Limita l'accesso all'area di amministrazione controllando le connessioni SSH

0

Supponendo che gli utenti abbiano IP dinamici (quindi non posso autorizzare la whitelist) e che l'impostazione di una VPN non è un'opzione, è un approccio valido per limitare l'accesso a un'area di amministrazione consentendo solo gli IP attualmente connessi tramite SSH sul server? Ci sono problemi di sicurezza con questo?

Cosa succede se il server in cui l'utente ha effettuato l'accesso tramite SSH non è uguale al server del sito. È corretto che il sito chiami un servizio su quell'altro server che indichi se un IP specifico è connesso? Qualche implicazione di cui non sono a conoscenza?

PS: starei ancora chiedendo la password su SSL e implementando altre misure di sicurezza di base, la domanda riguarda la limitazione dell'accesso.

PPS: comprendo i problemi di usabilità, presumo che gli utenti siano sempre connessi tramite SSH.

    
posta Schrute 08.05.2014 - 17:48
fonte

3 risposte

1

only allowing IPs that are currently connected via SSH

Un indirizzo IP non corrisponde a una persona. Qual è la persona che utilizza il wifi pubblico in un bar? Diverse decine di persone potrebbero condividere il suo indirizzo IP.

    
risposta data 08.05.2014 - 17:54
fonte
0

Se non puoi bloccare per indirizzo IP hai bisogno di qualcos'altro. Potresti usare pki o potresti usare un'autenticazione strong. Preferibilmente useresti entrambi. Si potrebbero emettere le chiavi e controllarle oppure si disporrebbe di un processo per stabilire la fiducia con una chiave generata sul sistema. Assicurati inoltre di imporre una buona protezione della password. Potresti anche vedere una sorta di integrazione di LDAP e avere una sorta di autenticazione a due fattori.

Sicuramente vuoi che il tuo server SSH sia su una DMZ se vuoi consentire l'accesso al sistema da Internet. Limita il suo accesso al resto della rete, induriscilo e mantienilo aggiornato. In questo modo hai la possibilità di limitare il danno se si rompe.

    
risposta data 08.05.2014 - 18:12
fonte
0

E i certificati client? Facilita la necessità di controllare gli IP. Solo quelli con il certificato possono accedere.

    
risposta data 08.05.2014 - 19:48
fonte

Leggi altre domande sui tag