Security
ssh 埠轉發/安全風險
我想從外部機器訪問在辦公室防火牆後面的 Web 伺服器上執行的 Web 應用程序。
我們有一個執行 sshd 的堡壘主機,可以從 Internet 訪問。
我想知道這個解決方案是否是一個壞主意:
- 在堡壘主機上創建一個帶有 shell=/bin/false 且沒有密碼 (’testuser’) 的帳戶
- 在外部機器上創建 ssh RSA 密鑰
- 將公共 RSA 密鑰添加到 testuser 的 authorized_keys 文件
- 使用 ssh -N 8888:targethost:80 從外部主機 ssh 到堡壘主機
- 從外部主機執行我的測試
- 關閉 ssh 隧道
我知道如果我的 RSA 私鑰被洩露,那麼有人可以通過 ssh 連接到堡壘主機。但是還有其他原因這個解決方案是一個壞主意嗎?
謝謝!
我認為這是一個非常安全的設置,我自己使用它。您需要在命令中添加“-L”:
ssh -N -L 8888:targethost:80
只要您不使用“-g”選項,只有您的客戶端機器可以訪問埠轉發。
我還建議讓堡壘主機上的 sshd 在非標準埠上偵聽。如果您在標準埠上偵聽,則攻擊流量有時會佔用大量 CPU。
還要為您的 ssh 密鑰選擇一個好的密碼,並且只在受信任的機器上輸入它。最好是 Linux,在 Linux 上安裝鍵盤記錄器就不那麼簡單了。