- 主题:有个诡异的ssh问题
那就得问运维了
【 在 JulyClyde 的大作中提到: 】
: 并不冲突啊
--
FROM 121.69.86.*
使用上方便,部署上也有方便与否的问题,维护上也有... 每个环节都存在安全被方便挤掉的问题。
【 在 DreamDreams 的大作中提到: 】
: 安全同时又方便的方法其实是有的,不过一次性配置加上让所有人适应新
: 用法这个事可能运维们都不听你的方案直接就给否了
--
FROM 121.69.86.*
这个其实不归我管。增加这些东西需要改变整个工作流程。
【 在 DreamDreams 的大作中提到: 】
: 你们能接受每台个人终端都部署ScureCRT
: 那可以试试tailscale,tailscale支持SSH,具体你可以自己看看。
: 方便性是没得说了,权限控制管理员用ACL解决,用户不用操心。
: ...................
--
FROM 121.69.86.*
这涉及到安全管理问题。当前大多公司都把安全当作辅助部门。嘴上说重视,但从职能上看,安全都是靠边站的。这种职能安排,从底子上就不可能做好安全。
【 在 adoal 的大作中提到: 】
: 主要是没有一个既重视安全又有话语权的人发话谁不按规范来就扣钱
--
FROM 121.69.86.*
没有推动力。所以就不会有人去改变现有的东西。这也是铁律之一。
改现有的东西,会导致整个流程变化,所有人都都不适应。而且出问题还需要改的人担责。除非有一个推动力,比如某天出了问题,或者出了一个法规,规范。检查要求。。。
现在这几年安全国家出了法规等保之类的,有一定效果。但是仍然只是走过场而已。不过好歹是比以前强了。如果你没亲眼所见,都想象不到有的部门行业对安全的认识有多低级。我曾经参加过一个某行业的安全会议,他们讨论如何作安全,符合国家规定。坐着各方面的主要工程师和管理人员。他们的发言和认识让我下巴掉地上好长时间没收回来。
【 在 adoal 的大作中提到: 】
: 也可能只是“老前辈”知识不更新,又凭着资历带出一帮生理年轻但
: 思维陈旧的徒弟
--
FROM 121.69.86.*
所以大都走过场。相当于全国作了一遍科普,比没有强。
【 在 adoal 的大作中提到: 】
: 等保这鬼东西……
: 要是严格按照它的技术评测来,往往会因为技术规定没覆盖到足够多的
: 实际用例而导致明明没有安全隐患的正常使用也受损,如果要灵活处置,
: ...................
--
FROM 121.69.86.*
前面已经解决了是shell的TMOUT的缘故。
【 在 jdk140 的大作中提到: 】
: 运营商自动掐掉闲置tcp连接。现在家宽和手机网络都只针对http/s优化,长连接没有发送数据自动杀掉,节约nat资源。
: op
--
FROM 121.69.86.*
我的不是ssh断。是退出一个单独开的会话。
【 在 jdk140 的大作中提到: 】
: 是么?我也遇到同样问题,但是很明显是某些运营商特定问题。
: 在澳洲的家宽经常是晚上睡觉前连着ssh,早上起来还在。但是如果用手机就是很快就自己断掉。
--
FROM 121.69.86.*
弄个蒲公英小盒子也可以解决问题。
【 在 jdk140 的大作中提到: 】
: 哦,我现在给各个家里的网都开了ipv6。国内很多廉价家宽没有ipv4公网ip,但是ipv6都
: 给个/64段。然后国内的家宽的ipv6地址老变化,自己写了个ipv6的ddns,这样可以直接
: 互相ssh过去。
: ...................
--
FROM 121.69.86.*
不是。
【 在 jdk140 的大作中提到: 】
: 这个是桥接么?
: 现在运营商给ipv6很大方,电信、联通手机都给/64,开热点都有ipv6公网地址,我觉得
: 不用再依靠第三方服务了,最多再用个ddns。或者自己拿python的dns库写一个ddns服务
: ...................
--
FROM 121.69.86.*