অনেক সার্ভারের জন্য এসএসএইচ অ্যাক্সেস গেটওয়ে

12

একাধিক সার্ভার পরিচালনা করা, বর্তমানে 90 টিরও বেশি সাথে উত্তরীয়ের মাধ্যমে 3 ডিওপ সহ। সবকিছু দুর্দান্ত কাজ করছে, তবে এখনই একটি বিশাল সুরক্ষা সমস্যা রয়েছে। প্রতিটি ডিভপ সরাসরি সার্ভারগুলিতে অ্যাক্সেস পেতে তাদের নিজস্ব স্থানীয় এসএস কী ব্যবহার করে। প্রতিটি ডিভপ একটি ল্যাপটপ ব্যবহার করে এবং প্রতিটি ল্যাপটপকে সম্ভাব্যভাবে আপস করা যেতে পারে যাতে প্রোড সার্ভারের পুরো নেটওয়ার্কটি আক্রমণ পর্যন্ত খোলে।

আমি কেন্দ্রীয়ভাবে অ্যাক্সেস পরিচালনা করার জন্য একটি সমাধান খুঁজছি, এবং এইভাবে কোনও প্রদত্ত কীটির অ্যাক্সেস ব্লক করব। কীভাবে কী কী কী বিটবাকেট বা গিথুব এ যুক্ত হয় তার থেকে আলাদা নয়।

আমার মাথার শীর্ষে আমি ধরে নিব সমাধানটি একটি মেশিন, গেটওয়ে থেকে কাঙ্ক্ষিত প্রোড সার্ভারে একটি সুড়ঙ্গ হয়ে উঠবে ... গেটওয়ে দিয়ে যাওয়ার সময় অনুরোধটি একটি নতুন কী বেছে নেবে এবং পণ্যটির অ্যাক্সেস পেতে ব্যবহার করবে সার্ভার। ফলাফলটি হ'ল আমরা কেবল গেটওয়ে অ্যাক্সেসকে অস্বীকার করে সেকেন্ডের মধ্যে যে কোনও ডিভের জন্য অ্যাক্সেস দ্রুত এবং দক্ষতার সাথে কাটাতে পারি।

এখানে চিত্র বর্ণনা লিখুন

এটা কি ভাল যুক্তি? ইতিমধ্যে কেউ কি এই সমস্যাটিকে ব্যর্থ করার জন্য ইতিমধ্যে কোনও সমাধান দেখেছেন?

ssh  ansible  ssh-tunnel  ssh-keys 
জন
সূত্র
1
এটি এডাব্লুএক্স / টাওয়ারে যাওয়ার সময়।
মাইকেল হ্যাম্পটন
আমি এসএসএইচ কী পরিচালন এবং 2 এফএর জন্য ক্রিপটোনেট চেষ্টা করেছি এবং এটি আমার পক্ষে বেশ ভালভাবে কাজ করছে for তাদের প্রো / এন্টারপ্রাইজ প্যাকেজটি আরও নিয়ন্ত্রণ দেয় এবং লগইনগুলির নিরীক্ষণ বলে মনে হচ্ছে ..
অ্যালেক্স
2
উত্তরটি ফ্রিআইপিএ
জ্যাকব ইভান্স

উত্তর:

22

এটি অত্যন্ত জটিল (কোনও কী-এর কোনও নির্দিষ্ট প্রোড সার্ভারে অ্যাক্সেস রয়েছে কিনা তা পরীক্ষা করা)। গেটওয়ে সার্ভারটি জাম্প হোস্ট হিসাবে ব্যবহার করুন যা প্রতিটি বৈধ কী গ্রহণ করে (তবে সহজেই কোনও নির্দিষ্ট কীটির জন্য অ্যাক্সেস সরিয়ে ফেলতে পারে যা সমস্ত সার্ভারের অ্যাক্সেস সরিয়ে দেয়) এবং তারপরে প্রতিটি সম্পর্কিত সার্ভারে কেবল অনুমোদিত কীগুলি যুক্ত করুন add এর পরে, আপনি কেবল লাফ হোস্টের মাধ্যমে প্রতিটি সার্ভারের এসএসএইচ পোর্টে পৌঁছাতে পারবেন তা নিশ্চিত করুন।

