установите ssh сервер и http сервер оба на порте 80
Общие лучшие практики в организациях я работал в оценке 'корневой' учетной записи.
- Отключите удаленный доступ полностью или только позвольте SSH через ключевую аутентификацию.
- Отключайте/блокируйте пароль корня (а-ля Ubuntu).
- Строго потребуйте использования
sudoи удостоверьтесь, что это регистрируется правильно. - Блокировка вниз
/bin/suтолько быть исполняемым файлом определенной группой (часто,wheelилиsysadmin). - Удостоверьтесь, что корневые оболочки хорошо зарегистрированы (осуществить
script, использоватьsudosh, приемы истории оболочки, и т.д.). - Только пользователи, которые требуют
rootдоступ предоставляется права наsudo ALLи права иначе предоставляют через sudo на просматривать основе.
UID 0 все еще требуется, особенно для задач как вводные порты ниже 1024, даже если privs отбрасываются после того, как приложение работает.
Безопасность и удобство являются взаимоисключающими в IT. Используя root учетная запись непосредственно часто является вопросом удобства, не необходимостью, возможно, потому что администраторы очень не хотят ввести sudo все время?
Я думаю, что что-то вроде схемы может быть в порядке здесь. Вы говорите, что имеете, уже устанавливают SSH по туннелю HTTP через прокси-сервер. Принятие Вы выполняете что-то на компьютере удаленного сервера для обработки завершения, что SSH по HTTP туннелируют, необходимо быть в бизнесе.
Это кажется, что у Вас действительно нет SSH по Прокси HTTP, если Вы все еще пытаетесь получить соединения с удаленным сервером, целевой порт 22.
Dag Wieers (известности репозитория об/мин) записал ПРАКТИЧЕСКОЕ РУКОВОДСТВО для туннелирования SSH по HTTP (S). Если Ваш удаленный сервер выполняет Apache, необходимо смочь осуществить ту конфигурацию на удаленном сервере.
Я говорю о выполнении этого:
(источник: wellbury.com)
-
1Даже если я использую SSH по HTTP, конечное место назначения является все еще портом 22, который заблокирован брандмауэром. У меня не может быть sshd, слушающего на порте 80 или 443, который уже используется веб-сервером. Я предпочел бы не иметь весь трафик SSH, идущий в веб-сервер сначала, разговор о плохой производительности. – Laurent Luce 24 September 2009 в 05:21
-
2PS: Я использую lighttpd для веб-сервера. – Laurent Luce 24 September 2009 в 05:22
-
3Мое редактирование это I' m отбрасывающий на через мгновение будет включать схему. Очевидно, we' ре, не говоря о той же топологии. – Evan Anderson 24 September 2009 в 09:06
-
4Спасибо за схему. Что относительно того, если уже существует веб-сервер, слушающий на порте 443, и он не может использоваться для получения трафика SSH. – Laurent Luce 24 September 2009 в 09:57
-
5Ссылка, которую я включал в свое сообщение от Dag Wieers, описывает Apache конфигурирования для проксирования трафика к SSH. Вы указали на you' ре с помощью lighttpd. У меня нет опыта с lighttpd, к сожалению. Рассмотрение Wiki для проекта, казалось бы, что существует патч (см. redmine.lighttpd.net/issues/2060 ), который добавит необходимое поведение ПОДКЛЮЧЕНИЯ к lighttpd для поддержки трафика проксирования к sshd. Вы, в теории, могли заменить своей установкой lighttpd в том, где Dag использует Apache в своем ПРАКТИЧЕСКОМ РУКОВОДСТВЕ. – Evan Anderson 24 September 2009 в 10:15
Вам будет нужен второй IP-адрес, чтобы иметь демона SSH, слушающего на порте 80 или 443. Правильный ответ, тем не менее, должен был починить брандмауэр в клиентском конце для разрешения посещать соответствующему трафику. Туннелирование всего по HTTP (S) глупо, это превращает Интернет в два портовых города.
-
1Мне жаль, что мы не могли сделать это. Многие предприятия don' t открывают что-либо еще, чем порт 80 и 443. – Laurent Luce 24 September 2009 в 06:20
-
2Поэтому зафиксируйте это, затем. Don' t идут, наполняя все вниз один порт. – womble♦ 24 September 2009 в 10:58
-
3
-
4Поскольку люди don' t как он, когда they' ре напомнило о как they' ре, завинчивающее Интернет. – womble♦ 24 September 2009 в 12:29
-
5