我們有一個 Linux 工作站,供一組使用者透過 Internet 使用。為了安全起見,用戶必須透過 VPN 連接到我們的專用網絡,然後才能 ssh 到工作站。
它們在工作站上執行的作業需要 Internet 連接,因此工作站透過 NAT 連接到 Internet。
然而,任何普通用戶都有可能使用連接埠轉送來繞過 VPN。例如,透過在工作站上執行以下命令:
ssh -NTf -R 60000:localhost:22 [email protected]
然後可以連接到位於 的工作站public.server:60000。這會繞過 VPN 並帶來安全問題,因為任何人都可以連接到public.server:60000,而不僅僅是運行此命令的特定使用者。 (如果只有某個用戶可以使用它,我認為就可以了。)
這不僅是 ssh 連接埠轉送的問題。人們也可以使用類似的工具frp或僅編寫簡單的程式碼來實現這一目標。
請問有什麼好的措施可以解決這個問題嗎?