我想了解更多关于强化Web服务器的知识,并且停止了Jumphost这个话题。 所以对我来说,例如一个Jumphost通过VPN连接到一个networking服务器,并且是唯一一个通过VPN和SSH访问的服务器,所以通过SSH或者VPN使用未知IP的其他请求将通过iptables被阻止。
我是否理解Jumphost权利的概念还是我应该照顾的其他优势?
Jumphost是被列入白名单的“网关”机器,有权访问某些服务。 你可以使用它们来达到你的目标。 其他一切都是实现细节。
您可以使用代理,ssh,vpn或它们的任意组合来创buildjumphosts。
非常简单的jumphostdevise可以使用ssh端口实现。
Jumphosts aks Bastion服务器是“安全防护”方法的一部分,它们通常是基础架构的一部分,但在假定的附加向量之外。 对于使用networking主机的例子,所有networking主机只能通过特定服务器列表接受请求,networking主机很容易在互联网上find,因为它们暴露端口和主机服务,如网站。 跳箱的唯一目的是提供访问这些虚拟主机,并不提供任何公共服务。
此外,通过Google Auth / Password / Kerberos Ticket / One Time Password / CAC等forms的多因素身份validation,跳箱通常更安全。通常,networking服务器不应具有Internet访问权限,也不能通过Internet直接访问(仅限于在负载均衡器后面),所以你需要一个跳转框来访问它们。
其他的例子是使用拨号调制解调器访问路由器,使用未在公司联系页面上列出的电话号码进行带外访问。
在SecurityExchange上查看有关堡垒主机的更多问题
跳转主机比安全function本身更像是进入安全networking的入口。 例如,如果你有一个数据库服务器的机器,你可能有一个防火墙,它不能从互联网上,但只能从你的服务器,它使用它。 当你需要ssh时,你首先ssh进入一些jumphost,然后从那里“跳”到数据库服务器上。 jumphost可能只是networking服务器,它有两个ssh打开互联网和访问数据库服务器局域网,甚至是一个专用的机器与额外的审计日志和更安全的configuration,即启用fail2ban。
所以一般来说,跳转主机不是安全function,而是进入安全networking的入口点。 正如雅各布·埃文斯所说的那样,你有一些额外的安全措施,那就是有人可能无法find下一跳。 虽然这肯定有帮助,但是有些人有这么大的帮助,你应该宁愿保护你的networking,也不要让任何人进入第一台主机。