为管理保护持久反向SSH连接

Question

我正在我不控制的环境中部署演示Ubuntu10.04LTS服务器，并且希望有一种简单而安全的方法来管理这些机器，而不必为SSH访问设置目标防火墙转发端口22。

我已经找到了一些使用反向端口(例如如何锻造反向ssh隧道指南)来实现此操作的指南，但我关心的是自动打开隧道所需的存储ssh凭据的安全性。

如果机器受到破坏(主要关注的是对机器的物理访问超出了我的控制范围)，我如何阻止某人使用存储的凭据在反向ssh隧道目标机器中穿插？

是否有可能保护此设置，或者您会建议另一种方法吗？

Answer 1

您可以使用autossh来维护反向隧道，这将允许您使用SSH登录。隧道应该使用在~/.authorized_keys中有限制的SSH键创建，这样它唯一能做的事情就是设置隧道(详见man authorized_keys )。以下内容只允许在1.2.3.4中使用此键，而不允许与其一起执行任何命令。

from="1.2.3.4",command="/bin/false",no-agent-forwarding,no-pty,no-X11-forwarding ssh-rsa AAAA...

Answer 2

我会使用OpenVPN，因为我知道它能做什么，我知道它可以做我需要的事情，并且可以很容易地被保护--正如您正确地指出的，默认情况下，SSH证书会让您进入机器本身，这不是一个好主意。我知道较新版本的SSH提供了某种通用的VPN功能，毫无疑问，有很好的方法可以通过做一些您不希望它做的事情来保护它，但是我自己不会冒这个风险。随你所知吧。

Answer 3

在防火墙上打个洞，或者在旁路上设置一个代理。是的，您可以拥有反向ssh连接--但这只是一个隧道套接字连接--您仍然需要在其上运行一些协议(是的，您可以在ssh连接的基础上运行ssh，甚至可以为vpn连接运行pppd )--试图在一端崩溃时维护/恢复连接将非常难以自动化。如果您围绕它构建了大量的代码，那么它只有起作用--此时您可能正在破坏安全性。这真的不值得付出这么多努力。