網絡安全最佳實踐
Oracle建議僅為堡壘主機建立單獨的公共子網,以確定将适當的安全清單配置設定給正确的主機。 下圖顯示了在每個段上配置的安全清單,用于細粒度通路控制。
Security List 1的規則設定
Security List 2的規則設定
使用ssh-agent通過堡壘主機連接配接
ssh-add [path_to_keyfile]
如果有“Could not open a connection to your authentication agent.”錯誤發生的話,請執行
eval `ssh-agent`
然後在執行
ssh-add [path_to_keyfile]
使用以下指令連接配接到堡壘主機可啟用代理轉發,并允許通過從本地計算機轉發憑據登入到下一個伺服器:
ssh -A [email protected]_host
要簡化SSH通路和配置,請将-J(ProxyJump)參數添加到ssh指令。 以下是ProxyJump用法的示例:
ssh -J [email protected] [email protected]
通過SSH隧道通路服務
有時SSH通路可能不足以執行任務。 在這種情況下,SSH隧道可以提供通路Web應用程式或其他偵聽服務的簡便方法。
SSH隧道的主要類型是本地,遠端和動态。
1,本地隧道在本地環回接口上提供了一個公開端口,該端口連接配接到SSH伺服器的IP:端口。
例如,您可以将本地端口8080連接配接到可從您的堡壘主機通路的web_server_ip:80,并将您的Web浏覽器指向http:// localhost:8080:
ssh [email protected]_host -L 8080:web_server_ip:80
2,遠端隧道超出了本教程的範圍,但它與本地轉發相反:它将本地端口公開給進入遠端伺服器的連接配接。
3,動态隧道在本地端口上提供SOCKS代理,但連接配接源自遠端主機。 例如,您可以在端口1080上設定動态隧道,并在Web浏覽器中将其配置為SOCKS代理。 是以,您可以連接配接到堡壘主機中可用于私有子網的所有可用資源。
ssh [email protected]_host -D 1080
檔案傳輸
對于Linux用戶端和伺服器,您可以使用SCP通過使用SSH指令行指定的相同ProxyCommand或ProxyJump選項,通過堡壘主機安全地與主機之間傳輸檔案。 例如:
scp -o "ProxyJump [email protected]_host" filename [email protected]_host:/path/to/file
堡壘網關
您還可以建立堡壘網關,為其後面的伺服器提供基于Web的通路。
多個軟體解決方案可以提供SSH Web控制台,例如shellinabox,KeyBox或Apache Guacamole。 Guacamole項目還提供對使用VNC和RDP的Windows主機的通路,以及檔案傳輸接口,遠端磁盤功能,甚至遠端聲音和列印支援。
Bastion網關軟體提供了更容易的通路(特别是來自移動裝置),可以使用任何流行的Web伺服器應用程式(如Nginx或Apache)進行部署,并且可以使用LXC或Docker在容器中啟動。