Re: sudo ws root
Здравствуйте.
On Thu, 18 Dec 2008 22:08:08 +0300
Alexey Pechnikov <pechnikov@sandy.ru> wrote:
> > Я лишь предлагаю использовать openvpn для доступа к некой
> > промежуточной сети, из-под которой уже можно входить на ssh
> > серверов. Контролировать одну маленькую внутреннюю сеточку намного
> > проще, чем весь интернет..
> Э-э, не понял - вы рассматриваете абстрактную ситуацию, когда все
> сервера стоят в одном датацентре? Только в таком случае, напоминающем
> "сферического коня в вакууме", не требуется независимая защита
> каждого сервера в отдельности.
Примерно так: у каждого датацентра есть по своей внутренней
"управляющей" сетке, только внутри которой разрешены ssh (и иные вещи
типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
например). А в эту сетку уже пускает openvpn с (назовем её так)
"машины-файрвола".
Хотя у меня немного не так - "машина-файрвол" через openvpn пускает
меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через
ssh-agent), а оттуда я уже попадаю в "управляющую" сетку и захожу на
необходимые мне сервера.
> И даже если так - чем не устраивает вариант с одним сервером с
> внешним ip, куда вы входите из интернет и идете дальше опять же через
> ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе
> через промежуточный хост.
Да.
Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то
время, пока я это замечу и успею подчистить authorized_keys на серверах,
может оказаться, что мне нечего будет уже подчищать. Моя же схема может
и тупа, но основная её цель - задержать и запутать атакующего и выиграть
время. Еще один плюс - при таком количестве уровней практически
невозможно осуществить атаку незаметно, так как каждый уровень
логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную
машину вообще без ssh.
Reply to: