V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

公司禁止非跳板机 ssh,有没有办法绕过去?

  •  
  •   jixiangqd · 4 天前 · 3640 次点击

    公司的跳板机每次都要输入密码,而且跳板机只支持 ssh 这一个命令。

    之前通过 iptables 端口转发实现了非 22 端口开 ssh 服务绕过了跳板机,前两天收到老大的邮件说这是违规邮件,说这是违规操作,不让用了。

    想在 ssh 之上再加一层加密(避免被安全组扫到这个端口走了 ssh 协议,这样就能不被扫出来了),有没有什么好用的工具?

    第 1 条附言  ·  4 天前
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
    第 2 条附言  ·  4 天前
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
    56 回复  |  直到 2017-11-15 17:16:25 +08:00
        1
    azh7138m   4 天前
    有,离职即可
        2
    hubert3   4 天前
    @azh7138m 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
        3
    hubert3   4 天前
    @azh7138m 计划通
        4
    bashbot   4 天前
    用 iptable 设个源 IP 过滤,可以避免被扫端口。抓包分析不知道怎么弄,走个 https 代理?
    但是你这么干,真不怕老大开除你?参照月饼事件。
        5
    defunct9   4 天前
    haproxy,80 端口上走 2 个协议,http+ssh,就可以了。
        6
    okletswin   4 天前
    不用绕过去啊,写个 expect 自动输入嘛
        7
    rrfeng   4 天前 via Android   ♥ 2
    你真要这么干那就是严重的安全事故

    跟月饼可是不一样的

    跳板机要审计你的操作的,你故意绕开这是完全违法违规的行为。
        8
    okletswin   4 天前
    话说,你要登的服务器竟然有外网 ip ?你们老大没限制 ssh 的来源 IP 啊
        9
    8355   4 天前
    expect+1 手段正规 可达目的地 快捷简单 无任何风险
        10
    xenme   4 天前
    别折腾了,即使能隐藏,看看流量就很容易发现你是异常用户,这种肯定是违规了,被开除都是小事,告你个泄露机密啥的你都吃不起。
        11
    chairuosen   4 天前   ♥ 1
    脑回路清奇,告诉你违规了你还要做。红灯你要不要也去闯一闯?
        12
    jyf   4 天前
    不知道你要跳过什么 如果只是不想每次输入 那弄个长 session 一直挂着就是了 比如在你公司任意闲置的服务器 /pc 上起个 tmux session 在里面走跳板机登录好 以后每次要上 就连到这机器 切到那个 session
        13
    Felldeadbird   4 天前
    公然挑战公司的权威,你这是等着吃鱿鱼啊。
        14
    ywgx   4 天前 via Android
    我们是一家关注跳板机登录体验的公司
    https://xabcloud.com 专业解决这种账户权限管理问题,保证安全可靠的同时,不失畅快登录的体验
        15
    Sherlocker   4 天前
    老老实实用跳板机不是很好嘛,为了方便审计,别搞那么多幺蛾子,不然准备下一份工作吧
        16
    tinybaby365   4 天前
    1.ControlPersist yes,把跳板🐔的 session 持久,第二个 ssh 连跳板就不要再验证。
    2.ProxyCommand 支持 ssh 中转,只要你的跳板🐔验证不变态,可以直接 ssh 到跳板后面的 server
        17
    yesono   4 天前
    ss
        18
    ericbize   4 天前 via Android
    不是用 ssh 代理的话,ssh 能用多少电? 手机分享个网络就可以了啊😄
        19
    ericbize   4 天前 via Android
    不是用 ssh 代理的话,ssh 能用多少流量? 手机分享个网络就可以了啊😄
        20
    goodryb   4 天前
    你老大都给你发邮件了,你还作死,不想干了直接离职

    如果跳板机是纯密码登录,这个还不简单,CRT 就支持保存密码,还支持 login script

    没给你上 token+密码登录跳板机 算仁慈了
        21
    opsarno   4 天前
    不论用什么手段,你绕过了跳板机被审查住就够你喝一壶的。
        22
    qianmeng   4 天前 via Android
    这是真的猛士,方法很多但是你们公司恐怕不会喜欢你这样
        23
    pyengwoei   4 天前
    我觉得 没难度 告诉你一个方法端口映射,参照外网连接内网数据
        24
    lonelygo   4 天前
    有跳板机,LZ 你为啥要绕?这是要绕开审计,出事不出事,都能给你扣帽子。
    善待自己。
        25
    psirnull   4 天前 via iPhone
    如果真的搞得严,一个白名单就搞死你了
        26
    jadec0der   4 天前 via Android
    16 楼正解,可以复用 TCP 连接的,一天登陆一次就行
        27
    jixiangqd   4 天前
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
        28
    jixiangqd   4 天前
    @ywgx 这广告打的好,可惜我们老大也看不见
        29
    disk   4 天前 via Android
    要么做协议混淆,要么在外面用别的什么套壳传输。但审计得严格还是能看出来的。
        30
    jetbillwin   4 天前
    公司给的安全规定,不要随便破坏这个违规。研究可以,不要轻易尝试……
        31
    mritd   4 天前 via iPhone
    那么请告诉我跳板机是干嘛的,不怕的话就直接要密码,自己立 flag,出了事自己全包
        32
    jixiangqd   4 天前
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
        33
    alcarl   4 天前 via Android
    这都一大堆离职,傲娇玻璃心越来越多了
        34
    jixiangqd   4 天前
    @alcarl 不光是这个啊,公司还在各种消减福利,而且本身也在走下坡路,还在裁员。不走才傻~我上面说的话有点断章取义了~sorry
        35
    ryd994   4 天前 via Android
    说真的,要是跳板机支持公钥登录多好?
    就一个 ssh -A 的事
    私钥存智能卡,安全性不比 token 差
        36
    jixiangqd   4 天前
    @ryd994 又要占用一个接口。。。
    而且还有驱动问题,mac 用户会有麻烦的。。。

    不过说实话,这种方案确实方便很多。

    我刚来公司的时候 跳板机其实还是啥都能干的。后来好像是因为很多人用跳板机跑任务,导致跳板机性能急剧降低,所以就给禁了,就变成只能用 ssh 了。。。也是醉了
        37
    qqpkat2   4 天前
    这个简单啊,ssh 反向隧道+socket5 代理
        38
    opengps   4 天前
    如果是 Windows 的话就容易了,teamviewer 轻松搞定堡垒机
        39
    learnshare   4 天前
    绕过了安全措施,这服务器要他有何用,不如换成土豆
        40
    baoguok   4 天前
    我能说,是安全团队不行么?
        41
    40huo   4 天前
    是这个堡垒机太垃圾
        42
    wweir   4 天前 via Android
    跳板机的 vpn 是配置了基于 totp 的二步登录吧?
    这个容易搞,纯本地操作,几乎不会影响安全性。
    方法就是:1. 找 otp 库,写个自己的密码生成工具; 2. 找命令行参数,直接把二步登录的用户名密码打进去
    我们是用的 openvpn,我是自己整了个工具,套在 openvpn 的命令行工具外边,实现一键登录
        43
    yingfengi   4 天前 via Android
    既然做了行为管理,有些就是禁止的
    既然开了审计,就是要记录
    要么按规矩来,要么出局
        44
    mritd   4 天前
    @jixiangqd #32 https://gravitational.com/teleport/ 让你们老大试试这个 吧 OTP 认证 然后直连
        45
    wkc   4 天前 via Android
        46
    jixiangqd   4 天前
    @wweir Cisco AnyConnect,所以好像你这个方法不管用啊。。。
        47
    fasling   4 天前
    参考下这个 http://foocoder.github.io/linux/2015/10/12/%E6%8C%81%E4%B9%85%E5%8C%96ssh%E8%BF%9E%E6%8E%A5/

    我之前公司也是 ras token 登录堡垒机,然后再 ssh 跳。用这个好使。mac 可以,windows 不行。
        48
    sqlfeng   4 天前
    前排围观
        49
    saymagic   4 天前
    远程调试的话可以在目标机器上写一个 http 服务来转发调试的 tcp 包。
        50
    jixiangqd   3 天前
    @defunct9 看了你的方案,这边有个教程: http://blog.csdn.net/xuziqu/article/details/50587366
    但是想了想 你这种方案好像风险最高啊,安全组那边扫描估计是发了 tcp 请求的,还是可以扫到我这个端口有 ssh 服务
        51
    zhangtianhao   3 天前
    借助 shell 和 python 脚本可以实现,动态密码可以通过 api 获取。然后在脚本里实现登录,要登录的时候执行你的 shell 就可以。不过这样做并没有绕过跳板机,而是不用你在去输入密码了。
        52
    jixiangqd   3 天前
    @zhangtianhao 并没有 api 获取动态密码,是硬件 token
        53
    evilangel   3 天前
    没难度,端口转发端口映射轻轻松松绕过。
    你只是闲麻烦的话用 SecureCRT 连接跳板机的时候直接保存登陆账号密码。
    如果你所谓的跳板机是只有内网想在外网连你甚至可以在公司丢个树莓派插上网卡从跳板机 SSH 到树莓派端口映射把你内部需要登陆的服务器端口映射到树莓派的公网 IP 上,这样直接连接树莓派都是相当于通过跳板机连接你需要的设备了,符合规范要求。
        54
    defunct9   3 天前
    @jixiangqd 你以为扫描器是每个端口逐个匹配 N 个协议啊?它扫到 80,用 http 匹配后就不会继续下去了。不是吃饱了撑得非得这么搞,齐治的破跳板机,szrz 大文件的时候过不去,神经病么。所以才这么搞。
        55
    jixiangqd   3 天前
    @defunct9 好像也有点道理哈~不过不敢试了~ 多谢~
        56
    wweir   3 天前
    @jixiangqd 可以试试找找第三方客户端
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1570 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 39ms · UTC 05:10 · PVG 13:10 · LAX 21:10 · JFK 00:10
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1