这是一个创建于 3744 天前的主题,其中的信息可能已经有所发展或是发生改变。
用 ssh的agent forward 功能可以避免在服务器上放私钥,但是有可能被人利用(借助 SSH_AUTH_SOCK ),进行身份伪造,想知道大家的公司都是怎么做的
 | 1 cxbig 2015-09-25 23:51:06 +08:00 为啥要在服务器放私钥??? |
 | 2 Ghoul2005 2015-09-25 23:56:12 +08:00 via iPhone 如果你是用自己电脑登陆公司服务器,那服务器上放的是公钥,自己电脑上放的是私钥,公钥是可以公开的,你是不是搞错了。 |
 | 3 lcj2class OP |
 | 6 cattyhouse 2015-09-26 00:09:42 +08:00 via iPhone man ssh, 阅读 -W 参数。大些的 W |
| 7 lcj2class OP @cxbig 一个很简单场景,想从 A 上拷贝一个 10G 的文件到 B ,内网传输应该没什么问题,直接 scp 即可。但是如果 A 不能直接登录 B ,那你会怎么办? |
| 8 cattyhouse 2015-09-26 00:13:58 +08:00 via iPhone ProxyCommand ssh -q -W %h:%p relay relay 就是那个中转服务器 |
 | 9 9hills 2015-09-26 00:17:11 +08:00 |
 | 10 v2gba 2015-09-26 00:33:15 +08:00 我司是每人有一台内网 vps 和本机拥有一样的权限 但是所有测试服务器之间默认是无法互相访问的(因为会经常 wipe , 重新 deploy ) 有时候懒就直接 forward 了 不懒的话用内网的 vps 中转 scp 一下 |
 | 11 lshero 2015-09-26 02:00:29 +08:00 之前的公司 VPN 拨号 动态口令授权 虚拟机作为跳板机审计 现在的公司只给预上线可读权限的私钥,懒得掰扯,一般也就是预上线好即可视为代码没问题 自己的 VPS 和服务器之类的多数情况下用 guacamole 之类的访问有内网的 VPN 互联绑定内网 |
 | 12 crazycen 2015-09-26 07:51:40 +08:00 via Android xendesktop |
 | 13 leehomsf 2015-09-26 09:01:37 +08:00 telnet 登陆对外,再 telnet ,访问机房内 BAS , OLT ,实话说刚开始知道是这样的吓一跳完全没有任何安全可言,而且都是除了对外账户密码有修改,其他设备都是默认账户密码,这些设备可是带了几十万的宽带用户,不过这些数据都有实时备份,而且是多个系统协同使用。所以就算单独破坏设备数据也是无所谓的了。 |
 | 14 Actrace 2015-09-26 09:44:02 +08:00 直连就可以了. |
 | 16 kfll 2015-09-26 14:37:21 +08:00 kinit |
 | 17 jalen 2015-09-26 16:02:51 +08:00 题主 最好的做法是什么呢 |
 | 18 GeekTest 2015-09-26 19:08:35 +08:00 via Android 跑回机房物理连接内网(斜眼 |
 | 19 kookxiang 2015-09-26 19:15:34 +08:00 You can try ssh with socks5 proxy |
 | 20 realpg PRO 基本都是密码登陆加登陆来源限制 |
 | 21 heiher 2015-09-27 16:50:21 +08:00 via Android 利用外网可登录的 ssh server 转发内网服务器 ssh 端口是安全的,更简单、通用的是转发 socks5 代理,然后本地配合 ProxyCommand 。 |
Select Language