Re: sudo ws root
Hello!
> Примерно так: у каждого датацентра есть по своей внутренней
> "управляющей" сетке, только внутри которой разрешены ssh (и иные вещи
> типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
> например). А в эту сетку уже пускает openvpn с (назовем её так)
> "машины-файрвола".
>
> Хотя у меня немного не так - "машина-файрвол" через openvpn пускает
> меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через
> ssh-agent), а оттуда я уже попадаю в "управляющую" сетку и захожу на
> необходимые мне сервера.
Если у вас на одной машине и openvpn и openssh то вы тратите время на иллюзию защиты. Установив на
одном сервере больше софта, вы теряете в управляемости и получаете больше уязвимостей.
> > И даже если так - чем не устраивает вариант с одним сервером с
> > внешним ip, куда вы входите из интернет и идете дальше опять же через
> > ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе
> > через промежуточный хост.
>
> Да.
>
> Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то
> время, пока я это замечу и успею подчистить authorized_keys на серверах,
> может оказаться, что мне нечего будет уже подчищать.
Если сопрут, то к стыренному ключу еще надо пассфразу подобрать. Почему-то вы этот момент не
учитываете.
> Моя же схема может
> и тупа, но основная её цель - задержать и запутать атакующего и выиграть
> время. Еще один плюс - при таком количестве уровней практически
> невозможно осуществить атаку незаметно, так как каждый уровень
> логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную
> машину вообще без ssh.
Имхо ваша схема кроме запутанности для вас же не имеет других достоинств.
Best regards, Alexey.
Reply to: