V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

公司禁止非跳板机 ssh,有没有办法绕过去?

  •  
  •   jixiangqd · 70 天前 · 4333 次点击
    这是一个创建于 70 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司的跳板机每次都要输入密码,而且跳板机只支持 ssh 这一个命令。

    之前通过 iptables 端口转发实现了非 22 端口开 ssh 服务绕过了跳板机,前两天收到老大的邮件说这是违规邮件,说这是违规操作,不让用了。

    想在 ssh 之上再加一层加密(避免被安全组扫到这个端口走了 ssh 协议,这样就能不被扫出来了),有没有什么好用的工具?

    第 1 条附言  ·  70 天前
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
    第 2 条附言  ·  70 天前
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
    59 回复  |  直到 2017-11-22 18:03:38 +08:00
        1
    azh7138m   70 天前
    有,离职即可
        2
    hubert3   70 天前
    @azh7138m 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
        3
    hubert3   70 天前
    @azh7138m 计划通
        4
    bashbot   70 天前
    用 iptable 设个源 IP 过滤,可以避免被扫端口。抓包分析不知道怎么弄,走个 https 代理?
    但是你这么干,真不怕老大开除你?参照月饼事件。
        5
    defunct9   70 天前
    haproxy,80 端口上走 2 个协议,http+ssh,就可以了。
        6
    okletswin   70 天前
    不用绕过去啊,写个 expect 自动输入嘛
        7
    rrfeng   70 天前 via Android   ♥ 2
    你真要这么干那就是严重的安全事故

    跟月饼可是不一样的

    跳板机要审计你的操作的,你故意绕开这是完全违法违规的行为。
        8
    okletswin   70 天前
    话说,你要登的服务器竟然有外网 ip ?你们老大没限制 ssh 的来源 IP 啊
        9
    8355   70 天前
    expect+1 手段正规 可达目的地 快捷简单 无任何风险
        10
    xenme   70 天前
    别折腾了,即使能隐藏,看看流量就很容易发现你是异常用户,这种肯定是违规了,被开除都是小事,告你个泄露机密啥的你都吃不起。
        11
    chairuosen   70 天前   ♥ 1
    脑回路清奇,告诉你违规了你还要做。红灯你要不要也去闯一闯?
        12
    jyf   70 天前
    不知道你要跳过什么 如果只是不想每次输入 那弄个长 session 一直挂着就是了 比如在你公司任意闲置的服务器 /pc 上起个 tmux session 在里面走跳板机登录好 以后每次要上 就连到这机器 切到那个 session
        13
    Felldeadbird   70 天前
    公然挑战公司的权威,你这是等着吃鱿鱼啊。
        14
    ywgx   70 天前 via Android
    我们是一家关注跳板机登录体验的公司
    https://xabcloud.com 专业解决这种账户权限管理问题,保证安全可靠的同时,不失畅快登录的体验
        15
    Sherlocker   70 天前
    老老实实用跳板机不是很好嘛,为了方便审计,别搞那么多幺蛾子,不然准备下一份工作吧
        16
    tinybaby365   70 天前
    1.ControlPersist yes,把跳板🐔的 session 持久,第二个 ssh 连跳板就不要再验证。
    2.ProxyCommand 支持 ssh 中转,只要你的跳板🐔验证不变态,可以直接 ssh 到跳板后面的 server
        17
    yesono   70 天前
    ss
        18
    ericbize   70 天前 via Android
    不是用 ssh 代理的话,ssh 能用多少电? 手机分享个网络就可以了啊😄
        19
    ericbize   70 天前 via Android
    不是用 ssh 代理的话,ssh 能用多少流量? 手机分享个网络就可以了啊😄
        20
    goodryb   70 天前
    你老大都给你发邮件了,你还作死,不想干了直接离职

    如果跳板机是纯密码登录,这个还不简单,CRT 就支持保存密码,还支持 login script

    没给你上 token+密码登录跳板机 算仁慈了
        21
    opsarno   70 天前
    不论用什么手段,你绕过了跳板机被审查住就够你喝一壶的。
        22
    qianmeng   70 天前 via Android
    这是真的猛士,方法很多但是你们公司恐怕不会喜欢你这样
        23
    pyengwoei   70 天前
    我觉得 没难度 告诉你一个方法端口映射,参照外网连接内网数据
        24
    lonelygo   70 天前
    有跳板机,LZ 你为啥要绕?这是要绕开审计,出事不出事,都能给你扣帽子。
    善待自己。
        25
    psirnull   70 天前 via iPhone
    如果真的搞得严,一个白名单就搞死你了
        26
    jadec0der   70 天前 via Android
    16 楼正解,可以复用 TCP 连接的,一天登陆一次就行
        27
    jixiangqd   70 天前
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
        28
    jixiangqd   70 天前
    @ywgx 这广告打的好,可惜我们老大也看不见
        29
    disk   70 天前 via Android
    要么做协议混淆,要么在外面用别的什么套壳传输。但审计得严格还是能看出来的。
        30
    jetbillwin   70 天前
    公司给的安全规定,不要随便破坏这个违规。研究可以,不要轻易尝试……
        31
    mritd   70 天前 via iPhone
    那么请告诉我跳板机是干嘛的,不怕的话就直接要密码,自己立 flag,出了事自己全包
        32
    jixiangqd   70 天前
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
        33
    alcarl   70 天前 via Android
    这都一大堆离职,傲娇玻璃心越来越多了
        34
    jixiangqd   70 天前
    @alcarl 不光是这个啊,公司还在各种消减福利,而且本身也在走下坡路,还在裁员。不走才傻~我上面说的话有点断章取义了~sorry
        35
    ryd994   70 天前 via Android
    说真的,要是跳板机支持公钥登录多好?
    就一个 ssh -A 的事
    私钥存智能卡,安全性不比 token 差
        36
    jixiangqd   70 天前
    @ryd994 又要占用一个接口。。。
    而且还有驱动问题,mac 用户会有麻烦的。。。

