通过跳转服务器和SSH数据传输传播恶意软件

Question

有人能给我解释一下跳转服务器如何减少恶意软件感染的风险吗？

虽然我理解使用跳转服务器作为额外防御层的一些好处，例如身份验证、2FA等，但是，如果用户的工作站或膝上型计算机感染了恶意软件，并且他们可以通过SSH/RDP访问跳转服务器--恶意软件能不能在这个SSH会话中传播，并最终传播到其背后的服务器？如果是，跳转服务器在这里有什么帮助？

另外，如何通过SSH/SCP从跳跃式服务器禁用数据的传输或外传--对于能够访问跳跃式服务器的特权用户和非特权用户？这有可能吗？从内部威胁的角度来问这个问题。

Answer 1

关于你问题的第一部分：

1. 如果跳转服务器配置了密码身份验证，那么恶意软件必须找到获取密码的方法，才能启动SSH会话。
2. 如果是基于密钥的身份验证，则密钥存储在文件系统中，因此必须猜测密码。
3. 通过kerberos身份验证，恶意软件可以使用用户的票据与跳转服务器启动SSH会话。但默认情况下，SSH票证是不可转发的，因此它将无法在跳转服务器后面的服务器上使用相同的票证。因此，在这种情况下，对于不可转发的kerberos票证，跳转服务器防止恶意软件通过SSH传播。

第二部分：

安全复制协议(SCP)是一种在本地主机和远程主机之间或在两个远程主机之间安全传输计算机文件的方法。

因此，如果已授权连接，则不能禁用数据传输。

请参阅这个职位

Answer 2

在跳转服务器中使用双因素身份验证是非常可取的。跳转服务器的全部目的是将“更受信任”的资源集与“较不受信任的”资源集隔离开来。例如，由于台式机暴露于互联网(并可能通过电子邮件进行网络钓鱼)，它们构成了一个不太受信任的区域。要“跳转”到更受信任的区域(例如，服务器)的栏必须高于处于最不可信区域的栏。现在，如果您的密码被破坏或密钥被使用或您有票转发，有第二个因素将防止横向移动。恶意软件往往会跳过并传播-- RDP/SSH等协议具有第二个因素，可以防止恶意软件滥用这些管理协议。

希望这能帮上忙。