Usando un servidor bastion: ¿cómo modelar una entrada de emergencia?

4

He configurado un servidor bastion (A) que actúa como el único "pasillo" para ingresar a un grupo de otros VPS privados (B). Es decir, las máquinas privadas solo aceptan conexiones SSH de (A) en un puerto no estándar, que es una regla de cortafuegos, y solo aceptan estas conexiones de (A) usando un usuario específico y una clave específica. / p>

Me preguntaba qué estrategia debería usar para emergencias donde, por ejemplo, el bastión (A) se derrumba, se vea comprometido o de alguna manera se vuelva inútil. Haría que mi VPS privado (B) fuera inaccesible para siempre.

¿Debo permitir el acceso a las máquinas (B) a través de otra dirección IP que no sea el bastión (A) también? No tengo la infraestructura para asignar bloques de IP completos, por lo que los permisos basados en rangos no funcionarán para mí.

¿Algún pensamiento?

    
pregunta Hirohito 23.04.2017 - 16:26
fuente

1 respuesta

6

Esto es solo una expansión de lo que @schroeder dijo en los comentarios. Puede acceder a (A) o a cualquiera de sin SSH de (B) si está utilizando un proveedor decente.

La mayoría de los servicios de VPS permiten un inicio de sesión de consola. El inicio de sesión de la consola no se realiza a través de ssh , sino a través de un proceso getty (o agetty , mgetty u otra variante) hablando con el supervisor de virtualización.

Como ejemplo que uso a menudo (y también la mayoría de los servicios de VPS), el KVM virt-manager tiene un comando virsh console . Entonces, el proveedor de VPS solo necesita canalizar la entrada y la salida de ese proceso en la consola web / aplicación. El

  

PasswordAuthentication no

en /etc/ssh/sshd_config nunca es utilizado por ese método ya que el proceso sshd no se está tocando.

En cuanto a las consideraciones de seguridad de este método, están en su corte de proveedores de VPS. La mayoría de los proveedores proporcionan un conjunto bastante decente de comprobaciones antes de que pueda iniciar sesión en la consola (linode, digital ocean y AWS son tres; yo usé la consola y pude configurar la autenticación de doble factor). Dicho esto, esto es simplemente análogo a ir a una sala de servidores y conectar una consola física al puerto de la consola de su máquina.

    
respondido por el grochmal 23.04.2017 - 18:02
fuente

Lea otras preguntas en las etiquetas