Здравствуйте. On Thu, 18 Dec 2008 22:08:08 +0300 Alexey Pechnikov <[email protected]> wrote: > > Я лишь предлагаю использовать openvpn для доступа к некой > > промежуточной сети, из-под которой уже можно входить на ssh > > серверов. Контролировать одну маленькую внутреннюю сеточку намного > > проще, чем весь интернет.. > Э-э, не понял - вы рассматриваете абстрактную ситуацию, когда все > сервера стоят в одном датацентре? Только в таком случае, напоминающем > "сферического коня в вакууме", не требуется независимая защита > каждого сервера в отдельности. Примерно так: у каждого датацентра есть по своей внутренней "управляющей" сетке, только внутри которой разрешены ssh (и иные вещи типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP), например). А в эту сетку уже пускает openvpn с (назовем её так) "машины-файрвола".
Хотя у меня немного не так - "машина-файрвол" через openvpn пускает меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через ssh-agent), а оттуда я уже попадаю в "управляющую" сетку и захожу на необходимые мне сервера. > И даже если так - чем не устраивает вариант с одним сервером с > внешним ip, куда вы входите из интернет и идете дальше опять же через > ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе > через промежуточный хост. Да. Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то время, пока я это замечу и успею подчистить authorized_keys на серверах, может оказаться, что мне нечего будет уже подчищать. Моя же схема может и тупа, но основная её цель - задержать и запутать атакующего и выиграть время. Еще один плюс - при таком количестве уровней практически невозможно осуществить атаку незаметно, так как каждый уровень логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную машину вообще без ssh. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
