V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
jixiangqd
V2EX  ›  Linux

公司禁止非跳板机 ssh,有没有办法绕过去?

  •  
  •   jixiangqd · 2017-11-14 16:08:33 +08:00 · 15128 次点击
    这是一个创建于 2567 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司的跳板机每次都要输入密码,而且跳板机只支持 ssh 这一个命令。

    之前通过 iptables 端口转发实现了非 22 端口开 ssh 服务绕过了跳板机,前两天收到老大的邮件说这是违规邮件,说这是违规操作,不让用了。

    想在 ssh 之上再加一层加密(避免被安全组扫到这个端口走了 ssh 协议,这样就能不被扫出来了),有没有什么好用的工具?

    第 1 条附言  ·  2017-11-14 18:49:00 +08:00
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
    第 2 条附言  ·  2017-11-14 19:36:11 +08:00
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
    59 条回复    2017-11-22 18:03:38 +08:00
    azh7138m
        1
    azh7138m  
       2017-11-14 16:15:23 +08:00
    有,离职即可
    hubert3
        2
    hubert3  
       2017-11-14 16:17:50 +08:00
    @azh7138m 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
    hubert3
        3
    hubert3  
       2017-11-14 16:18:08 +08:00
    @azh7138m 计划通
    bashbot
        4
    bashbot  
       2017-11-14 16:31:04 +08:00
    用 iptable 设个源 IP 过滤,可以避免被扫端口。抓包分析不知道怎么弄,走个 https 代理?
    但是你这么干,真不怕老大开除你?参照月饼事件。
    defunct9
        5
    defunct9  
       2017-11-14 16:34:30 +08:00
    haproxy,80 端口上走 2 个协议,http+ssh,就可以了。
    okletswin
        6
    okletswin  
       2017-11-14 16:35:04 +08:00
    不用绕过去啊,写个 expect 自动输入嘛
    rrfeng
        7
    rrfeng  
       2017-11-14 16:37:44 +08:00 via Android   ❤️ 2
    你真要这么干那就是严重的安全事故

    跟月饼可是不一样的

    跳板机要审计你的操作的,你故意绕开这是完全违法违规的行为。
    okletswin
        8
    okletswin  
       2017-11-14 16:38:19 +08:00
    话说,你要登的服务器竟然有外网 ip ?你们老大没限制 ssh 的来源 IP 啊
    8355
        9
    8355  
       2017-11-14 16:40:43 +08:00
    expect+1 手段正规 可达目的地 快捷简单 无任何风险
    xenme
        10
    xenme  
       2017-11-14 16:41:29 +08:00
    别折腾了,即使能隐藏,看看流量就很容易发现你是异常用户,这种肯定是违规了,被开除都是小事,告你个泄露机密啥的你都吃不起。
    chairuosen
        11
    chairuosen  
       2017-11-14 16:44:48 +08:00   ❤️ 1
    脑回路清奇,告诉你违规了你还要做。红灯你要不要也去闯一闯?
    jyf
        12
    jyf  
       2017-11-14 16:45:36 +08:00
    不知道你要跳过什么 如果只是不想每次输入 那弄个长 session 一直挂着就是了 比如在你公司任意闲置的服务器 /pc 上起个 tmux session 在里面走跳板机登录好 以后每次要上 就连到这机器 切到那个 session
    Felldeadbird
        13
    Felldeadbird  
       2017-11-14 16:45:46 +08:00
    公然挑战公司的权威,你这是等着吃鱿鱼啊。
    ywgx
        14
    ywgx  
       2017-11-14 16:49:44 +08:00 via Android
    我们是一家关注跳板机登录体验的公司
    https://xabcloud.com 专业解决这种账户权限管理问题,保证安全可靠的同时,不失畅快登录的体验
    Sherlocker
        15
    Sherlocker  
       2017-11-14 16:50:57 +08:00
    老老实实用跳板机不是很好嘛,为了方便审计,别搞那么多幺蛾子,不然准备下一份工作吧
    tinybaby365
        16
    tinybaby365  
       2017-11-14 16:58:19 +08:00
    1.ControlPersist yes,把跳板🐔的 session 持久,第二个 ssh 连跳板就不要再验证。
    2.ProxyCommand 支持 ssh 中转,只要你的跳板🐔验证不变态,可以直接 ssh 到跳板后面的 server
    yesono
        17
    yesono  
       2017-11-14 16:59:13 +08:00
    ss
    ericbize
        18
    ericbize  
       2017-11-14 17:02:48 +08:00 via Android
    不是用 ssh 代理的话,ssh 能用多少电? 手机分享个网络就可以了啊😄
    ericbize
        19
    ericbize  
       2017-11-14 17:03:17 +08:00 via Android
    不是用 ssh 代理的话,ssh 能用多少流量? 手机分享个网络就可以了啊😄
    goodryb
        20
    goodryb  
       2017-11-14 17:32:23 +08:00
    你老大都给你发邮件了,你还作死,不想干了直接离职

