From: Sergey Vlasov <vsu@altlinux.ru>
To: community@lists.altlinux.org
Subject: Re: [Comm] неправильный KVM?
Date: Tue, 3 Apr 2012 00:07:32 +0400
Message-ID: <20120402200731.GA6363@atlas.home> (raw)
In-Reply-To: <CAC4WpAzSS40C1VOFCuDkoqmoONC4JbnJVi21B_Y+cSFSFGYJWQ@mail.gmail.com>
[-- Attachment #1: Type: text/plain, Size: 2567 bytes --]
On Mon, Apr 02, 2012 at 01:53:20PM +0300, Dmitriy Kruglikov wrote:
> Устанавливается некотороый сервер, который находится глубоко внутри
> локальной сети(клиента), доступ к которой возможен только через
> пограничный сервер(клиента), к которому по SSH можно достучаться
> только с некоторого сервера (support) в Инете, к которому можно
> добраться по SSH со своей рабочей станции(типа я сотрудник support).
> Последовательно, войдя на каждый из серверов в цепочке и выполнив там
> в консоли ssh userN@hostN...
> Это не самое увлекательное занятие...
Более того, это не лучший способ с точки зрения безопасности - при
такой схеме, когда устанавливаются отдельные соединения между узлами в
цепочке, в случае компрометации одного из промежуточных серверов
окажутся скомпрометированными и все последующие (поскольку данные,
передаваемые между процессами sshd и ssh, не будут защищены и могут
быть модифицированы).
Более безопасный вариант — использование перенаправления портов, когда
при установке соединения с промежуточным сервером выполняется
перенаправление локального порта рабочей станции через это соединение
на порт sshd следующего сервера, и последующее соединение ssh
устанавливается как бы напрямую между рабочей станцией и очередным
сервером в цепочке. В этом случае на промежуточном сервере невозможно
скрытно модифицировать данные, передаваемые между рабочей станцией и
следующим сервером, поскольку они передаются через промежуточный
сервер только в виде, защищённом средствами протокола SSH (защита от
подмены сервера, как обычно, обеспечивается проверкой ключа сервера
при установлении соединения). Также для защиты от возможной
компрометации промежуточных серверов необходимо использовать на них
аутентификацию по ключу, а не по паролю (поскольку на
скомпрометированном сервере sshd может быть модифицирован с целью
кражи паролей).
См., например, рекомендации Openwall (для промежуточных серверов, если
на них не требуется выполнять какие-либо команды, можно ещё добавить
опцию -n, а также явно указать ForwardAgent no, если значение по
умолчанию было изменено):
http://openwall.info/wiki/internal/ssh#How-to-access-intranet-servers
Сейчас есть альтернативный вариант, не требующий предварительного
запуска ssh для перенаправления портов:
Host final
ProxyCommand ssh -W %h:%p intermediate
Хотя соединение таким способом будет устанавливаться дольше, и пароли
(либо запросы разрешения на использование ключей) будут запрашиваться
несколько раз подряд при каждой установке такого соединения.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
next prev parent reply other threads:[~2012-04-02 20:07 UTC|newest]
Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top
2012-03-31 13:58 adobrovolskii
2012-04-01 2:33 ` Alexei Takaseev
2012-04-01 14:26 ` adobrovolskii
2012-04-01 18:24 ` Sergey Vlasov
2012-04-02 6:25 ` Dmitriy Kruglikov
2012-04-02 10:09 ` Sergey Vlasov
2012-04-02 10:17 ` Michael Shigorin
2012-04-02 10:53 ` Dmitriy Kruglikov
2012-04-02 12:31 ` Michael Shigorin
2012-04-02 12:49 ` Dmitriy Kruglikov
2012-04-02 20:07 ` Sergey Vlasov [this message]
2012-04-02 20:34 ` Dmitry V. Levin
2012-04-03 10:35 ` adobrovolskii
2012-04-03 12:07 ` adobrovolskii
2012-04-02 10:31 ` adobrovolskii
2012-04-02 20:30 ` Sergey Vlasov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20120402200731.GA6363@atlas.home \
--to=vsu@altlinux.ru \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git