Có thể chỉ cho phép một Cổng được sử dụng thông qua SSH Port Tunneling nếu người dùng nằm trong một Nhóm Thư mục Họat động cụ thể không?SSH Port Tunneling Với Autherization
Tôi có máy khách, Máy chủ Web Windows và Máy chủ Linux có cơ sở dữ liệu. Tôi muốn khách hàng có thể kết nối với cơ sở dữ liệu bằng SSH, nhưng chỉ khi họ ở trong một nhóm AD cụ thể.
Có cách nào để đạt được điều này không?
Về cơ bản: không. Bất kỳ người dùng nào có quyền truy cập shell đều có thể sử dụng giao nhận của riêng mình và truy cập vào cổng. Vì vậy, nếu bạn có người dùng root, bob và dbtunnel trên máy Linux, cả ba có thể "xuất" quyền truy cập vào cơ sở dữ liệu.
Nhưng điều gì mà bạn thực sự là muốn làm gì? Bởi vì có vẻ như với tôi rằng bạn muốn mã hóa (có thể nén) kết nối cơ sở dữ liệu giữa máy chủ Web và cơ sở dữ liệu. Bạn có thể làm điều đó mà không cần SSH chút nào.
Những gì bạn có thể làm, với SSH, là vô hiệu hóa cổng chuyển tiếp và vỏ hoàn toàn trừ cho rằng một nhóm. sshd_config allowgroups supports LDAP. Bạn sẽ hạn chế nghiêm trọng tất cả (hoặc hầu hết) người dùng trên máy Linux.
Một số cơ sở dữ liệu như MySQL offer native encryption, có thể không có hiệu suất cao nếu so sánh với giải pháp "sinh". MySQL cũng có giao thức máy khách/máy chủ nén (là bị tắt tốt nhất bất cứ khi nào sử dụng kết nối được mã hóa của bên thứ ba).
Bạn có thể thiết lập VPN và chỉ cho phép truy cập vào cổng 3306 từ giao diện VPN.
Ngoài ra, bạn có thể hạn chế kết nối (cả SSH và VPN) với những kết nối đến từ máy chủ web để giảm bề mặt tấn công của máy cơ sở dữ liệu.
Một giải pháp lạ mắt, ngay cả khi nó ít an toàn, là không có SSHd trên máy Linux, và thay vào đó có nó trên máy Windows. Sau đó, máy Linux có thể kết nối với máy khách autossh và chuyển tiếp cổng cục bộ 3306 của nó tới điều khiển từ xa. Bất kỳ ai trên máy Windows vẫn có thể kết nối với cơ sở dữ liệu. Và người dùng đường hầm thậm chí không cần tồn tại trên máy Linux. Sau đó, bạn có thể tắt quyền truy cập SSH cho tất cả người dùng ngoại trừ bob cho mục đích quản lý. Để mở đường hầm với auto-SSH từ Linux sang Windows, bạn sẽ cần một số SSH server hoặc other cho Windows.
Lý do VPN, iptables và đường hầm ngược lại tạo ra sự khác biệt nhỏ là, kẻ tấn công sẽ "xâm nhập" vào máy Windows như thế nào? Có lẽ anh ta sẽ khai thác máy chủ Web. Nhưng tại thời điểm đó, bất kỳ kết nối nào giữa máy chủ Web và cơ sở dữ liệu, kẻ tấn công sẽ có toàn quyền truy cập bất kể số là gì. Anh ta sẽ chỉ cằn nhằn về kết nối hiện tại.Vì vậy, các hạn chế IP tường lửa và các giải pháp ngược đường hầm không làm gì để nhận dạng người dùng, vì nó sẽ là moot anyway, nhưng thay vì loại bỏ các lỗ hổng của máy Linux có thể truy cập từ bên ngoài máy chủ Web bởi một người dùng không quản trị.
... và bạn đã hoàn tất.
Ai có thể kết nối với cơ sở dữ liệu ngay bây giờ?
(*) và bất kỳ người dùng khác có thể đã làm điều này cũng nếu cổng chuyển tiếp là LDAP hạn chế - họ đã có thể chỉ cần đợi cho đến khi kết nối được thực hiện bởi người sử dụng LDAP kích hoạt, sau đó họ có thể có piggybacked trên đó.
Bạn có thể mở rộng giải pháp lạ mắt không? Tôi chỉ muốn chuyển tiếp kết nối tới cơ sở dữ liệu trên máy chủ Windows, nếu người dùng ở trong một nhóm cụ thể –