用国外服务器做经营性网站可行吗?不备案了,会不会被查?被罚?
步骤/方法
目前使用国外的服务器做经营性网站是可行的
不备案是没法使用网站的,工信部明确规定,在2017/2/27日之前所有的网站要完成实名认证,未完成实名认证的届时将无法修改DNS解析
如图
关于跳板主要流行于,相关内容如下:
跳板是一种通过网络连接加密绕过防火墙的技术。它可以帮助用户在无法直接连接目标主机的情况下,通过中转服务器进行连接和通信。以下是跳板的详细解释:
1跳板的定义
跳板是指通过一台中转服务器将本地计算机的信息转发到目标计算机,从而达到绕过网络限制的目的。这就像是使用网络代理一样,但是跳板所能实现的功能更为强大。
2跳板的作用
跳板常用于以下几种情况:
当两台计算机之间因为网络限制或者安全原因无法直接建立连接时;在公司或者学校等有防火墙的网络环境中访问互联网的资源;连接拥有内网IP的主机,如家庭网络的NAS等。
3跳板的实现方法
跳板分为两种实现方式:远程登录和端口转发。远程登录指的是通过SSH等远程登录工具登录到中转服务器,在中转服务器上操作目标计算机,端口转发是指将本地计算机的流量通过中转服务器的端口转发到目标计算机的相应端口上。
4跳板的安全性
跳板本身并不是一个安全问题,安全问题存在于跳板的配置和使用上。在使用SSH等远程登录工具时,应该遵循最佳实践,如设置强密码、关闭不必要的服务等。在端口转发中,为了防止攻击者通过跳板发起攻击,应该限制跳板的可用端口和目标计算机的可访问端口。
5跳板的优缺点
可以实现通过中转服务器绕过网络限制;可以提高数据传输的安全性,保护用户隐私;可以帮助用户访问其他地区的资源。
跳板技术的缺点有:配置比较繁琐,对于非专业人士来说使用难度较大;中转服务器的性能和稳定性对于整个过程的顺畅度有很大影响;容易被攻击者用作攻击入口。
6跳板的相关工具
跳板需要使用远程登录工具或者SSH工具实现远程登录和端口转发。常用的连通性工具有SSH、telnet和RDP等,端口转发工具包括Putty、SuperPutty和Bitvise SSH Client等。
7跳板的应用场景
跳板广泛应用于企业网络管理、互联网安全和高性能计算等领域。在企业网络管理中,跳板可以帮助管理员远程访问分布在不同地区的服务器或设备;
在互联网安全中,跳板可以用于绕过网络限制和保护用户隐私;在高性能计算中,跳板可以帮助研究人员利用不同性能的计算机资源进行科学计算。
8跳板的发展趋势
随着网络技术的不断发展,跳板作为一种网络通信技术也在不断更新和发展。目前,通过云服务提供商提供的全球范围的云计算平台,用户可以轻松配置和使用跳板。此外,基于Web的跳板工具正在成为趋势,使得用户无需安装且能够直接在Web浏览器中使用跳板服务。
总之,跳板是一种非常实用的网络技术。只有正确地配置和使用,才能确保其安全性和稳定性。
我这两天就把我废旧的老电脑当作跳板机用了,因为有了公网IP,所以我在上面安装了一个FRP,你在你需要暴露到公网的机器上也安装个FRP 就可以实现内网穿透 也暴露在公网上了。 FRP你可以百度查下,有windows的版本也有Linux的版本。
美国主要基于美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation简称TAO)网络攻击西北工业大学。
2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation简称TAO)。
相关网络攻击基础设施
为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(详见有关研究报告),控制了大批跳板机。
TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为2095936、6916554、207195240和209118143。
同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
技术团队通过数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。
同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:
e42d3bea0a16111e67ef79f9cc2)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
本文介绍了一种跳板机实现思路,阐述了基本原理,并讲解了特点和相对优势。
一、 跳板机思路简介
本文所描述的跳板机(下文称为“jmp”)支持:
有别于市面上常见的jumpserver方案,使用本文所搭建的跳板机将不会存储任何Linux服务器的账号、密码、密钥等信息,杜绝了信息泄露的可能。本文最大的特点是 借助Linux的PAM机制,通过修改Linux服务器系统层配置,部分接管了Linux系统的身份认证能力 ,关于这一点,下文将详细描述。
二、背景知识
21 Linux 的 PAM 机制
PAM(Pluggable Authentication Modules)机制,是一种广泛应用于当代Unix、Linux发行版的系统层身份认证框架。通过提供一系列动态链接库和两套编程接口(Service Programming Interface 和 Application Programming Interface),将系统提供的服务与该服务的认证方式分离,从而使得可以根据需要灵活地给不同的服务配置不同的认证方式而无需更改服务程序。
22 PAM 的核心能力
23 PAM 模块类型
24 常见 PAM 模块
三、跳板机系统架构
31 微服务和高可用设计
整个跳板机系统可拆分为5个服务,和1个组件。
定时从jmp-api拉取服务和权限信息,缓存到本地文件
根据需要检测文件改动,确保配置文件不被恶意修改
提供jmpso动态库,为pam模块
安装脚本释放配置文件,修改/etc/pamd/xxx文件,生效jmp的pam模块
接管身份识别和权限认证,调用jmp-api接口以完成鉴权
jmp中任何一个服务都是无状态的,因而支持异地多机房部署
http协议的服务(jmp-api、jmp-socket、jmp-rdp),通过Nginx配置路由,且配置自动负载均衡策略。
非http的服务(jmp-ssh、jmp-sftp),通过4层负载均衡(lvs、vgw)实现高可用。
自动降级策略
危险命令识别能力存在耗时久的可能性,因此当发现识别危险命令的接口超时,则自动忽略危险命令识别。
身份认证接口超时的情况下,则使用jmp-agent本地缓存的身份信息,如获取不到本地缓存,则使用配置项的默认策略(全部通过或者全部拒绝)。
jmp-agent组件的高可用
由于jmp-agent部署在业务服务器上,所处环境可能随时发生变化,因此必须具备较强的适应性(磁盘空间不足、inode满、内存不足、网络不稳定、域名解析异常等等)。
针对磁盘空间或inode不足,jmp-agent可能无法使用本地文件缓存,因此此时选择降级,忽略缓存。
针对网络不稳定问题,jmp-agent选择增加同jmp-api、jmp-ssh的通信超时,同时可降级鉴权,确保操作不受影响。
针对解析异常问题,jmp-agent无法通过域名同服务交互,此时使用内置的固定ip同服务交互。
32 跳板机各子服务交互图
从图中可见,作为核心服务的jmp-ssh承载了ssh流量的代理转发,将来自用户ssh客户端、jmp-socket服务的ssh流量转发到目标服务器上,并将来自目标服务器的返回结果送达回ssh客户端、jmp-socket服务。因此,可在jmp-ssh服务上识别来自用户的危险命令,在送达目标服务器之前就给出告警或者直接拦截,避免恶意操作或者误操作给业务造成影响。
图中的jmp-api作为同数据库和缓存直接交互的服务,在整个系统中承担数据接口和管理端的角色,接受来自全量服务器中jmp-agent组件的用户身份鉴别和权限校验请求,是整个系统中的控制中枢。
jmp-api也同时提供的权限设置能力,通过与流程系统对接,可方便的为人员/部门申请机器/服务/项目的登录权限或root权限,此外,jmp-api也对登录权限和root权限的可申请人做出限制,针对不同项目/服务,对权限有效时间做出限制,严格控制权限粒度。
由于同一个项目/服务往往由同一个组的人维护,因此jmp-api内置了默认的权限策略,可允许项目/服务的负责人对项目/服务直接拥有登录权限,而无需申请;仅支持对应项目/服务的运维负责人默认拥有root权限,其他所有人如果希望获取root权限,则必须经过申请,由对应服务的运维负责人审批。
图中的jmp-agent是部署在每一台Linux服务器上的,通过在Linux上修改/etc/pamd/sshd、/etc/
pamd/remote、/etc/pamd/sudo等等文件,让 jmpso (属于jmp-agentrpm或jmp-agentdeb的一部分)接管ssh服务、sudo程序等关键系统程序的身份识别、权限认证。从而使得在不增加/etc/passwd、/etc/shadow内容的前提下实现了在任意一台服务器上识别出所有人员身份的能力。
图中的jmp-rdp仅作为Windows服务器的rdp代理服务,并提供基于web的远程桌面能力。
图中的jmp-socket则提供基于web的Linux服务器操作终端,从而让用户不使用ssh客户端也能够方便地登录服务器。
四、核心设计思路
41 登录跳板机
42 登录目标服务器
43 命令交互
44 切换用户 / 特权账号
45 使用网页交互
46 危险命令拦截
47 非Linux服务器的跳板机
五、权限规则和审批链路设计
51 默认拥有的权限
无需申请,即可拥有的权限。
52 权限申请的审批链路
这里明确了申请流程的审批链路:
六、这种实现思路的优点
61 操作方便,体验较好
通过该思路所建设的跳板机系统,操作上比较方便,即支持了ssh、又兼容了rdp,同时提供了网页端操作入口,体验较好。同时,由于采用微服务架构,服务间耦合较小,比较容易做到高可用,从而很少出现卡顿、延时等现象,整体稳定性可靠,体验上有保证。
62 安全可靠,容易审计
本文的最大特点就是在目标服务器上使用了pam机制,通过jmpso接管多个服务的身份识别和权限认证,从而做到了 在不修改标准命令的基础上,统一接管权限,统一管控。 并且做到了在登录到目标机器上后,可以进一步ssh到其他服务器,所有的交互过程全程记录,所有的操作命令都会被记录下来。
由于通过该思路所实现的跳板机 直接将用户名作为目标服务器ssh会话的登录名 ,所以在系统内部所记录的日志里也是直接的用户名,而不是如jumpserver等方案的统一账号,这种方式下,更容易定位到操作轨迹的真实执行人,一目了然。
危险命令拦截功能,更是可以很大程度上避免恶意操作或者破坏性强的误操作,为业务稳定性增加一层保障。
63 服务间职责明确
由于采用了微服务架构,可以做到每个服务的横向扩展,从而做到了通过扩容服务的方式管控更多的机器。服务间职责明确,可根据需要裁减jmp-rdp、jmp-socket、jmp-sftp,也可以根据需要增加新的服务,适配性较好。
七、总结与展望
随着服务器规模的扩大,如何管理这些服务器成为一个越来越重要的问题。针对服务器的登录访问,本文介绍了跳板机的一种实现思路,并描述了该思路的优点和独特之处。通过该思路可以一定程度上构建简单、易用且高可用的跳板机,从而解决服务器登录问题。如果读者对这个实现思路感兴趣,或者有任何疑问,欢迎与我们沟通。我们也非常愿意与各位一起学习,研究技术。
作者:Yang Lei
来源:微信公众号:vivo互联网技术
出处:https://mpweixinqqcom/s__biz=MzI4NjY4MTU5Nw==&mid=2247493879&idx=2&sn=7af0fb33d5efb3768b0ab168e19bd4df
有可能。
境内服务器和境外服务器,很多人喜欢叫它们国内服务器和国外服务器,但其实这是以一种不严谨的叫法,大多数人认为的免备案服务器就是国外服务器,其实不然。比如香港服务器,严格来讲不叫国外服务器,但它却可以免备案。境外服务器和境内服务器的区别如下:
第一:地理位置上的区别:境外是指中国边境(国界)以外的所有国家与地区和中国以内政府尚未实施行政管辖的地域;港澳台也属于境外,因此从地理位置上来说,境外服务器并不在中国内陆地区,而境内服务器则架设在中国内陆地区。也就是说,香港服务器、台湾服务器、澳门服务器都属于境外服务器。
第二:政策管理上的区别:境内服务器位于中国内陆,因此属于中国政府的管辖范围,使用境内服务器架设网站、App 等互联网项目,需要通过ICP备案,否则服务器 IP 将会被封禁。而境外服务器不属于中国政府的管辖范围,因此可以规避备案,无需备案即可部署网站项目。
第三:适用业务上的区别:境内服务器和境外服务器,由于两者监管、地理位置上不不同,因此在适用业务层面上,是各有优劣的。境内服务器适合用于面向本国的业务部署,比如国内的政府网站、门户网站等;而境外服务器则适合面向境外业务的部署,比如海外游戏代理、跨境电商等。
另外像一些特殊需求的业务,也适合使用境外服务器。比如建站群,因为站群需要大量的 ip 地址,而国内的 ip 资源紧缺,成本太高,相比之下,美国的 ip 资源丰富,如果要多ip服务器,毫无疑问当选美国。
今日内容
1什么是SSH
SSH是一个安全协议,在进行数据传输时,会对数据包进行加密处理,加密后在进行数据传输。确保了数据传输安全
2SSH的主要功能是什么
1提供远程连接服务器的服务
2对远程连接传输数据进行加密
3SSH与Telnet之间有什么关系
4抓包分析ssh与telnet的区别
telnet使用在交换机 路由器 防火墙 等这类设备上
ssh 使用在服务器邻域
5SSH相关客户端指令ssh scp sftp
客户端可以使用的命令:
ssh:用来连接远程Linux服务器(xshell底层,调用的就是ssh命令)
scp:远程拷贝,全量拷贝(每次拷贝都是全量)
sftp:远程传输
6SSH远程登录方式,用户密码 密钥方式
用户密码:简单容易被破解、复杂记不住
基于密钥的方式来实现:
生产一对拥有数学关系的密钥对(公钥、私钥)
公钥加密,私钥解密。
公钥可以对外提供,对外开放。
私钥只有自己持有,不对外开放
7密钥方式的实现案例
8SSH场景实践,借助SSH免秘实现跳板机功能
9SSH远程连接功能安全优化
0条评论