Aplicaciones de servidor local que utilizan una interfaz web en entornos de escritorio multiusuario

4

Actualmente tengo servidores linux multiusuario a los que los desarrolladores acceden a través de un escritorio remoto y utilizan la sesión como entorno de trabajo.

Pero estoy un poco preocupado por la creciente popularidad de las aplicaciones que usan un puerto localhost para comunicarse entre las partes (por ejemplo, el servidor de Python y el front-end se abren en un navegador, por ejemplo: enlace )

En un entorno de escritorio multiusuario de Unix, cualquier usuario puede acceder a localhost.

Y lo peor, incluso si ese tipo de aplicación quisiera implementar una conexión segura entre el front-end web y el back-end, no hay una solución realmente perfecta:

  • use HTTP sobre el socket de dominio de unix (AF_UNIX): actualmente no es compatible con el navegador web más popular
  • use un "usuario" interfaz de red privada "localuser": inexistente, localhost es el único estándar
  • use un tocken en la URL lanzada por el navegador: enlace : el token puede filtrarse a otro usuario a través del argumento de la línea de comandos si procfs no se monta con hidepid = 1 opción
  • establezca una contraseña durante la instalación del programa, pídale al usuario que ingrese la contraseña y configure una cookie de sesión: no es la más fácil de usar para una aplicación de escritorio ...

¡Así que ni siquiera puedo informar de errores a los desarrolladores de estas aplicaciones y espero que se solucionen!

Mi conclusión es que parece que los entornos de escritorio multiusuario de Unix hoy en día se consideran dañinos para este caso de uso (y soy bonito que lo son para otros casos de uso donde los envs de usuarios múltiples se consideran dañinos ). Y que debería considerar cambiar a VDI (1 máquina virtual por usuario) lo antes posible. Pero sería mucho trabajo migrar de un entorno multiusuario a 1 escritorio de máquina virtual por usuario.

Pero quiero estar seguro antes de cambiar mi infraestructura: ¿Tengo razón en mi razonamiento o demasiado alarmante?

  

NB: Sé que no es una pregunta clara, es el resultado de una larga búsqueda sobre la seguridad de las conexiones de host local en mis entornos de unix multiusuario sin ninguna solución exitosa, por lo que espero opiniones interesantes sobre este problema ...

    
pregunta sligor 04.05.2018 - 19:28
fuente

1 respuesta

1

No tengo una buena respuesta, pero observo que la pregunta no menciona la tecnología de contenedores como un posible mecanismo de aislamiento para explorar.

Alentaría esa exploración. El ecosistema de contenedores tiene un enorme impulso, miles de ingenieros a través de cientos de compañías, que contienen todas las cosas. No hay razón en principio para que no sea una solución perfecta para este problema.

Es posible que una solución de calidad de producción no esté disponible en el momento presente, pero ya he visto en varias ocasiones que el ecosistema de los kubernetes ofrece una solución desde un principio antes de que una organización que necesitaba la solución pudiera salir de un proceso de planificación para aumentar por su cuenta.

Googlear rápido en esto encuentra un POC:

No creo que la maquinaria k8s en la actualidad sea compatible con vnc, pero recuerdo haber visto los puertos del protocolo vnc a los sockets web, que se pueden administrar directamente desde el clúster de k8s.

Esperamos que alguien con conocimiento directo del estado de juego aquí se ponga de acuerdo.

    
respondido por el Jonah Benton 04.05.2018 - 23:49
fuente

Lea otras preguntas en las etiquetas