    如果跳板机是纯密码登录,这个还不简单,CRT 就支持保存密码,还支持 login script

    没给你上 token+密码登录跳板机 算仁慈了
    opsarno
        21
    opsarno  
       2017-11-14 17:44:04 +08:00
    不论用什么手段,你绕过了跳板机被审查住就够你喝一壶的。
    qianmeng
        22
    qianmeng  
       2017-11-14 17:48:17 +08:00 via Android
    这是真的猛士,方法很多但是你们公司恐怕不会喜欢你这样
    pyengwoei
        23
    pyengwoei  
       2017-11-14 17:50:22 +08:00
    我觉得 没难度 告诉你一个方法端口映射,参照外网连接内网数据
    lonelygo
        24
    lonelygo  
       2017-11-14 18:07:37 +08:00
    有跳板机,LZ 你为啥要绕?这是要绕开审计,出事不出事,都能给你扣帽子。
    善待自己。
    psirnull
        25
    psirnull  
       2017-11-14 18:11:39 +08:00 via iPhone
    如果真的搞得严,一个白名单就搞死你了
    jadec0der
        26
    jadec0der  
       2017-11-14 18:41:22 +08:00 via Android
    16 楼正解,可以复用 TCP 连接的,一天登陆一次就行
    jixiangqd
        27
    jixiangqd  
    OP
       2017-11-14 18:47:56 +08:00
    @8355
    @okletswin expect 不行的,动态密码。。。最方便的只有复制终端了,这个已经搞好了。

    但是,其实不是我真正目的,我想用 ide 搞远程调试与代码自动 sync。
    最方便的是 ssh 协议,如果走别的协议都要终端+ide 双重操作,比较繁琐。

    @tinybaby365 proxy 搞不来,因为跳板机只支持 ssh。。。

    PS:其实我就是想研究一下技术,并没有打算真的继续挑战权威~发现发个贴总是会被带歪。。。
    jixiangqd
        28
    jixiangqd  
    OP
       2017-11-14 18:57:35 +08:00
    @ywgx 这广告打的好,可惜我们老大也看不见
    disk
        29
    disk  
       2017-11-14 19:06:02 +08:00 via Android
    要么做协议混淆,要么在外面用别的什么套壳传输。但审计得严格还是能看出来的。
    jetbillwin
        30
    jetbillwin  
       2017-11-14 19:12:51 +08:00
    公司给的安全规定,不要随便破坏这个违规。研究可以,不要轻易尝试……
    mritd
        31
    mritd  
       2017-11-14 19:20:29 +08:00 via iPhone
    那么请告诉我跳板机是干嘛的,不怕的话就直接要密码,自己立 flag,出了事自己全包
    jixiangqd
        32
    jixiangqd  
    OP
       2017-11-14 19:35:59 +08:00
    @disk 说的也是,所以只限于研究一下了。不敢祚了。

    @mritd 主要是跳板机只能用 ssh,而且只能 ssh ip,机器名都不支持,而且 ssh 的参数也不支持,所以非常不方便。
    跳板机还要 token,token1 分钟一刷,拨 vpn 也要 token,登陆跳板机和拨 vpn 不能用同一个 token,所以拨完了 vpn 还要等 token 变密码才能登跳板机。

    搞了一堆限制,也不想想怎么把跳板机弄得好用点,就是安全团队干的事吧。

    感觉在上家的时候,发了一堆台式机,不让用 mac 了(因为安全团队出的监控审计方案没有 mac 的),还导致了一大堆离职。


    吐槽一下,就这样吧~结贴。。。
    alcarl
        33
    alcarl  
       2017-11-14 20:47:23 +08:00 via Android
    这都一大堆离职,傲娇玻璃心越来越多了
    jixiangqd
        34
    jixiangqd  
    OP
       2017-11-14 20:48:48 +08:00
    @alcarl 不光是这个啊,公司还在各种消减福利,而且本身也在走下坡路,还在裁员。不走才傻~我上面说的话有点断章取义了~sorry
    ryd994
        35
    ryd994  
       2017-11-14 20:50:06 +08:00 via Android
    说真的,要是跳板机支持公钥登录多好?
    就一个 ssh -A 的事
    私钥存智能卡,安全性不比 token 差
    jixiangqd
        36
    jixiangqd  
    OP
       2017-11-14 20:57:45 +08:00
    @ryd994 又要占用一个接口。。。
    而且还有驱动问题,mac 用户会有麻烦的。。。

