这是一个创建于 2550 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司的跳板机每次都要输入密码,而且跳板机只支持 ssh 这一个命令。
之前通过 iptables 端口转发实现了非 22 端口开 ssh 服务绕过了跳板机,前两天收到老大的邮件说这是违规邮件,说这是违规操作,不让用了。
想在 ssh 之上再加一层加密(避免被安全组扫到这个端口走了 ssh 协议,这样就能不被扫出来了),有没有什么好用的工具?
第 1 条附言 · 2017-11-14 18:49:00 +08:00
@8355
@okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。
但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。
@tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。
PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
@okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。
但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。
@tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。
PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
第 2 条附言 · 2017-11-14 19:36:11 +08:00
@disk 说的也是,所以只限于研究一下了。不敢祚了。
@mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。
搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。
感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。
吐槽一下,就这样吧~结贴。。。
@mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。
搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。
感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。
吐槽一下,就这样吧~结贴。。。
 |
1
azh7138m 2017-11-14 16:15:23 +08:00
有,离职即可
|
 |
4
bashbot 2017-11-14 16:31:04 +08:00
用 iptable 设个源 IP 过滤,可以避免被扫端口。抓包分析不知道怎么弄,走个 https 代理?
但是你这么干,真不怕老大开除你?参照月饼事件。 |
 |
5
defunct9 2017-11-14 16:34:30 +08:00
haproxy,80 端口上走 2 个协议,http+ssh,就可以了。
|
 |
6
okletswin 2017-11-14 16:35:04 +08:00
不用绕过去啊,写个 expect 自动输入嘛
|
 |
7
rrfeng 2017-11-14 16:37:44 +08:00 via Android  2
你真要这么干那就是严重的安全事故
跟月饼可是不一样的 跳板机要审计你的操作的,你故意绕开这是完全违法违规的行为。 |
|
8
okletswin 2017-11-14 16:38:19 +08:00
话说,你要登的服务器竟然有外网 ip ?你们老大没限制 ssh 的来源 IP 啊
|
 |
9
8355 2017-11-14 16:40:43 +08:00
expect+1 手段正规 可达目的地 快捷简单 无任何风险
|
 |
10
xenme 2017-11-14 16:41:29 +08:00
别折腾了,即使能隐藏,看看流量就很容易发现你是异常用户,这种肯定是违规了,被开除都是小事,告你个泄露机密啥的你都吃不起。
|
 |
11
chairuosen 2017-11-14 16:44:48 +08:00 1
脑回路清奇,告诉你违规了你还要做。红灯你要不要也去闯一闯?
|
 |
12
jyf 2017-11-14 16:45:36 +08:00
不知道你要跳过什么 如果只是不想每次输入 那弄个长 session 一直挂着就是了 比如在你公司任意闲置的服务器 /pc 上起个 tmux session 在里面走跳板机登录好 以后每次要上 就连到这机器 切到那个 session
|
 |
13
Felldeadbird 2017-11-14 16:45:46 +08:00
公然挑战公司的权威,你这是等着吃鱿鱼啊。
|
 |
14
ywgx 2017-11-14 16:49:44 +08:00 via Android
我们是一家关注跳板机登录体验的公司
https://xabcloud.com 专业解决这种账户权限管理问题,保证安全可靠的同时,不失畅快登录的体验 |
 |
15
Sherlocker 2017-11-14 16:50:57 +08:00
老老实实用跳板机不是很好嘛,为了方便审计,别搞那么多幺蛾子,不然准备下一份工作吧
|
 |
16
tinybaby365 2017-11-14 16:58:19 +08:00
1.ControlPersist yes,把跳板🐔的 session 持久,第二个 ssh 连跳板就不要再验证。
2.ProxyCommand 支持 ssh 中转,只要你的跳板🐔验证不变态,可以直接 ssh 到跳板后面的 server |
 |
17
yesono 2017-11-14 16:59:13 +08:00
ss
|
 |
18
ericbize 2017-11-14 17:02:48 +08:00 via Android
不是用 ssh 代理的话,ssh 能用多少电? 手机分享个网络就可以了啊😄
|
|
19
ericbize 2017-11-14 17:03:17 +08:00 via Android
不是用 ssh 代理的话,ssh 能用多少流量? 手机分享个网络就可以了啊😄
|
 |
20
goodryb 2017-11-14 17:32:23 +08:00
你老大都给你发邮件了,你还作死,不想干了直接离职
如果跳板机是纯密码登录,这个还不简单,CRT 就支持保存密码,还支持 login script 没给你上 token+密码登录跳板机 算仁慈了 |
 |
21
opsarno 2017-11-14 17:44:04 +08:00
不论用什么手段,你绕过了跳板机被审查住就够你喝一壶的。
|
 |
22
qianmeng 2017-11-14 17:48:17 +08:00 via Android
这是真的猛士,方法很多但是你们公司恐怕不会喜欢你这样
|
 |
23
pyengwoei 2017-11-14 17:50:22 +08:00
我觉得 没难度 告诉你一个方法端口映射,参照外网连接内网数据
|
 |
24
lonelygo 2017-11-14 18:07:37 +08:00
有跳板机,LZ 你为啥要绕?这是要绕开审计,出事不出事,都能给你扣帽子。
善待自己。 |
 |
25
psirnull 2017-11-14 18:11:39 +08:00 via iPhone
如果真的搞得严,一个白名单就搞死你了
|
 |
26
jadec0der 2017-11-14 18:41:22 +08:00 via Android
16 楼正解,可以复用 TCP 连接的,一天登陆一次就行
|
 |
27
jixiangqd OP @8355
@okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。 但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。 最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。 @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。 PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。 |
 |
29
disk 2017-11-14 19:06:02 +08:00 via Android
要么做协议混淆,要么在外面用别的什么套壳传输。但审计得严格还是能看出来的。
|
 |
30
jetbillwin 2017-11-14 19:12:51 +08:00
公司给的安全规定,不要随便破坏这个违规。研究可以,不要轻易尝试……
|
 |
31
mritd 2017-11-14 19:20:29 +08:00 via iPhone
那么请告诉我跳板机是干嘛的,不怕的话就直接要密码,自己立 flag,出了事自己全包
|
|
32
jixiangqd OP |
 |
33
alcarl 2017-11-14 20:47:23 +08:00 via Android
这都一大堆离职,傲娇玻璃心越来越多了
|
|
34
jixiangqd OP @alcarl 不光是这个啊,公司还在各种消减福利,而且本身也在走下坡路,还在裁员。不走才傻~我上面说的话有点断章取义了~sorry
|
 |
35
ryd994 2017-11-14 20:50:06 +08:00 via Android
说真的,要是跳板机支持公钥登录多好?
