公司禁止非跳板机 ssh,有没有办法绕过去?

2017-11-14 16:08:33 +08:00
 jixiangqd

公司的跳板机每次都要输入密码,而且跳板机只支持 ssh 这一个命令。

之前通过 iptables 端口转发实现了非 22 端口开 ssh 服务绕过了跳板机,前两天收到老大的邮件说这是违规邮件,说这是违规操作,不让用了。

想在 ssh 之上再加一层加密(避免被安全组扫到这个端口走了 ssh 协议,这样就能不被扫出来了),有没有什么好用的工具?

15134 次点击
所在节点    Linux
59 条回复
opsarno
2017-11-14 17:44:04 +08:00
不论用什么手段,你绕过了跳板机被审查住就够你喝一壶的。
qianmeng
2017-11-14 17:48:17 +08:00
这是真的猛士,方法很多但是你们公司恐怕不会喜欢你这样
pyengwoei
2017-11-14 17:50:22 +08:00
我觉得 没难度 告诉你一个方法端口映射,参照外网连接内网数据
lonelygo
2017-11-14 18:07:37 +08:00
有跳板机,LZ 你为啥要绕?这是要绕开审计,出事不出事,都能给你扣帽子。
善待自己。
psirnull
2017-11-14 18:11:39 +08:00
如果真的搞得严,一个白名单就搞死你了
jadec0der
2017-11-14 18:41:22 +08:00
16 楼正解,可以复用 TCP 连接的,一天登陆一次就行
jixiangqd
2017-11-14 18:47:56 +08:00
@8355
@okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

@tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
jixiangqd
2017-11-14 18:57:35 +08:00
@ywgx 这广告打的好,可惜我们老大也看不见
disk
2017-11-14 19:06:02 +08:00
要么做协议混淆,要么在外面用别的什么套壳传输。但审计得严格还是能看出来的。
jetbillwin
2017-11-14 19:12:51 +08:00
公司给的安全规定,不要随便破坏这个违规。研究可以,不要轻易尝试……
mritd
2017-11-14 19:20:29 +08:00
那么请告诉我跳板机是干嘛的,不怕的话就直接要密码,自己立 flag,出了事自己全包
jixiangqd
2017-11-14 19:35:59 +08:00
@disk 说的也是,所以只限于研究一下了。不敢祚了。

@mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


吐槽一下,就这样吧~结贴。。。
alcarl
2017-11-14 20:47:23 +08:00
这都一大堆离职,傲娇玻璃心越来越多了
jixiangqd
2017-11-14 20:48:48 +08:00
@alcarl 不光是这个啊,公司还在各种消减福利,而且本身也在走下坡路,还在裁员。不走才傻~我上面说的话有点断章取义了~sorry
ryd994
2017-11-14 20:50:06 +08:00
说真的,要是跳板机支持公钥登录多好?
就一个 ssh -A 的事
私钥存智能卡,安全性不比 token 差
jixiangqd
2017-11-14 20:57:45 +08:00
@ryd994 又要占用一个接口。。。
而且还有驱动问题,mac 用户会有麻烦的。。。

不过说实话,这种方案确实方便很多。

我刚来公司的时候 跳板机其实还是啥都能干的。后来好像是因为很多人用跳板机跑任务,导致跳板机性能急剧降低,所以就给禁了,就变成只能用 ssh 了。。。也是醉了
qqpkat2
2017-11-14 22:26:23 +08:00
这个简单啊,ssh 反向隧道+socket5 代理
opengps
2017-11-14 22:36:58 +08:00
如果是 Windows 的话就容易了,teamviewer 轻松搞定堡垒机
learnshare
2017-11-14 22:47:47 +08:00
绕过了安全措施,这服务器要他有何用,不如换成土豆
baoguok
2017-11-14 23:01:54 +08:00
我能说,是安全团队不行么?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/406322

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX