【已解决】【讨论+提问】内网SSH访问方案的探索与考虑

como

背景
目前堡垒机用的是Next Terminal的方案。这个方案唯一的不足是没有内置访问内网ssh的方案

需求：

1.有审计需求
2. 想访问内网里没有公网ip机器的SSH (可以像哪吒探针的agent那种访问内网ssh)
3. 一键的 \ 适合大量部署的方案 （类似哪吒agent的安装方式）。

我考虑了虚拟专用网络（虚拟LAN)、FRP、CF TUNNEL和SSH反向隧道这四种方法。

1. 虚拟专用网络 （繁琐的部署+花钱）:
   - 我试过依赖第三方的服务，如ZeroTier，但我发现它们的安装和配置过程都很复杂。

2. FRP （繁琐的部署+大量端口管理+稳定性差）:
   - 我尝试过这个方案，但感觉安装繁琐，还要管理很多端口。此外我也注意到它有时候运行并不稳定。

3. SSH反向隧道 （安全问题）:
   - 今天尝试了这个方案。但当"被控机"作为公共机器时，任何使用“被控机”的人都可以直接用公钥访问我"主控机"上的文件，这让我很担心安全问题。（相当于我去todesk别人的电脑，对面也能同时todesk我）

   - 尝试在`authorized_keys`里加了一些特定的限制，如："command="/path/to/limited_script.sh",no-pty,no-agent-forwarding,no-X11-forwarding"，但感觉这样还是不够安全。

   - 也考虑过设置一个中间的“跳板机”来隔离"被控机"，这样它们就不能直接访问我的"主控机"了。但如果有多个"被控机"，我发现它们在"跳板机"里还是可以访问到其他"被控机"的私钥。


4、CF TUNNEL （无法对接NextTerminal完成审计）:
为了使用CF TUNNEL提供的SSH，发起连接的机器已经安装了cloudflared，并可以在shell中通过ssh [email protected]命令正常连接到目标机器。然而，当我们在NextTerminal中尝试发起SSH连接时，它与直接在shell中的方式表现出不同的行为，并最终报出了“dial tcp 104.21.67.15:22: i/o timeout”的错误。因此，这种方法在NextTerminal上似乎无**常工作，导致无法进行审计。

省港澳白嫖王

齐治

a5582323

软件解决不了就上硬件




/**
* 不忘初心，努力前行
*/

como

榆木 发表于 2023-8-27 19:57
我也用的 NextTerminal 。针对你这个情况 可以这么处理。找一个内网的机器用CloudFlared进行中转，至于你报 ...

不愧是大佬

como

缘尽心风 发表于 2023-8-27 18:36
jumpserver

JumpServer对主控机的硬件要求比较高，硬盘和内存要求都不低==，而且也没有原生的内网SSH连接功能

榆木

我也用的 NextTerminal 。针对你这个情况 可以这么处理。找一个内网的机器用CloudFlared进行中转，至于你报的错，是因为CloudFlared tunnel tcp 时候是需要在另一段也运行软件的，cloudflared access tcp --hostname [绑定到的域名] --listener [本地监听地址] ，然后在 NextTerminal 添加本地监听的地址即可。

如果还需要访问内网的其他机器 直接使用 “接入网关” 这个功能即可。

逸笙

como 发表于 2023-8-27 16:41
这个最多只能部署25台机器吧==

啊？我印象中是100

HOH

como 发表于 2023-8-27 18:53
国产的目前除了JumpServer和NextTerminal基本都是半途而废的作品  而这两者都不支持一键被控端部署 ...

我们公司用的齐治的就挺好用

como

HOH 发表于 2023-8-27 18:23
国产一堆现成产品，又不舍得花钱，自己做一个得了

国产的目前除了JumpServer和NextTerminal基本都是半途而废的作品 而这两者都不支持一键被控端部署，解决不了内网ssh的问题……

缘尽心风

jumpserver