安全同时又方便的方法其实是有的，不过一次性配置加上让所有人适应新
用法这个事可能运维们都不听你的方案直接就给否了

【 在 chunhui 的大作中提到: 】
: 标  题: Re: 有个诡异的ssh问题
: 发信站: 水木社区 (Thu Jan  5 07:55:31 2023), 站内
:
: 我们就是全正版。
: 但是这里说的是安全问题。实际上我上面说的用法并不安全也不符合安全规范。
:
: 现场运维有一个通过账号密码登陆堡垒机，然后连到服务器。其他人想登陆的时候原则上不允许，但是遇到问题必须登陆。所以为了图方便，一线会把session配置直接扔过来。
:
: 按理应该每个人单独账号密码加动态口令。
: 【 在 yankaiqian 的大作中提到: 】
: : 不一定每个公司都有购买大量的 SecureCRT 授权，它应该是会按用户数及时间来收费的。
: :
: --
:
:             又是一个下雨的夜晚
:        黑夜深沉兮阴雨绵绵 雷声渐远兮灯火阑珊
:        杯中无酒兮乌云不散 胸中有话兮口中难言
:        雀鸟归巢兮相语成欢 微风虽凉兮孤枕难眠
: 25
: ※ 修改:·chunhui 于 Jan  5 07:59:54 2023 修改本文·[FROM: 124.64.22.*]
: ※ 来源:·水木社区 http://m.mysmth.net·[FROM: 124.64.22.*]
--
修改:chunhui FROM 124.64.22.*
FROM 124.207.188.194

你们能接受每台个人终端都部署ScureCRT

那可以试试tailscale，tailscale支持SSH，具体你可以自己看看。
方便性是没得说了，权限控制管理员用ACL解决，用户不用操心。
安全性、审计追踪方面，每个人独立的IP，从IP上直接能追踪到人。
所有通信都是加密的。

【 在 chunhui 的大作中提到: 】
: 标  题: Re: 有个诡异的ssh问题
: 发信站: 水木社区 (Thu Jan  5 13:40:09 2023), 站内
:
: 使用上方便，部署上也有方便与否的问题，维护上也有... 每个环节都存在安全被方便挤掉的问题。
: 【 在 DreamDreams 的大作中提到: 】
: : 安全同时又方便的方法其实是有的，不过一次性配置加上让所有人适应新
: : 用法这个事可能运维们都不听你的方案直接就给否了
:
: --
:
:     努力作一个完美主义者 不要热衷于选择 世界充满了缺陷 时间却并没有很多
:     努力作一个现实主义者 要正视自己的选择 妥协是幸福的智慧 事实就不会那么冷漠
:     努力作一个理想主义者 去忠于自己的选择 就算周遭满是嘲讽 也依然真心热爱生活
:
: 34
:
:
: ※ 来源:·水木社区 mysmth.net·[FROM: 121.69.86.*]
--
FROM 124.207.188.194

主要是没有一个既重视安全又有话语权的人发话谁不按规范来就扣钱

【 在 chunhui 的大作中提到: 】
: 对啊 所以我说这不符合安全规范。但是他们就这么用。因为这样最方便。
--
FROM 183.157.161.*

也可能只是“老前辈”知识不更新，又凭着资历带出一帮生理年轻但
思维陈旧的徒弟

【 在 chunhui 的大作中提到: 】
: 使用上方便，部署上也有方便与否的问题，维护上也有... 每个环节都存在安全被方便挤掉的问题。
--
FROM 183.157.161.*

没有推动力。所以就不会有人去改变现有的东西。这也是铁律之一。
改现有的东西，会导致整个流程变化，所有人都都不适应。而且出问题还需要改的人担责。除非有一个推动力，比如某天出了问题，或者出了一个法规，规范。检查要求。。。

现在这几年安全国家出了法规等保之类的，有一定效果。但是仍然只是走过场而已。不过好歹是比以前强了。如果你没亲眼所见，都想象不到有的部门行业对安全的认识有多低级。我曾经参加过一个某行业的安全会议，他们讨论如何作安全，符合国家规定。坐着各方面的主要工程师和管理人员。他们的发言和认识让我下巴掉地上好长时间没收回来。
【 在 adoal 的大作中提到: 】
: 也可能只是“老前辈”知识不更新，又凭着资历带出一帮生理年轻但
: 思维陈旧的徒弟
--
FROM 121.69.86.*