我有一个树莓派后面的lte路由器连接到互联网。LTE路由器阻止为Pi分配静态IP,因此我创建了一个服务,该服务通过auto-ssh构建反向ssh隧道到我的私有服务器,以便能够远程访问Pi。现在的问题是,如果有人得到了Pi的SD卡,他可以从文件系统中读取私钥并访问我的服务器。
是否有任何方法可以保护我的服务器通过ssh连接访问这个密钥,同时保持建立一个没有密码的反向隧道的能力?
服务器由strto托管,由Plesk管理,因此每个域在/var/www/vhost/domain.de中都有自己的vhost文件系统。是否有可能在Pi上使用这个密钥隔离ssh访问的这个空间,这样客户端只能看到这个文件夹中的内容?或者我的问题还有别的解决办法吗?
在树莓上创建一个新的(隧道)密钥,仅用于构建到您的分层服务器的反向隧道。
在您的策略服务器上,将公钥添加到.ssh/authorized_keys中,但在前面添加
command=/bin/false ssh-rsa ....
要连接,你必须将-N添加到ssh,这将建立一个隧道,但不试图打开一个shell。
如果钥匙丢失了也没关系,因为它只能建立一个反向隧道,而不能打开一个shell。
你甚至可以为所有的树莓使用这个密钥来建立单独的反向隧道。
显然,您在.ssh/authorized_keys中只添加了用户密钥,而不是隧道密钥