    不过说实话,这种方案确实方便很多。

    我刚来公司的时候 跳板机其实还是啥都能干的。后来好像是因为很多人用跳板机跑任务,导致跳板机性能急剧降低,所以就给禁了,就变成只能用 ssh 了。。。也是醉了
    qqpkat2
        37
    qqpkat2  
       2017-11-14 22:26:23 +08:00
    这个简单啊,ssh 反向隧道+socket5 代理
    opengps
        38
    opengps  
       2017-11-14 22:36:58 +08:00
    如果是 Windows 的话就容易了,teamviewer 轻松搞定堡垒机
    learnshare
        39
    learnshare  
       2017-11-14 22:47:47 +08:00
    绕过了安全措施,这服务器要他有何用,不如换成土豆
    baoguok
        40
    baoguok  
       2017-11-14 23:01:54 +08:00
    我能说,是安全团队不行么?
    40huo
        41
    40huo  
       2017-11-14 23:06:14 +08:00
    是这个堡垒机太垃圾
    wweir
        42
    wweir  
       2017-11-14 23:31:53 +08:00 via Android
    跳板机的 vpn 是配置了基于 totp 的二步登录吧?
    这个容易搞,纯本地操作,几乎不会影响安全性。
    方法就是:1. 找 otp 库,写个自己的密码生成工具; 2. 找命令行参数,直接把二步登录的用户名密码打进去
    我们是用的 openvpn,我是自己整了个工具,套在 openvpn 的命令行工具外边,实现一键登录
    yingfengi
        43
    yingfengi  
       2017-11-14 23:36:29 +08:00 via Android
    既然做了行为管理,有些就是禁止的
    既然开了审计,就是要记录
    要么按规矩来,要么出局
    mritd
        44
    mritd  
       2017-11-14 23:45:50 +08:00
    @jixiangqd #32 https://gravitational.com/teleport/ 让你们老大试试这个 吧 OTP 认证 然后直连
    wkc
        45
    wkc  
       2017-11-15 09:31:33 +08:00 via Android
    jixiangqd
        46
    jixiangqd  
    OP
       2017-11-15 10:14:23 +08:00
    @wweir Cisco AnyConnect,所以好像你这个方法不管用啊。。。
    fasling
        47
    fasling  
       2017-11-15 10:46:03 +08:00
    参考下这个 http://foocoder.github.io/linux/2015/10/12/%E6%8C%81%E4%B9%85%E5%8C%96ssh%E8%BF%9E%E6%8E%A5/

    我之前公司也是 ras token 登录堡垒机,然后再 ssh 跳。用这个好使。mac 可以,windows 不行。
    sqlfeng
        48
    sqlfeng  
       2017-11-15 10:56:56 +08:00
    前排围观
    saymagic
        49
    saymagic  
       2017-11-15 12:55:42 +08:00
    远程调试的话可以在目标机器上写一个 http 服务来转发调试的 tcp 包。
    jixiangqd
        50
    jixiangqd  
    OP
       2017-11-15 15:58:47 +08:00
    @defunct9 看了你的方案,这边有个教程: http://blog.csdn.net/xuziqu/article/details/50587366
    但是想了想 你这种方案好像风险最高啊,安全组那边扫描估计是发了 tcp 请求的,还是可以扫到我这个端口有 ssh 服务
    zhangtianhao
        51
    zhangtianhao  
       2017-11-15 15:58:54 +08:00
    借助 shell 和 python 脚本可以实现,动态密码可以通过 api 获取。然后在脚本里实现登录,要登录的时候执行你的 shell 就可以。不过这样做并没有绕过跳板机,而是不用你在去输入密码了。
    jixiangqd
        52
    jixiangqd  
    OP
       2017-11-15 16:00:20 +08:00
    @zhangtianhao 并没有 api 获取动态密码,是硬件 token
    evilangel
        53
    evilangel  
       2017-11-15 16:02:44 +08:00
    没难度,端口转发端口映射轻轻松松绕过。
    你只是闲麻烦的话用 SecureCRT 连接跳板机的时候直接保存登陆账号密码。
    如果你所谓的跳板机是只有内网想在外网连你甚至可以在公司丢个树莓派插上网卡从跳板机 SSH 到树莓派端口映射把你内部需要登陆的服务器端口映射到树莓派的公网 IP 上,这样直接连接树莓派都是相当于通过跳板机连接你需要的设备了,符合规范要求。
    defunct9
        54
    defunct9  
       2017-11-15 16:13:32 +08:00
    @jixiangqd 你以为扫描器是每个端口逐个匹配 N 个协议啊?它扫到 80,用 http 匹配后就不会继续下去了。不是吃饱了撑得非得这么搞,齐治的破跳板机,szrz 大文件的时候过不去,神经病么。所以才这么搞。
    jixiangqd
        55
    jixiangqd  
    OP
       2017-11-15 16:39:42 +08:00
    @defunct9 好像也有点道理哈~不过不敢试了~ 多谢~
    wweir
        56
    wweir  
       2017-11-15 17:16:25 +08:00
    @jixiangqd 可以试试找找第三方客户端
    jixiangqd
        57
    jixiangqd  
    OP
       2017-11-22 10:42:06 +08:00
    @defunct9 突然发现我们公司也是齐治的破跳板机。。。。
    哈哈哈。。。。
    defunct9
        58
    defunct9  
       2017-11-22 13:30:03 +08:00 via iPhone
    @jixiangqd 握手,第一个月,就研究怎么翻墙,越过这个破玩意了
    tx7778826
        59
    tx7778826  
       2017-11-22 18:03:38 +08:00
    这个问题看情况了,如果 ssh 服务支持 tcp forward 的话,那就毫无压力了,直接 crt 建 ssh 隧道进行动态转发,如果不支持没就呵呵了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   927 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 21:15 · PVG 05:15 · LAX 13:15 · JFK 16:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.