এটি স্ট্যান্ডার্ড অ্যাপ্রোচ।

সোভেন
সূত্র
2
আরও ভাল: @ সোভেন যা বলেছে তা করুন তবে জাম্প হোস্টে 2 এফএ যুক্ত করুন। কারণ আপনি কেবল ল্যাপটপ থেকে সরাসরি সংযোগ করছেন যখন আপনার ম্যানুয়ালি প্রয়োজন, তাইনা? জাম্প হোস্টের ভিতরে কোনও সার্ভার থেকে স্বয়ংক্রিয় কিছু চলছে?
আদম
1
আপনার যদি স্থানীয় শংসাপত্রের কর্তৃত্ব থাকে (অধস্তন বা বিচ্ছিন্ন), আপনি এসএসএইচ সহ সেই শংসাপত্রগুলি ব্যবহার করতে পারেন, আপনাকে একটি বিশ্বাসী আপস করা শংসাপত্র কেন্দ্রীয়ভাবে অবৈধ করার অনুমতি দেয়।
র‌্যান্ডাল
11

প্রকৌশলীরা তাদের ল্যাপটপ থেকে সরাসরি উত্তরদাতা চালাবেন না, যদি না এটি কোনও ডেভ / টেস্ট পরিবেশ থাকে।

পরিবর্তে, একটি কেন্দ্রীয় সার্ভার রয়েছে যা গিট থেকে রানবুকগুলি টানবে। এটি অতিরিক্ত নিয়ন্ত্রণের জন্য অনুমতি দেয় (চার চোখ, কোড পর্যালোচনা)।

এটি অ্যাক্সেস আরও সীমাবদ্ধ করতে একটি ঘাঁটি বা জাম্প-হোস্টের সাথে একত্রিত করুন।

হেনক ল্যাঙ্গভেল্ড
সূত্র
1
আসলে, এডাব্লুএক্স (বা এর বাণিজ্যিক সংস্করণ টাওয়ার) সমাধান করে এমন সমস্যা।
মাইকেল হ্যাম্পটন
1

নেটফ্লিক্স আপনার সেটআপ প্রয়োগ করেছে এবং সেই পরিস্থিতিটি সহায়তা করতে কিছু বিনামূল্যে সফ্টওয়্যার প্রকাশ করেছে।

এই ভিডিওটি দেখুন https://www.oreilly.com/learning/how-netflix-gives-all-its-enginers-ssh-access বা এই উপস্থাপনাটি https://speakerdeck.com/rlewis/how-netflix-gives- এ দেখুন মূল-পয়েন্ট সহ সমস্ত-এর-প্রকৌশলী-এসএস-এক্সেস-টু-ইনস্ট্যান্স-ইন-প্রডাকশন :

আমরা আমাদের এসএসএইচ ঘাঁটি আর্কিটেকচার পর্যালোচনা করব, যা এর মূল ভিত্তিতে ইঞ্জিনিয়ারদের প্রমাণীকরণ করতে এসএসও ব্যবহার করে, এবং তারপরে ঘাঁটিটির এসএসএইচ প্রমাণীকরণের জন্য স্বল্পকালীন শংসাপত্র সহ ব্যবহারকারী শংসাপত্রগুলি ইস্যু করে। এই স্বল্পমেয়াদি শংসাপত্রগুলি এগুলি যুক্ত হওয়ার ঝুঁকি হ্রাস করে। অ্যাক্সেস দেওয়ার আগে ইঞ্জিনিয়ারদের কমিয়ে দেওয়ার পরিবর্তে এই পদ্ধতিটি কীভাবে আমাদের নিরীক্ষণ করতে এবং সত্যতার পরে স্বয়ংক্রিয়ভাবে সতর্ক করার অনুমতি দেয় তা আমরা আবরণ করব।

তাদের সফ্টওয়্যার এখানে উপলব্ধ: https://github.com/Netflix/bless

কিছু আকর্ষণীয় অ্যাওয়েস গ্রহণ করে এমনকি যদি আপনি তাদের সম্পূর্ণ সমাধানটি বাস্তবায়ন না করেন:

