VPN
  • Montar uma pasta compartilhada remota depois de conectada
  • Compartilhe essa pasta com o host.
  • Apenas a forma de conexão do lado do hipervisor seria através do compartilhamento do Samba.

Dessa forma, o usuário acessaria a pasta compartilhada e trabalharia como de costume, mas teremos controle total sobre a máquina se conectando conosco. (O computador do usuário não é propriedade da nossa empresa)

Para ser mais preciso sobre a minha pergunta, gostaria de saber se isso soa muito maluco ou talvez alguém saiba se vou ter problemas com isso?

Qual seria a melhor abordagem para conseguir isso se você não acha isso correto?

    
por Jorge Jiménez 22.12.2016 / 19:17

1 resposta

1

Você não terá controle total sobre a máquina, já que precisa informar aos usuários a frase secreta de criptografia; caso contrário, eles não poderão iniciar a máquina. Com isso, eles terão controle total sobre a VM também.

Apenas dê a eles acesso a algum servidor RDP ao qual eles possam se conectar para trabalhar em arquivos (por trás de uma VPN) - você terá muito mais controle sobre isso.

Edit: Mais algumas explicações porque eu não acho que a sua solução valeria o esforço.

Primeiro, vamos considerar uma VPN normal e uma conexão direta com seu servidor CIFS. Normalmente, você pode fazer o firewall do ponto de extremidade da VPN de forma que ele permita apenas conexões com o servidor CIFS nas portas CIFS. O servidor CIFS garantirá que o cliente só possa acessar apenas os recursos para os quais ele tem permissões.

Sua solução de VM permitirá basicamente a mesma coisa, com a diferença de que ela fará proxy na conexão CIFS por meio de um serviço Samba. É claro que essa é uma camada adicional de segurança, pois o cliente terá mais dificuldade para atacar possíveis vulnerabilidades de implementação do CIFS em seu servidor (isso não é necessariamente impossível). No entanto, o preço para isso é realmente alto, pois seu ambiente é muito complexo e propenso a erros e também com suporte intensivo, já que você precisa desbloquear ativamente sua VM criptografada sempre que a máquina cliente tiver que ser reiniciada por qualquer razão (e francamente, não permitiria que alguém acessasse minha máquina privada para esse propósito!).

Adicionar um proxy CIFS ao seu lado realmente funcionaria e levaria a um ambiente muito mais sustentável com o mesmo resultado final - basta ter os clientes VPN para esse proxy em vez do servidor CIFS original.

NB: Fazer tudo isso é legal e legal, mas infelizmente não faz nada para protegê-lo do perigo real e mais provável em todo esse cenário, que é a possibilidade de o cliente ser infectado por malware, por exemplo, ransomware. Qualquer que seja a maneira de implementar isso, o cliente terá acesso de gravação a algum compartilhamento CIFS, e a única maneira de protegê-lo disso é manter backups regulares e confiáveis e testá-los!

    
por 22.12.2016 / 20:48

Tags