Je hebt een klacht over de onderstaande posting:
ook wel eens bastion host genoemd. in de praktijk: (nouja mijn praktijk;) - ssh-keys only, evt in combinatie met otp of multifactor - aldanniet via een hardware usbkey. (bijvoorbeeld nitrokey of yubikey). - enige ssh server die niet weggefilterd wordt op de routers. - eventueel naar intern (management) netwerk of naar public ip's doorhoppen. - eventueel filteren welke ip's er toegang hebben tot de bastion host. - filter verder alles weg naar de bastion. ook uitgaand vanaf de bastion kun je filteren. - kan evt ook met vpn alhoewel je met openssh ook kunt tunnelen of als proxy kan instellen. - doe niets anders op de bastion server. evt alles readonly maken. log met syslog naar een andere machine. - geef iedereen een eigen account zodat je kan zien wie wanneer is ingelogd. - verander het ip adres af en toe als je de mogelijkheid hebt. (alsin jaarlijks, na een ontslagronde of het kwijtraken van een hardwarekey) Verder nog een hint voor secure ssh keys met het "nieuwe" openssh key formaat onder het kopje ...
Beschrijf je klacht (Optioneel):