방화벽 제한으로 인해 SSH 터널이 구성된 역방향 프록시 뒤에 서버를 구성하고 있습니다.
역방향 프록시는 다른 사람이 관리하며 역방향 SSH 터널을 활성화하여 서버 측에서 터널을 제어하고 싶습니다.
몇 가지 조사를 해본 결과 매우 간단한 것 같습니다. Gatewayports=yes역방향 프록시의 sshd 구성을 활성화하기만 하면 됩니다.
나는 이 옵션이 기본적으로 false로 설정되어 있다는 것을 발견했는데, 아마도 그럴 만한 이유가 있을 것입니다.
역방향 프록시에서 역방향 SSH 터널링을 활성화하기 전에 고려해야 할 심각한 취약점이나 기타 문제가 있습니까?
답변1
SSH는 기본적으로 localhost에 바인딩되어 있으며 전달에만 사용됩니다. SSH는 전달의 메신저일 뿐이므로 전달되는 내용에 추가 검사를 추가하지 않습니다. 따라서 전달 서비스가 자체 인증 확인 또는 속도 제한 등을 수행하지 않는 경우 전달 지점과 동일한 네트워크에 있는 모든 사람이 허용됩니다(아마도 전체 인터넷일 수도 있습니다!). 따라서 GatewayPorts전달된 서비스 자체가 충분히 안전한 경우에만 외부에 표시되는 인터페이스를 활성화하고 바인드하십시오(귀하의 경우에는 노출했으므로 그렇게 해야 합니다).
주의 사항으로 몇 년 전 가상 머신을 사용하면서 SSH 자체를 가상 머신에서 모든 인터페이스에 바인딩된 호스트 노트북으로 전달했습니다. 제가 사용하고 있는 일회용 비밀번호가 취약하여 공용 WiFi에서 가상 머신이 손상되었습니다. (나는 정신을 차리고 (a) 모든 인터페이스에 대한 바인딩을 중단하고 (b) 비밀번호 기반 로그인을 비활성화하는 지혜를 배웠습니다.)