在解决连接性问题时,我们的networking团队缺乏连接和testing连接性的服务器(Windows和RHEL)的权限(例如,在调整防火墙规则,修改某些内容时来回跳转,然后testing,然后他们调整它,然后我们再testing等),这扩大了故障排除非常显着。 有没有一种方法可以让他们以最小的安全风险从服务器上运行这些工具?
我知道他们可以做到这一点,如果我有TELNET或SSH启用,他们可以得到命令行访问,但我不想打开这么大的差距。 是否有可以在我的服务器上安装的小型“基础networking工具”软件包,可以通过Web界面或TELNET访问? 只是让他们select从该服务器PING,testing端口连接到其他地点,等等。
如果还有其他解决scheme,或者我错过了一些明显的东西,请告诉我。
这取决于你信任他们多less。
选项1 – 继续自己做
如果你完全不相信他们,不要给他们任何访问权限,尽pipe他们控制你的防火墙,所以你至less应该相信他们。 尽pipe如此,没有别的东西可以像给予他们一样无法访问一样安全。
选项2 – 给他们一个非常有限的帐户
如果你信任他们不要做任何恶意的事情(但不要信任他们不要做任何愚蠢的事情),给他们一个chroot的shell,把ping和traceroute复制到它,他们可以SSH进入并运行testing。 取决于你设置的方式,它可以从瑞士奶酪到相当安全的任何地方。 但即使这不是不可阻挡的,也可以阻止他们意外地造成伤害。 (我假设在这里,因为你提到的SSH … Windows没有一个很好的相当于据我所知)。
这很容易设置,但需要networking团队自己login和运行命令。
选项3 – 基于Web的traceroute
既然你提到让他们login到服务器可能有社交/政治问题,另一个select可能是build立一个非常简单的网站(或现有网站上的文件夹,如果这些网页服务器)有一个页面,将运行traceroute和ping没有别的)。 像http://tracert.com/ ,但从您自己的服务器运行。 您可以将其限制在某个范围的源IP地址,或者需要用户名/密码才能访问该页面。
如果你使用这种方法,你可以通过search诸如“基于web的traceroute php”之类的东西来find一些有用的现有脚本,或者只要你注意正确地转义用户input,就可以编写自己的脚本。
这对他们来说是最简单和最快速的,并且使他们获得的访问量比他们在networking控制方面已经拥有的要less得多。
你甚至可以提前准备好它 – 如果你想允许从服务器example.com的出站stream量到192.168.55.100,你可以发送一个票,如:
请更换防火墙,让我们连接到192.168.55.100。 你可以通过点击这个链接并检查我们可以ping通吗? http://example.com/networktools/ping.php?ip=192.168.55.100
根据信任级别,还可以包含像nmap这样的工具,以便可以validation端口是否可访问。