Como somente permitir acesso ao nginx com conexão ssh ativa e estabelecida?

1

Eu tenho tentado e não consegui encontrar uma maneira de fazer isso. Eu estou olhando para configurar um painel de controle administrativo baseado na web do servidor (ao longo das linhas de webmin), mas tentando adicionar um extremamente difícil de falsificar medida de segurança que é mais transparente para aqueles com acesso e chegando vazio. Eu tenho uma ideia em mente que soa adequado, mas estou em uma perda para uma solução realmente viável.

Eu tenho a configuração de porta batida no topo da autenticação somente de chave no ssh. Reduz as tentativas de ataque a quase nulo. Estou bastante satisfeito com as medidas de segurança do ssh, mas se mostrou infrutífero para trazer a mesma segurança para o nginx.

É possível configurar algo parecido com porta batendo de modo que apenas um usuário logado ativamente no ssh tenha uma porta aberta em http? Eu não posso simplesmente usar ESTABLISHED desde que eu estou querendo exigir ser autenticado em ssh também.

A solução ideal funcionaria algo assim ...

  • sem conexão ssh - > DROP tenta acessar a porta nginx
  • conexão ssh ativa, não autenticada - > DROP tenta acessar a porta nginx
  • conexão ssh ativa, autenticada - > ACEITAR conexões de portas nginx

Sei que uma sessão de término resultaria na atividade para alternar para o DROP, o que seria aceitável.

A solução mais próxima que consegui criar envolve a varredura de logs ssh via cron e a modificação de iptables na hora, mas é necessário que haja uma maneira melhor. Aberto a idéias, se nada mais, para me apontar na direção certa.

Você pode, por favor, editar sua pergunta para dar uma ideia de por que você precisa desse nível de segurança? Parece um exagero. - Tim

Eu mencionei a administração do servidor ala Webmin. Em poucas palavras, scripts php / py com acesso a internos do servidor, como iptables, modificação / etc, desligamento / reinicialização, analisadores de log, outras ferramentas de manutenção. O acesso exigiria sudo para o próprio servidor, portanto, querendo mantê-lo extremamente protegido.

    
por FWishbringer 02.08.2017 / 05:28

0 respostas