Каковы обычные технологии изоляции сервера?

Question

Каковы обычные технологии изоляции сервера?

У нас есть несколько серверов разработки, которые используются аутсорсинговыми компаниями, с этих серверов разработки они могут ssh в серверы производственной базы данных, вы можете сказать мне, как изолировать серверы от доступа друг к другу?

-2

linux linux-networking isolated-network

Источник

Sato 22 мар '17 в 00:44

2 ответа

Другие вопросы по тегам linux linux-networking isolated-network

pilsetnieks 22 мар '17 в 04:30 2017-03-22 04:30 · Answer 1 · 2017-03-22 04:30

Изменить логин и пароль на производственных серверах? Брандмауэр их в вашем роутере, может быть?

Если SSH является вашей единственной задачей, а серверы разработки должны иметь возможность иного доступа к серверам prod, вы можете отключить оболочку для этих конкретных учетных данных (т. Е. Установить оболочку на /sbin/nologin или же /bin/false.)

Наконец, если эти конкретные учетные записи должны иметь доступ по SSH, но не с этих серверов (хотя на этом этапе я бы посоветовал вам переосмыслить свою политику безопасности), вы можете отказать им в доступе, занеся в белый список разрешенные IP-адреса (лучше) или внеся в черный список. ненужные адреса (не очень хорошо.):

Whitelisting:

В /etc/hosts.allow добавить:

sshd: [your allowed addresses/subnets]
sshd: [your allowed addresses/subnets]
sshd: [your allowed addresses/subnets]

(возможно несколько записей)

В /etc/hosts.deny добавьте:

sshd: ALL

Блокирующие:

То же самое, но наоборот. В /etc/hosts.deny добавьте:

sshd: [disallowed addresses/subnets]

Нет необходимости добавлять что-либо в /etc/hosts.allow.

А затем перезапустите свой SSH-сервер (службу sshd, а не весь сервер). На всякий случай, если SSH - единственный способ получить доступ к этим серверам, оставьте соединение работающим, пока вы это делаете, чтобы не потерять доступ в случае, если что-то не работает, и вы должны это исправить.

Supratik 22 мар '17 в 06:27 2017-03-22 06:27 · Answer 2 · 2017-03-22 06:27

Вы можете настроить хост-бастион в своей среде, чтобы разрешить ssh работать и занести в белый список его IP-адрес в брандмауэре.

Для аутентификации и авторизации вы можете настроить централизованное решение для управления идентификацией. Есть несколько решений с открытым исходным кодом, которые позволяют вам сделать это, и FreeIPA является одним из них, которое является бесплатным IDM-решением. Он помогает вам управлять пользователями и хостами linux из единого центра и обеспечивает единую аутентификацию для всех ваших систем, служб и приложений. Это также помогает вам контролировать, кто имеет доступ к чему-либо с помощью политик авторизации для ваших личных данных.