SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

職場では、パブリック クラウド ホスト上で実行される一連のサービスを維持する必要があることがよくあります。セキュリティ上の理由から、外部に開かれるポートは通常、SSH (ポート 22) サービスのみです。運用・保守時にセキュリティポリシーを変更することで、他のサービスポートを一時的に解放することは可能ですが、時間のかかるトラブルシューティング操作の場合、機密ポートを長時間公開するとセキュリティ上のリスクが高まります。 SSH トンネル テクノロジーにより、セキュリティ ポリシーを変更することなく、クラウド ホストのサービス ポートをローカル操作にマッピングできます。これにより、送信されるデータが暗号化されるだけでなく、ツールやブラウザを介してローカルで対象サービスにアクセスできるようになり、便利で安全になります。

2. SSHトンネルの原理

この記事における SSH トンネル技術の適用シナリオは次のとおりです。

写真

SSH トンネルを正常に確立するには、次の前提条件を満たす必要があります。

  • パーソナルコンピュータには SSH プロトコルをサポートするソフトウェアをインストールする必要があり、Windows システムには Cygwin などのソフトウェアをインストールする必要がある場合があります。
  • クラウド ホストのファイアウォール セキュリティ ポリシーでは、SSH プロトコルで使用されるデフォルト ポートであるポート 22 へのアクセスを許可する必要があります。
  • クラウド ホストでは、リモート ホストが SSH プロトコルを使用して正常にログインできるように、SSH プロトコルをサポートするソフトウェア パッケージもインストールする必要があります。

SSH トンネルは主にパソコンから確立されます。上図によると、SSH トンネルの確立プロセスは次のようになります。

  • パソコン上でカスタム ポートを開きます。ここではポート5478が選択されています。このポートには特別な要件はありません。他のポートと競合しない限り、実際の状況に応じて選択できます。ポート 5478 はトンネルの始まりと考えることができます。
  • トンネルリモート接続を確立するには、リモート ホストの SSH ログイン アカウントとパスワードを入力します。接続を正常に確立するには、ファイアウォールのポート 22 が開いている必要があります。ここでの SSH リモート ログインは、パーソナル コンピューターのポート 5478 から始まり、リモート クラウド ホストのポート 22 まで拡張されたトンネルの延長として見ることができます。
  • リモート ホストの実際のサービス ポートをローカル トンネルの開始ポート 5478 にマップします。マッピング関係は、トンネルの仕上げ作業と見なすことができます。クラウド ホストのポート 22 からトンネルが接続された後、リモート ホストのローカル サービス ポートとの接続を確立する必要があります。ローカル サービスにポート 3306 のデータベース サービスがあると仮定すると、最終的にはポート 5478 とパーソナル コンピューターのポート 3306 間の接続が開かれ、ファイアウォールの背後にあるクラウド ホスト サービスへのローカル アクセスが実現します。

3. 実用化

SSH トンネルを確立する上記のプロセスは、SSH ツールによって提供されるコマンドを使用して、パーソナル コンピューター上で完了できます。完全なコマンドは次のとおりです。

ssh -CfNg -L 5478:localhost:3306 [email protected]

コマンドパラメータの意味は次のとおりです。

-C: は圧縮伝送を意味し、伝送速度を上げることができます。

-f: SSH 転送をバックグラウンド実行に転送します。これにより、現在のシェルが占有されなくなります。

-N: サイレント接続を確立し、特定のセッションは表示されません

-g: リモートホストがローカルポート転送に接続できるようにする

-L: ローカルポート転送

5478:localhost:3306 このパラメータはポート マッピング関係を確立するために使用されます。 5478 はローカル ポートを表し、localhost:3306 はリモート ホストのポート 3306 を表します。

注意: localhost と xx.xx.177.122 は同じリモート マシンを表しますが、ここでは xx.xx.177.122 ではなく localhost を必ず記入してください。

[email protected] パラメータは、リモート SSH ログインのプロセスです。最終的にトンネル接続を完了するには、SSH パスワードを入力する必要があります。