  • তারা কেবল কীগুলির পরিবর্তে এসএসএইচ শংসাপত্র ব্যবহার করে; আপনি শংসাপত্রের তুলনায় অনেক বেশি মেটা-ডেটা রাখতে পারেন, তাই প্রয়োজনীয়তা অনুসারে প্রচুর বাধা সক্রিয় করে এবং আরও সহজ নিরীক্ষণের অনুমতি দেয়
  • খুব স্বল্প মেয়াদী (5 মিনিটের মতো) শংসাপত্রের বৈধতা ব্যবহার করে (এসএসএইচ সেশনগুলি শংসাপত্রের মেয়াদ শেষ হওয়ার পরেও খোলা থাকে)
  • স্ক্রিপ্টিংটিকে আরও শক্তিশালী করতে 2 এফএ ব্যবহার করে এবং বিকাশকারীদের অন্যান্য সমাধানগুলি সন্ধান করতে বাধ্য করে
  • একটি নির্দিষ্ট সাব-মডিউল, তাদের অবকাঠামোগত বাহিরে এবং মেঘের দ্বারা প্রদত্ত সুরক্ষা ব্যবস্থার মাধ্যমে যথাযথভাবে সুরক্ষিত যেখানে এটি চালিত হয়, গতিশীলভাবে শংসাপত্র উত্পন্ন করে যাতে প্রতিটি বিকাশকারী কোনও হোস্টকে অ্যাক্সেস করতে পারে
প্যাট্রিক মেভাজেক
সূত্র
1

এই দৃশ্যে আপনার যথাযথ জিনিসটি ওয়ানআইডেন্টিটি (প্রাক্তন বালবাইট) এসপিএস প্রয়োজন। এই সরঞ্জামের সাহায্যে আপনি মূলত যে কোনও মেশিনে ব্যবহারকারীর পরিচয়, ব্যবহারকারীর আচরণ, নজরদারি এবং সতর্কতা এবং ব্যবহারকারীরা পরবর্তী পর্যালোচনার জন্য যা কিছু করেন তা সূচক করতে পারেন।

এলোমেলো
সূত্র
0

আমার পরামর্শটি হ'ল ব্যবহারকারীর মেশিনগুলি থেকে এসএসএইচ অ্যাক্সেসটিকে অস্বীকার করা।

পরিবর্তে আপনার উচিত

  1. গিটে হোস্ট প্লেবুক।
  2. "অ্যাক্সেস সার্ভার" একটি জেনকিন্স সার্ভারে পরিণত করুন।
  3. অনুদানের জন্য ডিভপ ব্যবহারকারীদের কেবল জেনকিন্স অ্যাক্সেস দরকার needed
  4. জেনকিন্সে এইচটিটিপি-র মাধ্যমে বিল্ড জবগুলি নিয়ে উত্তরীয় নাটকগুলি সম্পাদন করুন।
  5. অতিরিক্ত সুরক্ষা ব্যবস্থা হিসাবে, প্রয়োজন হলে জেনকিনস সিএলআই অক্ষম করুন।

নমুনা কার্যকর করার মডেল,

  1. জেনকিন্স উত্তরযোগ্য প্লাগইন: https://wiki.jenkins.io/display/JENKINS/Ansible+ প্লাগইন

অথবা

  1. ক্লাসিক শেল -রকম কাজের ধরণের। গিট চেকআউট সহ ম্যানুয়ালি আপনার বিল্ড স্টেপগুলি যুক্ত করুন।

যদি আপনি সার্ভার সংস্থানগুলির সাথে সীমাবদ্ধ থাকেন তবে একই জেনকিন্স সার্ভার গিটকে (স্কেম-ম্যানেজার) পাশাপাশি হোস্ট করতে পারে, যদিও কোনও বিকাশকারী মেশিন সংক্রামিত হলে অতিরিক্ত সুরক্ষা ঝুঁকি রয়েছে। আপনি ইন্টারনেট থেকে জেনকিন্স সার্ভারকে সংযোগ বিচ্ছিন্ন করে স্থানীয়ভাবে উত্তরীয় নির্ভরতা সমাধানের মাধ্যমে এটি প্রশমিত করতে সক্ষম হতে পারেন।

মনু বমদেবণ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.