这是一个创建于 3132 天前的主题,其中的信息可能已经有所发展或是发生改变。
用 ssh的agent forward 功能可以避免在服务器上放私钥,但是有可能被人利用(借助 SSH_AUTH_SOCK ),进行身份伪造,想知道大家的公司都是怎么做的
 |
1
cxbig 2015-09-25 23:51:06 +08:00
为啥要在服务器放私钥???
|
 |
2
Ghoul2005 2015-09-25 23:56:12 +08:00 via iPhone
如果你是用自己电脑登陆公司服务器,那服务器上放的是公钥,自己电脑上放的是私钥,公钥是可以公开的,你是不是搞错了。
|
 |
3
lcj2class OP |
 |
6
cattyhouse 2015-09-26 00:09:42 +08:00 via iPhone
man ssh, 阅读 -W 参数。大些的 W
|
|
7
lcj2class OP @cxbig
一个很简单场景,想从 A 上拷贝一个 10G 的文件到 B ,内网传输应该没什么问题,直接 scp 即可。但是如果 A 不能直接登录 B ,那你会怎么办? |
|
8
cattyhouse 2015-09-26 00:13:58 +08:00 via iPhone
ProxyCommand ssh -q -W %h:%p relay
relay 就是那个中转服务器 |
 |
9
9hills 2015-09-26 00:17:11 +08:00
|
 |
10
MrGba2z 2015-09-26 00:33:15 +08:00
我司是每人有一台内网 vps 和本机拥有一样的权限
但是所有测试服务器之间默认是无法互相访问的(因为会经常 wipe , 重新 deploy ) 有时候懒就直接 forward 了 不懒的话用内网的 vps 中转 scp 一下 |
 |
11
lshero 2015-09-26 02:00:29 +08:00
之前的公司 VPN 拨号 动态口令授权 虚拟机作为跳板机审计
现在的公司只给预上线可读权限的私钥,懒得掰扯,一般也就是预上线好即可视为代码没问题 自己的 VPS 和服务器之类的多数情况下用 guacamole 之类的访问有内网的 VPN 互联绑定内网 |
 |
12
crazycen 2015-09-26 07:51:40 +08:00 via Android
xendesktop
|
 |
13
leehomsf 2015-09-26 09:01:37 +08:00
telnet 登陆对外,再 telnet ,访问机房内 BAS , OLT ,实话说刚开始知道是这样的吓一跳完全没有任何安全可言,而且都是除了对外账户密码有修改,其他设备都是默认账户密码,这些设备可是带了几十万的宽带用户,不过这些数据都有实时备份,而且是多个系统协同使用。所以就算单独破坏设备数据也是无所谓的了。
|
 |
14
Actrace 2015-09-26 09:44:02 +08:00
直连就可以了.
|
 |
16
kfll 2015-09-26 14:37:21 +08:00
kinit
|
 |
17
jalen 2015-09-26 16:02:51 +08:00
题主 最好的做法是什么呢
|
 |
18
GeekTest 2015-09-26 19:08:35 +08:00 via Android
跑回机房物理连接内网(斜眼
|
 |
19
kookxiang 2015-09-26 19:15:34 +08:00
You can try ssh with socks5 proxy
|
 |
20
realpg 2015-09-26 21:34:40 +08:00
基本都是密码登陆加登陆来源限制
|
 |
21
heiher 2015-09-27 16:50:21 +08:00 via Android
利用外网可登录的 ssh server 转发内网服务器 ssh 端口是安全的,更简单、通用的是转发 socks5 代理,然后本地配合 ProxyCommand 。
|
Select Language