如题,公司登录到开发机需要通过 跳板机/堡垒机 ,这样就没办法直接用 ssh 相关的操作( vscode remote ,scp ),我总是在 本地 ide 写好代码,再把代码打包通过 rz 上传到开发机,或者 sz 下载 log 日志,在开发机上用 curl 测试接口,比较麻烦,大家有更好的做法吗?
1
kuanat 329 天前
|
2
TouwaErioer 329 天前
同问,如果堡垒机是第三方信创公司提供的,绕过堡垒机是不是违规的
大多数堡垒机打开本地 xshell 会在本地模拟一个 ssh 服务,xshell 再连这个本地的 ssh ,可不可以通过这个本地 ssh 隧道穿透 |
4
simonmao 329 天前 via iPhone
使用持续集成与持续构建来解决这个手工打包问题,dev 环境 log 文件可以通过 web 下载,这样就可以脱离堡垒机了。
|
5
wheat0r 329 天前
@TouwaErioer #2 绕过堡垒机是不是违规,要看你的规啊
|
6
edk24 329 天前 1
堡垒机可以用 ssh 的话简单
```diff +Host 堡垒机 + User root + ... Host 目标服务器 + ProxyJump 堡垒机 ... ``` |
7
Tumblr 328 天前
首先,跳过堡垒机/跳板机肯定是违规的,是可以直接开除的。
其次,即使有堡垒机,也是可以 ssh 的。以 CyberArk 为例,可以参考这个: https://docs.cyberark.com/PAS/Latest/en/Content/PASIMP/PSSO-PMSP.htm |
8
cdlnls 328 天前
跳过堡垒机妥妥的违规,要是不违规还有上堡垒机的必要吗?用堡垒机不就是为了审计,跳过堡垒机就是跳过审计。都属于是不出问题还好,除了问题可能可以直接开除了。
如果直接联系提供堡垒机的人,让他们给出方案。反馈给你的能承担责任的领导,他们觉得没问题,再上,到时候出了问题你就不是主要责任人。 |
9
cdlnls 328 天前 1
就这个问题,不是使用的人考虑的问题。如果你是话事人,你应该去联系供应商/销售/售后支持,让他们给方案。如果你是打工人,我建议最好不要用手段去做操作,涉及到权限的东西,能做的不能做的要分清楚,也是为了保护自己。
|
10
mikywei 328 天前
国产的主流堡垒机一般都是代理 ssh 协议的,只有代理才能做到加密审计的,然后国内主流堡垒机厂商可以使用 ssh 命令和客户端进行连接,但端口都不是默认端口,比如 ssh 代理端口是堡垒机 ip 的 60022 端口,63389 端口这样子。可以 ssh 参数 -P 60022 去连接,不过要先输入堡垒机密码。
|
11
huanxi0701 328 天前
银行和金融项目我是觉得开发起来很头疼,去过一次不想再去,开发太麻烦!唉
|
12
crackidz 328 天前
不是,你们以为为什么要上堡垒机,老板钱多发烧了吗...
|
13
tap91624 328 天前
找 it 是最优解,一般都有 ssh 方案
|
14
jones2000 328 天前
那就不要用远程, 去公司开发不就完事了。 用堡垒机就是为了安全。 我们公司也是内外网隔离的。
|
15
676529483 328 天前
如果开发机权限够,可以搞个 code server ,vscode 网页版,就不知道访问策略支持不
|
16
leehaoze98 328 天前
堡垒机支持 SSH Proxy 的话,vscode remote 是可以直接用的。
不支持的话,得看公司的审计范围,允许的话可以在服务器上搭建一个 https 的 webdav 服务用来上传代码和下载日志,金融医疗这种审计严格的公司这样也是不行的,还是乖乖隔离开用吧。 |
17
guanzhangzhang 328 天前
如果堡垒机有二次验证怎么过😨
|
18
nohsueh OP |
20
simonmao 328 天前 via iPhone
对了,想起之前为了提高工作效率,有写过堡垒机的脚本,或许你可以在本地写一个脚本去完成你的任务,而达到提升效率。
|