nsn*_*nsn 1 security linux ssh
我曾在一些地方工作,在这些地方,能够以管理员身份使用 SSH 在所有服务器之间移动是一种常见做法,无需密码。通常有几个服务器,从本质上讲,它们被认为更安全(不会暴露在网络上等),您可以从这些服务器无需密码即可登录到其他人。相反的情况也发生了 - 您需要密码/其他访问控制机制来处理所有事情。
从安全角度来看,我强烈反对第一个公式。虽然可以认为这组服务器更安全,但这显然值得商榷。但是我有几个同事提倡这个,我不得不承认它非常方便。在任何情况下,如果攻击者可以在一台机器上获得 root 权限,那么它基本上“拥有”整个系统。
我对安全性太严格了吗?
小智 5
这在某种程度上取决于环境。没有直接互联网访问的防火墙和 ACL 环境,例如 HPC 计算场,当然可以使用这种类型的做法来方便使用。我已经看到这在具有大量节点和相当少的管理干部的芯片设计环境中非常有效。当需要在整个计算集群中解决问题时,它可以提供卓越的灵活性和快速响应。
我在使用中看到的另一个环境是允许来自一组受严格保护和监控的定义主机(堡垒主机)的基于密钥的根 SSH。允许使用密钥的机制是在这些堡垒主机上为 root 用户运行一个 ssh-key 密码短语和一个 ssh-agent。目标主机配置为仅允许来自具有该特定密钥的主机的 root ssh。验证到超级用户级别并输入密钥的密码以将其加载到代理中。然后你就可以参加比赛了。
所以它可以安全地完成。您只需要选择允许曝光的内容和位置。
| 归档时间: |
|
| 查看次数: |
609 次 |
| 最近记录: |