【已解决】【讨论+提问】内网SSH访问方案的探索与考虑

como

背景
目前堡垒机用的是Next Terminal的方案。这个方案唯一的不足是没有内置访问内网ssh的方案

需求：

1.有审计需求
2. 想访问内网里没有公网ip机器的SSH (可以像哪吒探针的agent那种访问内网ssh)
3. 一键的 \ 适合大量部署的方案 （类似哪吒agent的安装方式）。

我考虑了虚拟专用网络（虚拟LAN)、FRP、CF TUNNEL和SSH反向隧道这四种方法。

1. 虚拟专用网络 （繁琐的部署+花钱）:
   - 我试过依赖第三方的服务，如ZeroTier，但我发现它们的安装和配置过程都很复杂。

2. FRP （繁琐的部署+大量端口管理+稳定性差）:
   - 我尝试过这个方案，但感觉安装繁琐，还要管理很多端口。此外我也注意到它有时候运行并不稳定。

3. SSH反向隧道 （安全问题）:
   - 今天尝试了这个方案。但当"被控机"作为公共机器时，任何使用“被控机”的人都可以直接用公钥访问我"主控机"上的文件，这让我很担心安全问题。（相当于我去todesk别人的电脑，对面也能同时todesk我）

   - 尝试在`authorized_keys`里加了一些特定的限制，如："command="/path/to/limited_script.sh",no-pty,no-agent-forwarding,no-X11-forwarding"，但感觉这样还是不够安全。

   - 也考虑过设置一个中间的“跳板机”来隔离"被控机"，这样它们就不能直接访问我的"主控机"了。但如果有多个"被控机"，我发现它们在"跳板机"里还是可以访问到其他"被控机"的私钥。


4、CF TUNNEL （无法对接NextTerminal完成审计）:
为了使用CF TUNNEL提供的SSH，发起连接的机器已经安装了cloudflared，并可以在shell中通过ssh [email protected]命令正常连接到目标机器。然而，当我们在NextTerminal中尝试发起SSH连接时，它与直接在shell中的方式表现出不同的行为，并最终报出了“dial tcp 104.21.67.15:22: i/o timeout”的错误。因此，这种方法在NextTerminal上似乎无**常工作，导致无法进行审计。

0.0

https://goteleport.com/

t9913085

frp还是非常稳定的

como

0.0 发表于 2023-8-27 14:42
https://goteleport.com/

国内也有个teleport,不过那个项目一年没更了. 这种三方的就是费用高,限制多

yep

zerotier部署很方便啊，官网上的脚本安装后join一下就行了，可以设置网络为开放免认证加入网络，之后再设置为私有就好了，最大的问题是国内用zt不太稳定

0.0

como 发表于 2023-8-27 14:44
国内也有个teleport,不过那个项目一年没更了. 这种三方的就是费用高,限制多 ...

这个完全符合你需求，以前折腾过社区版，没考虑到商业版付费的问题

逸笙

zerotier不就一个sh安装一下？再join一下，再去官网打个勾，结束。我有设置通过目标机器转发访问内网其它机器。

como

0.0 发表于 2023-8-27 14:54
这个完全符合你需求，以前折腾过社区版，没考虑到商业版付费的问题

装上了，也确实是那么回事儿——但身份管理极其复杂要手动搓码。
问题主要集中在：
1、无法直观的看到机器是否在线。
2、无法直接在面板后台分配权限，甚至无法在可视化界面给服务器改名，可以说可视化页面能做的事情极其有限
3、没有中文操作界面和文档。

@0.0

como

逸笙 发表于 2023-8-27 15:10
zerotier不就一个sh安装一下？再join一下，再去官网打个勾，结束。我有设置通过目标机器转发访问内网其它机 ...

这个最多只能部署25台机器吧==

como

yep 发表于 2023-8-27 14:49
zerotier部署很方便啊，官网上的脚本安装后join一下就行了，可以设置网络为开放免认证加入网络，之后再设置 ...

这个最大的问题是貌似只能部署25台==