对于任何使用ssh来登录的机器,想让这样的机器避免被攻击者利用,就应该用我们的软件来实现一种可以非常安全的保护账号的方案:
1. 在微软的手提电脑上安装WSL2及Linux,或在苹果手提电脑上,在其上安装我们的授权代理软件CaclMgr及远程作业自动化软件AutoSSH。
2. 创建kadm账号,并以此账号生成ssh的密钥对,把私钥的保护密码由双人控制,确保每个人的那一半密码中都包含空格字符,一半密码的长度不低于10个字节。然后立刻用我们的asshkey命令把这个密码加密保存。之后这二位就无需再记住他们各自的一半密码。
3. 把ssh的公钥放到公司数据中心或云里的二台作为跳转机的自己的账号的authorized_keys里。
4. 以kadm账号把执行/usr/local/bin/goto的权限授予手提电脑用户的账号。然后运行ssh到二台跳转机以接受跳转机的host key.
5. 在二台Linux跳转机上安装我们的CaclMgr及AutoSSH软件,然后做第二步。这里,二台机器的kadm账号可以各自生成ssh密钥对,也可以在一台机器上生成ssh密钥对,然后把它们复制到第二台机器上。不过对于加了密的密码,不能从一台机器复制到第二台,而是需要在第二台机器上运行asshkey来加密保存这个密码。因此,二位负责设置密码的人需要等到二台机器都完成了asshkey密码加密保存后才可无需继续记住他们各自的一半密码。
6. 把在跳转机上生成的ssh公钥放进内部各台机器的各个用户的authorized_keys文件里。
7. 在二台跳转机上以kadm账号运行ssh到各台内部机器,以获得各台内部机器的host key.
8. 以kadm账号用我们的授权代理软件CaclMgr把用其权限运行/usr/local/bin/goto的许可赠与机器上的其它用户账号。
这样一来,每位用户就可以从他们自己的手提电脑,窗口系统的用户可以通过在窗口命令行上运行”wsl /bin/goto 目标机器名“,而苹果手提电脑的用户则运行"/usr/local/bin/rgo 目标机器名“来登录其在目标机器上的账号。(我们要求所有的用户其用户名只有一个,在所有机器上都必须一致)。
那么,有人可能会担心如果有人攻击了跳转机,获得了超级用户的使用权,那他是不是就能够通过kadm用户来攻击他人在内部各台机器上的账号?其实不用担心,因为我们考虑到了这样的危险性,把kadm使用我们的assh命令做了限制:他只能为他人通过他使用assh提供便利,自己是无法使用assh命令的。这样一来,即使是跳转机被攻破(其实不太可能出现这样的事当登录跳转机也是使用我们的软件:即使手提电脑被盗,由于要能登录跳转机需要能够在手提电脑上登录原来用户的账号,然后还需要能够知道该用户的授权代理密码)。所以即使攻击者有了使用超级用户的权限,一方面是他已经不可能通过kadm账号来直接登录别的机器上的其它账号,二是我们的安全软件都是能够抗超级用户窃密的攻击的,除非用户设置的密码太简单,很容易被猜出来,不然就是非常安全的。
扫一扫
3708
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
