Applicazioni server locali che utilizzano un front-end Web su ambienti desktop multi-utente

Naviga le tue risposte
4

Attualmente dispongo di server linux multiutente in cui gli sviluppatori accedono al desktop remoto e utilizzano la sessione come ambiente di lavoro.

Ma sono un po 'preoccupato per la crescente popolarità delle applicazioni applicative che utilizzano una porta localhost per comunicare tra parti (ad esempio back-end in python e front-end aperti in un browser, ad esempio: link )

Su un ambiente desktop multi-utente unix localhost è accessibile da qualsiasi utente.

E la cosa peggiore, anche se quel tipo di applicazione vorrebbe implementare una connessione sicura tra il front-end Web e il back-end non c'è una soluzione davvero perfetta:

  • usa HTTP su socket dominio unix (AF_UNIX): non attualmente supportato dal popolare browser web
  • usa un'interfaccia di rete privata "utente" "localuser": inesistente, localhost è l'unico standard
  • usa un tocken nell'URL lanciato dal browser: link : il tocken può perdere altri utenti tramite l'argomento della riga di comando se procfs non è montato con hidepid = 1 opzione
  • avere una password impostata durante l'installazione del programma, chiedere all'utente di inserire la password e impostare un cookie di sessione: non il più facile da usare per un'applicazione desktop ...

Quindi non posso nemmeno segnalare bug agli sviluppatori di queste applicazioni e sperare in soluzioni!

La mia conclusione è che sembra che unix gli ambienti desktop multiutente siano oggi considerati dannosi per questo caso d'uso (e sono simpatico per altri casi in cui gli env multiutente sono considerati dannosi ). E che dovrei prendere in considerazione il passaggio a VDI (1 macchina virtuale per utente) il prima possibile. Ma sarebbe molto lavoro migrare dall'ambiente multiutente a 1 desktop di macchine virtuali per utente.

Ma voglio essere sicuro prima di cambiare la mia infrastruttura: ho ragione nel mio ragionamento o troppo allarmante?

N.B: I know it is an unclear question, it a result of a long search on securing localhost connexions on my multi-user unix environments without any successful solution, so I'm hoping for interesting opinions about this problem...

    
posta sligor 04.05.2018 - 19:28
fonte

1 risposta

1

Non ho una buona risposta, ma noto che la domanda non menziona la tecnologia dei contenitori come un potenziale meccanismo di isolamento da esplorare.

Vorrei incoraggiare questa esplorazione. L'ecosistema dei container ha un enorme successo, migliaia di ingegneri in centinaia di aziende, che racchiudono tutte le cose. In linea di principio non vi è alcuna ragione che non sarebbe una soluzione perfetta per questo problema.

Una soluzione per la qualità della produzione potrebbe non essere disponibile al momento, ma ho già visto in diverse occasioni che l'ecosistema di kubernetes fornisce una soluzione da un punto di partenza iniziale prima che un'org che necessitava della soluzione fosse in grado di uscire da un processo di pianificazione per salire da solo.

Il googling veloce su questo trova un POC:

link

Non credo che la macchina k8s supporti attualmente vnc, ma ricordo di aver visto le porte del protocollo vnc sui socket web, che è direttamente gestibile dal cluster k8s.

Speriamo che qualcuno con la conoscenza diretta dello stato di gioco qui si senta.

    
risposta data 04.05.2018 - 23:49
fonte

Leggi altre domande sui tag

Ricreare le password di Google Chrome Burpsuite: basta passare attraverso il portale di rilevamento firefox