コマンドの実行に失敗した場合は、図に示すように、まずローカルでポートが占有されているかどうかを確認できます。

写真

コマンド実行によってプロセス ID が返される場合、ローカル転送ポート 5478 がプロセスによって占有されていることを意味します。プロセス ID を強制終了するか、別のポートを変更してください。

コマンドを正常に実行すると、ssh のバックグラウンド プロセスが表示され、図に示すように、プロセスがトンネルが正常に確立されたことを示していることがわかります。

写真

データベース ソフトウェアを介してローカルでポート 5478 に接続してみると、図に示すように、リモート データベースが正常に接続されていることがわかります。

写真

<<:  OWASP API セキュリティ トップ 10 に新たな変更がありました。これは私たちにとって何を意味するのでしょうか?

>>:  Helm とは何ですか?クラウドネイティブ アプリケーションのプライベート展開の効率はどのように向上しますか?

推薦する

Weibo APPマーケティングは新しく、まだ成熟しておらず、その正確性には疑問がある

本誌記者 竇睿星Weibo APPマーケティングが一部の広告主に好まれる理由の1つは、その正確性です...

CSDNから漏洩したデータを使って電子商取引アカウントから金を盗んだとして4人の男が逮捕された

昨年、有名なプログラマー向けウェブサイト「CSDN」のデータベースがハッキングされ、600万件以上の...

古いウェブサイトの最適化方法についての簡単な説明

多くの人は、古いウェブサイトを引き継いだときに、それを最適化する方法を知りません。コンテンツから始め...

検索エンジンがより賢くなる方法

今日、私は王通氏の記事を見ました。その記事は主に検索エンジンのアルゴリズムの更新と調整、古い最適化方...

3SBの戦いを見て最終結果を予想しよう

Sogouが「介入」して以来、360とBaiduの戦争は新たなレベルにエスカレートし、戦場はさらに拡...

ウェブサイトにリンクを追加する7つの簡単な方法

ウェブサイトの最適化中に SEO 担当者が遭遇する最大の障害は、リンク構築です。Charles は、...

保険業界のクラウドコンピューティング標準が発表

12月24日、中国保険業界協会と中国通信標準化協会は北京で「保険業界のクラウドコンピューティングシナ...

chicagovps - すべての VPS が 50% オフ、年間支払いはわずか 6 ドル、データ センターは 6 か所

Chicagogovps は長い間プロモーションを行っていませんでしたね。こんな感じで覚えてます!誰...

vsys: ウクライナ/オランダのオフショア VPS、オフショア サーバー、著作権侵害の申し立てなどを無視、最大 20Gbps の帯域幅

vsysは2009年に設立されたウクライナの企業です。主にオフショアVPSとオフショアサーバー(独立...

Java ヒープメモリオーバーフローの概要分析

Java ベースのエンタープライズ バックエンド アプリケーションを扱ったことがあるソフトウェア開発...

ウェブサイトの「ランキングボトルネック」問題を解決する3つの方法を教えます

SEO の日常業務の目標はランキング 1 位を獲得することであるため、ウェブマスターはウェブサイトの...

ウェブサイトの再設計とドメイン名の変更の悲しい歴史を語る

ドメイン名は、インターネット企業や個々のウェブマスターにとって最も重要な無形資産の 1 つです。すべ...

#スイスサーバー# lunarvps: 苦情反対、著作権なし、トラフィック大

lunarvpsは、著作権侵害防止サーバーと著作権フリーサーバーを提供しています。オランダとスイスに...

QingCloud Technologyがクラウドネイティブを包括的に展開、KubeSphereがさらなるクラウドネイティブパワーをリリース

[51CTO.com からのオリジナル記事] クラウド ネイティブは、現在のあらゆるテクノロジー カ...

CtripはUnionPayのCVCコード記録禁止に違反したため重い罰則を受ける可能性がある

Ctrip の「クレジットカード スキャンダル」: システムリスクか、それとも偶発的な操作ミスか原題...