    不过说实话,这种方案确实方便很多。

    我刚来公司的时候 跳板机其实还是啥都能干的。后来好像是因为很多人用跳板机跑任务,导致跳板机性能急剧降低,所以就给禁了,就变成只能用 ssh 了。。。也是醉了
        37
    qqpkat2   70 天前
    这个简单啊,ssh 反向隧道+socket5 代理
        38
    opengps   70 天前
    如果是 Windows 的话就容易了,teamviewer 轻松搞定堡垒机
        39
    learnshare   70 天前
    绕过了安全措施,这服务器要他有何用,不如换成土豆
        40
    baoguok   70 天前
    我能说,是安全团队不行么?
        41
    40huo   70 天前
    是这个堡垒机太垃圾
        42
    wweir   70 天前 via Android
    跳板机的 vpn 是配置了基于 totp 的二步登录吧?
    这个容易搞,纯本地操作,几乎不会影响安全性。
    方法就是:1. 找 otp 库,写个自己的密码生成工具; 2. 找命令行参数,直接把二步登录的用户名密码打进去
    我们是用的 openvpn,我是自己整了个工具,套在 openvpn 的命令行工具外边,实现一键登录
        43
    yingfengi   70 天前 via Android
    既然做了行为管理,有些就是禁止的
    既然开了审计,就是要记录
    要么按规矩来,要么出局
        44
    mritd   70 天前
    @jixiangqd #32 https://gravitational.com/teleport/ 让你们老大试试这个 吧 OTP 认证 然后直连
        45
    wkc   70 天前 via Android
        46
    jixiangqd   70 天前
    @wweir Cisco AnyConnect,所以好像你这个方法不管用啊。。。
        47
    fasling   70 天前
    参考下这个 http://foocoder.github.io/linux/2015/10/12/%E6%8C%81%E4%B9%85%E5%8C%96ssh%E8%BF%9E%E6%8E%A5/

    我之前公司也是 ras token 登录堡垒机,然后再 ssh 跳。用这个好使。mac 可以,windows 不行。
        48
    sqlfeng   70 天前
    前排围观
        49
    saymagic   70 天前
    远程调试的话可以在目标机器上写一个 http 服务来转发调试的 tcp 包。
        50
    jixiangqd   69 天前
    @defunct9 看了你的方案,这边有个教程: http://blog.csdn.net/xuziqu/article/details/50587366
    但是想了想 你这种方案好像风险最高啊,安全组那边扫描估计是发了 tcp 请求的,还是可以扫到我这个端口有 ssh 服务
        51
    zhangtianhao   69 天前
    借助 shell 和 python 脚本可以实现,动态密码可以通过 api 获取。然后在脚本里实现登录,要登录的时候执行你的 shell 就可以。不过这样做并没有绕过跳板机,而是不用你在去输入密码了。
        52
    jixiangqd   69 天前
    @zhangtianhao 并没有 api 获取动态密码,是硬件 token
        53
    evilangel   69 天前
    没难度,端口转发端口映射轻轻松松绕过。
    你只是闲麻烦的话用 SecureCRT 连接跳板机的时候直接保存登陆账号密码。
    如果你所谓的跳板机是只有内网想在外网连你甚至可以在公司丢个树莓派插上网卡从跳板机 SSH 到树莓派端口映射把你内部需要登陆的服务器端口映射到树莓派的公网 IP 上,这样直接连接树莓派都是相当于通过跳板机连接你需要的设备了,符合规范要求。
        54
    defunct9   69 天前
    @jixiangqd 你以为扫描器是每个端口逐个匹配 N 个协议啊?它扫到 80,用 http 匹配后就不会继续下去了。不是吃饱了撑得非得这么搞,齐治的破跳板机,szrz 大文件的时候过不去,神经病么。所以才这么搞。
        55
    jixiangqd   69 天前
    @defunct9 好像也有点道理哈~不过不敢试了~ 多谢~
        56
    wweir   69 天前
    @jixiangqd 可以试试找找第三方客户端
        57
    jixiangqd   63 天前
    @defunct9 突然发现我们公司也是齐治的破跳板机。。。。
    哈哈哈。。。。
        58
    defunct9   63 天前 via iPhone
    @jixiangqd 握手,第一个月,就研究怎么翻墙,越过这个破玩意了
        59
    tx7778826   62 天前
    这个问题看情况了,如果 ssh 服务支持 tcp forward 的话,那就毫无压力了,直接 crt 建 ssh 隧道进行动态转发,如果不支持没就呵呵了
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   3129 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 82ms · UTC 06:00 · PVG 14:00 · LAX 22:00 · JFK 01:00
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1