就一个 ssh -A 的事 私钥存智能卡,安全性不比 token 差 |
|
36
jixiangqd OP @ryd994 又要占用一个接口。。。
而且还有驱动问题,mac 用户会有麻烦的。。。 不过说实话,这种方案确实方便很多。 我刚来公司的时候 跳板机其实还是啥都能干的。后来好像是因为很多人用跳板机跑任务,导致跳板机性能急剧降低,所以就给禁了,就变成只能用 ssh 了。。。也是醉了 |
 |
37
qqpkat2 2017-11-14 22:26:23 +08:00
这个简单啊,ssh 反向隧道+socket5 代理
|
 |
38
opengps 2017-11-14 22:36:58 +08:00
如果是 Windows 的话就容易了,teamviewer 轻松搞定堡垒机
|
 |
39
learnshare 2017-11-14 22:47:47 +08:00
绕过了安全措施,这服务器要他有何用,不如换成土豆
|
 |
40
baoguok 2017-11-14 23:01:54 +08:00
我能说,是安全团队不行么?
|
 |
41
40huo 2017-11-14 23:06:14 +08:00
是这个堡垒机太垃圾
|
 |
42
wweir 2017-11-14 23:31:53 +08:00 via Android
跳板机的 vpn 是配置了基于 totp 的二步登录吧?
这个容易搞,纯本地操作,几乎不会影响安全性。 方法就是:1. 找 otp 库,写个自己的密码生成工具; 2. 找命令行参数,直接把二步登录的用户名密码打进去 我们是用的 openvpn,我是自己整了个工具,套在 openvpn 的命令行工具外边,实现一键登录 |
 |
43
yingfengi 2017-11-14 23:36:29 +08:00 via Android
既然做了行为管理,有些就是禁止的
既然开了审计,就是要记录 要么按规矩来,要么出局 |
|
44
mritd 2017-11-14 23:45:50 +08:00
@jixiangqd #32 https://gravitational.com/teleport/ 让你们老大试试这个 吧 OTP 认证 然后直连
|
 |
45
wkc 2017-11-15 09:31:33 +08:00 via Android
|
 |
47
fasling 2017-11-15 10:46:03 +08:00
参考下这个 http://foocoder.github.io/linux/2015/10/12/%E6%8C%81%E4%B9%85%E5%8C%96ssh%E8%BF%9E%E6%8E%A5/
我之前公司也是 ras token 登录堡垒机,然后再 ssh 跳。用这个好使。mac 可以,windows 不行。 |
 |
48
sqlfeng 2017-11-15 10:56:56 +08:00
前排围观
|
 |
49
saymagic 2017-11-15 12:55:42 +08:00
远程调试的话可以在目标机器上写一个 http 服务来转发调试的 tcp 包。
|
|
50
jixiangqd OP @defunct9 看了你的方案,这边有个教程: http://blog.csdn.net/xuziqu/article/details/50587366
但是想了想 你这种方案好像风险最高啊,安全组那边扫描估计是发了 tcp 请求的,还是可以扫到我这个端口有 ssh 服务 |
 |
51
zhangtianhao 2017-11-15 15:58:54 +08:00
借助 shell 和 python 脚本可以实现,动态密码可以通过 api 获取。然后在脚本里实现登录,要登录的时候执行你的 shell 就可以。不过这样做并没有绕过跳板机,而是不用你在去输入密码了。
|
|
52
jixiangqd OP @zhangtianhao 并没有 api 获取动态密码,是硬件 token
|
 |
53
evilangel 2017-11-15 16:02:44 +08:00
没难度,端口转发端口映射轻轻松松绕过。
你只是闲麻烦的话用 SecureCRT 连接跳板机的时候直接保存登陆账号密码。 如果你所谓的跳板机是只有内网想在外网连你甚至可以在公司丢个树莓派插上网卡从跳板机 SSH 到树莓派端口映射把你内部需要登陆的服务器端口映射到树莓派的公网 IP 上,这样直接连接树莓派都是相当于通过跳板机连接你需要的设备了,符合规范要求。 |
|
54
defunct9 2017-11-15 16:13:32 +08:00
@jixiangqd 你以为扫描器是每个端口逐个匹配 N 个协议啊?它扫到 80,用 http 匹配后就不会继续下去了。不是吃饱了撑得非得这么搞,齐治的破跳板机,szrz 大文件的时候过不去,神经病么。所以才这么搞。
|
 |
59
tx7778826 2017-11-22 18:03:38 +08:00
这个问题看情况了,如果 ssh 服务支持 tcp forward 的话,那就毫无压力了,直接 crt 建 ssh 隧道进行动态转发,如果不支持没就呵呵了
|
Select Language