带授权的 SSH 端口隧道

Posted 2023-03-23

【中文标题】带授权的 SSH 端口隧道

【英文标题】：SSH Port Tunneling With Authorization

【发布时间】：2017-02-23 19:44:47

【问题描述】：

如果用户在特定的 Active Directory 组中，是否可以只允许通过 SSH 端口隧道使用端口？

我有一台客户端计算机、一台 Windows Web 服务器和一台带有数据库的 Linux 服务器。我希望客户端能够使用 SSH 连接到数据库，但前提是它们位于特定的 AD 组中。

有什么方法可以实现吗？

【参考方案1】：

基本上：没有。任何具有 shell 访问权限的用户都可以使用自己的转发器并获得对端口的访问权限。因此，如果您在 Linux 机器上有用户 root、bob 和 dbtunnel，那么这三个用户都可以“导出”对数据库的访问权限。

但是您真正想要做什么？因为在我看来，您希望加密（可能压缩）Web 服务器和数据库之间的数据库连接。你完全可以在没有 SSH 的情况下做到这一点。

您可以使用 SSH 执行的操作是禁用端口转发 和 shell，但该组除外。 sshd_config allowgroups supports LDAP。您将严格限制 Linux 机器上的所有（或大多数）用户。

某些数据库，例如mysql offer native encryption，与“天生”的解决方案相比可能性能不高。 MySQL 还具有压缩的客户端/服务器协议（在使用第三方加密连接时最好禁用）。

您可以设置 *** 并只允许从 *** 接口访问端口 3306。

此外，您可以将连接（SSH 和 ***）限制为来自 Web 服务器的连接，以减少数据库计算机的攻击面。

一个奇特的解决方案，即使它对安全性影响不大，是不在 Linux 机器上完全没有 SSHd，而是在 Windows 机器上安装它。然后Linux 机器可以连接autossh 客户端并将其本地 3306 端口转发到远程。 Windows 机器上的任何人仍然可以连接到数据库。并且隧道用户甚至不需要在 Linux 机器上存在。然后，出于管理目的，您可以禁用对除bob 之外的所有用户的 SSH 访问。要使用 auto-SSH 从 Linux 到 Windows 打开隧道，您需要一些 SSH server 或 other for Windows。

***、iptables 和反向隧道几乎没有区别的原因是，攻击者如何“进入”Windows 机器？他可能会利用 Web 服务器。但此时，无论 Web 服务器和数据库之间存在何种连接，攻击者无论如何都将拥有完全访问权限。他只会捎带现有的连接。

因此，防火墙 IP 限制和反向隧道解决方案对用户识别没有任何作用，因为无论如何它都没有实际意义，而是消除了非管理员用户可以从 Web 服务器外部访问 Linux 机器的漏洞。

花哨的解决方案（在本例中是 MySQL 和端口 3306；也可以是 PostgreSQL 和端口 5432）

在 Windows 机器上的某个非标准端口上安装 SSHd 服务器。 将 Windows 防火墙配置为仅当来自 Linux 计算机的 IP 时才允许连接到该端口。 在 Windows 计算机上创建一个（受限）用户以允许 Linux 进行连接。 在 Linux 机器上安装 autossh 脚本（上图）并将其配置为连接到 Windows 服务器，将本地 3306 端口转发到绑定到 localhost 的新创建的监听远程 3306 端口（无 -g 选项）。 告诉 Web 服务器在地址 127.0.0.1 的 3306 端口有一个 MySQL 服务器。

...你就完成了。

现在谁可以连接到数据库？

任何用户在这台 Windows 机器上。这应该只表示 Web 服务器用户 (*)。 在 Linux 机器上具有 SSH 访问权限的任何管理员用户（前提是有对 Linux 机器的 SSH 访问权限。您可以将其关闭）。

攻击者成功利用了 Windows Web 服务器

：但无论如何他都可以这样做，因为 Web 服务器需要访问数据库。

^{(*) 如果端口转发受 LDAP 限制，任何其他用户也可以这样做——他们只需要等到启用 LDAP 的用户执行连接，然后他们就可以已经捎带上了它。}

【讨论】：

你能扩展这个奇特的解决方案吗？如果用户在特定组中，我只想将连接转发到 Windows 服务器上的数据库