authentication - SSH 端口隧道授权

Question

如果用户在特定的 Active Directory 组中，是否可以只允许通过 SSH 端口隧道使用端口？

我有一台客户端机器、一台 Windows Web 服务器和一台带有数据库的 Linux 服务器。我希望客户端能够使用 SSH 连接到数据库，但前提是它们位于特定的 AD 组中。

有没有办法实现这一目标？

Answer 1

基本上:没有。任何具有 shell 访问权限的用户都可以使用他自己的转发器并无论如何都可以访问该端口。所以如果你有用户 root , bob和 dbtunnel在 Linux 机器上，所有三个都可以“导出”对数据库的访问。

但你真正想做的是什么？因为在我看来您想要加密(可能压缩)Web 服务器和数据库之间的数据库连接。您完全可以在没有 SSH 的情况下做到这一点。

你什么可以 使用SSH，除了那一组之外，完全禁用端口转发和shell。 sshd_config allowgroups supports LDAP .您将严格限制 Linux 机器上的所有(或大多数)用户。

一些数据库如 MySQL offer native encryption ，如果与“天生”解决方案相比，性能可能不那么好。 MySQL 还具有压缩的客户端/服务器协议(protocol)(每当使用第三方加密连接时，这是 最好禁用 )。

您可以设置 VPN 并只允许从 VPN 接口(interface)访问端口 3306。

此外，您可以将连接(SSH 和 VPN)限制为来自 Web 服务器的连接，以减少数据库机器的攻击面。

一个奇特的解决方案，即使它对安全几乎没有作用，是在 Linux 机器上根本没有 SSHd，而是在 Windows 机器上拥有它。然后Linux机器可以连接autossh客户端并将其本地 3306 端口转发到远程。 Windows 计算机上的任何人仍然可以连接到数据库。并且隧道用户甚至不需要存在于 Linux 机器上。然后，您可以禁用对所有用户的 SSH 访问，除了 bob用于管理目的。用auto-SSH打开隧道从 Linux 到 Windows，你需要一些 SSH server或 other对于 Windows。

VPN、iptables 和反向隧道几乎没有区别的原因是，攻击者如何“进入”Windows 机器？他可能会利用 Web 服务器。但此时，无论 Web 服务器和数据库之间有什么连接，攻击者都将拥有完全访问权限。他只会捎带现有的连接。

因此，防火墙 IP 限制和反向隧道解决方案对用户识别没有任何作用，因为它无论如何都没有实际意义，而是消除了让非管理员用户从 Web 服务器外部访问 Linux 机器的漏洞。

花哨的解决方案(在这个例子中 MySQL 和端口 3306；也可以是 PostgreSQL 和端口 5432)

在 Windows 机器上的某个非标准端口上安装 SSHd 服务器。

将 Windows 防火墙配置为仅当来自 Linux 机器的 IP 时才允许连接到该端口。

在 Windows 机器上创建一个(受限)用户以允许 Linux 连接。

在 Linux 机器上安装 autossh 脚本(如上)并将其配置为连接到 Windows 服务器，将本地 3306 端口转发到绑定(bind)到本地主机的新创建的监听远程 3306 端口(无 -g 选项)。

告诉 Web 服务器在地址 127.0.0.1 端口 3306 处有一个 MySQL 服务器。

......你就完成了。

现在谁可以连接到数据库？

该一台 Windows 机器上的任何用户。这应该仅表示 Web 服务器用户 (*)。

在 Linux 机器上具有 SSH 访问权限的任何管理员用户(前提是对 Linux 机器有 SSH 访问权限。您可以将其关闭)。

攻击者成功利用 Windows Web 服务器 : 但无论如何他都可以做到，因为 Web 服务器需要访问数据库。

(*) 和任何其他用户也可以这样做，如果端口转发受到 LDAP 限制——他们只需要等到启用 LDAP 的用户执行连接，然后他们就可以捎带它。