Я хочу получить доступ к веб-приложению, запущенному на веб-сервере за брандмауэром моего офиса, с внешнего компьютера.
У нас есть бастионный хост, на котором работает sshd, доступный из Интернета.
Я хочу знать, плохая ли идея:
Я понимаю, что если мой закрытый ключ RSA был скомпрометирован, кто-то мог бы подключиться к хосту-бастиону по ssh. Но есть ли другие причины, по которым это решение - плохая идея?
Спасибо!
Я считаю, что это довольно безопасная установка, сам использую. Вам нужно будет добавить к вашей команде '-L':
ssh -N -L 8888:targethost:80
Пока вы не используете опцию «-g», только ваш клиентский компьютер может получить доступ к порту вперед.
Я бы также порекомендовал сделать так, чтобы sshd на хосте-бастионе прослушивал нестандартный порт. Если вы прослушиваете стандартный порт, трафик атаки иногда может съесть значительное количество ресурсов ЦП.
Также выберите хорошую парольную фразу для своего ключа ssh и вводите ее только на надежных машинах. Предпочтительно Linux, в Linux менее тривиально устанавливать кейлоггеры.
Stunnel может быть хорошей альтернативой. Вам не понадобится учетная запись на машине, и вы все равно можете аутентифицировать клиента с помощью сертификата.
Я не думаю, что это обязательно плохая идея. Поместите SSH на порт, отличный от 22, и вы сделаете его немного более непонятным для скриптовых детишек, и если вы тестируете с портативного компьютера извне, я зашифрую данные на диске, поэтому, если он будет украден / потерян / и т.п. вам не нужно беспокоиться о компрометации данных. В противном случае туннели должны способствовать перехвату вещей между хостом-бастионом и ноутбуком на общедоступных веб-каналах.
Вы предложили довольно безопасное решение. Дополнительные шаги по усилению безопасности для выставленного хоста: