Un dels problemes amb que s'enfronta tot administrador de sistemes és la gestió permisos d'accés remot als servidors. És a dir, qui pot i qui no pot entrar en un servidor amb permisos d'administrador (root). Un altre problema de disposar d'accés remot als servidors és la gestió de la seguretat: ports d'accés oberts a tothom, farragoses gestions de firewall's, canvis de password's o revocacions de certificats, ... en definitiva una problemàtica que acostuma a costar forces hores d'administració de sistemes.

Aquestes problemàtiques i els costos d'administració associats es solucionen amb ssh_station. ssh_station és un mòdul que Ingent Grup ha desenvolupat dintre del projecte Initr que permet automatitzat la gestionar els permisos d'accés ssh als servidors. Les característiques principals de ssh_stations són:

  • Accés per certificat digital:

L'accés als servidors o nodes es fa mitjançant certificat digital i es suprimeix l'accés per login i password, evitant així atacs de força bruta que poden vulnerar un servidor.

  • Administració centralitzada:

La gestió de permisos d'accés ssh als servidors es fa via web des de Initr. Tot usuari donat d'alta a Initr publica la seva clau pública dintre del seu perfil d'usuari. Aquest clau és utilitzada per ssh_station per proporcionar accés als servidors.

La gestió de permisos d'accés es fa per projectes. Un usuari està assignat a un o més projectes i disposa d'accés ssh via certificat digital a tots els nodes assignats al projecte. És a dir, els projectes actuen com a grups.

  • Accés centralitzat:

ssh_station permet accedir als servidors des d'un únic punt (ssh_server_station). De manera que no cal que l'operador o administrador de sistemes recordi la ip del servidor on es vol connectar, sinó que es connecta per ssh al ssh_server_station i aquest li proporciona la llista de servidors on té permís d'accés. Llavors es tant senzill com escollir el servidor on es vol accedir i establir la connexió ssh.

[caption id="attachment_104" align="aligncenter" width="300" caption="ssh_station connection"][/caption]

La connexió ssh establerta no es fa com a root, sinó que es fa amb un usuari sense permisos, obligant a fer sudo per adquirir permisos de root. Això aporta un nivell més de seguretat.

  • Accés SSH transparent:

Una altre característica important de ssh_station és l'accés ssh transparent. És a dir, permet accedir via ssh als nodes que estan darrera d'un firewall sense tenir que configurar cap regle en el firewall. Aquesta funcionalitat permet que els servidors no tinguin el port 22 obert a Internet, evitant així atacs de seguretat al port 22.

Les avantatges de ssh_station es fan més evidents quant s'està administrant servidors distribuïts en diferents Centres de Dades o clouds públics, on s'acostuma a tenir entorns heterogenis: diferents firewall's, interlocutors, eines de gestió,etc.. En aquest entorn portar la gestió d'accés amb Initr estalvia moltes hores d'administració de sistemes i redueix els riscos davant atacs als servidors.

Un altre característica important de ssh_station és la possibilitat d'establir túnels segurs a d'altres ports (aplicacions web) del servidor o de servidors de la xarxa on està connectat el servidor. I accedir a aquestes aplicacions en remot i de forma segura. L'explicació d'aquesta funcionalitat la deixaré per un altre post.