Security

ssh 埠轉發/安全風險

  • August 26, 2019

我想從外部機器訪問在辦公室防火牆後面的 Web 伺服器上執行的 Web 應用程序。

我們有一個執行 sshd 的堡壘主機,可以從 Internet 訪問。

我想知道這個解決方案是否是一個壞主意:

  • 在堡壘主機上創建一個帶有 shell=/bin/false 且沒有密碼 (’testuser’) 的帳戶
  • 在外部機器上創建 ssh RSA 密鑰
  • 將公共 RSA 密鑰添加到 testuser 的 authorized_keys 文件
  • 使用 ssh -N 8888:targethost:80 從外部主機 ssh 到堡壘主機
  • 從外部主機執行我的測試
  • 關閉 ssh 隧道

我知道如果我的 RSA 私鑰被洩露,那麼有人可以通過 ssh 連接到堡壘主機。但是還有其他原因這個解決方案是一個壞主意嗎?

謝謝!

我認為這是一個非常安全的設置,我自己使用它。您需要在命令中添加“-L”:

ssh -N -L 8888:targethost:80

只要您不使用“-g”選項,只有您的客戶端機器可以訪問埠轉發。

我還建議讓堡壘主機上的 sshd 在非標準埠上偵聽。如果您在標準埠上偵聽,則攻擊流量有時會佔用大量 CPU。

還要為您的 ssh 密鑰選擇一個好的密碼,並且只在受信任的機器上輸入它。最好是 Linux,在 Linux 上安裝鍵盤記錄器就不那麼簡單了。

引用自:https://serverfault.com/questions/129781