Комментарии 5
Про реверсивный L7 прокси сервер sshpiperd забыли, живет в продакшене больше года, полет нормальный. Настроен без докер контейнера, проксирует на нужный сервер в зависимости от логина, сквозная аутентификация по ключу и krb5 работает, при чем берется туннель с нижестоящего хоста.

Не согласен с рекомендацией менять порт SSH по умолчанию. В том виде, как это предлагается в статье это ничему не помогает. Менять порт ради введения в заблуждения злоумышленника уже давно неактуально.


Зато имеет смысл использовать нестандартный порт, чтобы запускать сервер без прав рута. Поднять 2 SSH-сервера, один на стандартном порту для администрирования, другой на нестандартном от имени пользователя nobody. Вот его и использовать для проксирования, все равно он будет физически неспособен что-либо другое сделать.

Teleport не использует SSH-ключи и вместо этого по умолчанию использует более безопасные и гибкие сертификаты SSH


Если я правильно понимаю документацию (на языке оригинала), там X.509 сертификаты (обычно именуемые SSL-сертификатами), в примере — от LetsEncrypt.

Можно пояснить подробнее, чем они безопаснее, например, Ed25519-ключа?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
2009
Местоположение
Россия
Сайт
www.cloud4y.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре