Hello! > Примерно так: у каждого датацентра есть по своей внутренней > "управляющей" сетке, только внутри которой разрешены ssh (и иные вещи > типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP), > например). А в эту сетку уже пускает openvpn с (назовем её так) > "машины-файрвола". > > Хотя у меня немного не так - "машина-файрвол" через openvpn пускает > меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через > ssh-agent), а оттуда я уже попадаю в "управляющую" сетку и захожу на > необходимые мне сервера.
Если у вас на одной машине и openvpn и openssh то вы тратите время на иллюзию защиты. Установив на одном сервере больше софта, вы теряете в управляемости и получаете больше уязвимостей. > > И даже если так - чем не устраивает вариант с одним сервером с > > внешним ip, куда вы входите из интернет и идете дальше опять же через > > ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе > > через промежуточный хост. > > Да. > > Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то > время, пока я это замечу и успею подчистить authorized_keys на серверах, > может оказаться, что мне нечего будет уже подчищать. Если сопрут, то к стыренному ключу еще надо пассфразу подобрать. Почему-то вы этот момент не учитываете. > Моя же схема может > и тупа, но основная её цель - задержать и запутать атакующего и выиграть > время. Еще один плюс - при таком количестве уровней практически > невозможно осуществить атаку незаметно, так как каждый уровень > логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную > машину вообще без ssh. Имхо ваша схема кроме запутанности для вас же не имеет других достоинств. Best regards, Alexey. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
