Il bastion host è un sistema linux minimale accessibile via ssh. Può essere utilizzato da tutti gli afferenti della Sezione di Perugia che sono in possesso di un account INFN-AAI rilasciato dal Servizio di Calcolo ed in corso di validità.
Lo scopo di questo server è quello di consentire l’ accesso da Internet a tutti quei sistemi che sono nelle reti private della Sezione, o che per motivi di sicurezza non hanno ssh abilitato nel firewall di frontiera.
Questo server è raggiungibile utilizzando questo hostname: bastion.pg.infn.it.
L’accesso con ssh è disponibile in due modalità. La prima consente solo l’accesso al server bastion.pg.infn.it:
$ ssh username@bastion.pg.infn.it
la seconda, quella più avanzata, consente di usare ssh per attivare un tunnel cifrato fra il proprio client ed un server interno alla rete della Sezione. Per esempio:
$ ssh -L 2222:10.25.0.100:22 username@bastion.pg.infn.it
quindi da un altro terminale del proprio PC:
$ ssh username@127.0.0.1 -p 2222
con il primo ssh si esegue il login su bastion e si attiva il tunnel che mette in comunicazione il proprio PC con il sistema 10.25.0.100, con il secondo si accede direttamente dal proprio computer al sistema 10.25.0.100. Questo è solo un esempio perché ssh in modalità tunnel può essere usato anche per raggiungere siti web o altri servizi di rete nascosta.
Per ulteriori informazioni relative a questa seconda modalità si può fare riferimento alla seguente documentazione:
https://en.wikipedia.org/wiki/Secure_Shell
https://en.wikipedia.org/wiki/Tunneling_protocol
https://www.ssh.com/academy/ssh/tunneling/example
NB. Si informano tutti gli utenti che, allo scopo di garantire un livello maggiore di sicurezza, a partire dal giorno 29/03/22 non sarà più consentito accedere da remoto ai sistemi locali utilizzando il protocollo ssh.
Si ricorda che per sistemi locali si intendono i server, o eventualmente i desktop, che presentano un indirizzo ip pubblico appartenente alle reti 193.205.222.0/24 e 193.204.89.64/26.
Per i sistemi presenti nelle reti nascoste (10.30.0.0/16 10.26.0.0/16 10.25.0.0/16) l’uso di ssh rimarrà invariato, potranno quindi continuare ad essere raggiunti tramite l’utilizzo della vpn.
Chi avesse necessità di accedere a server di gruppo/esperimento, o a sistemi personali, senza passare per il bastion host potrà farne richiesta al Servizio di Calcolo che provvederà ad abilitare l’accesso tramite vpn.
L’accesso senza alcuna protezione sarà consentito, su richiesta motivata, previa abilitazione degli aggiornamenti automatici, di fail2ban e delle relative iptables sull’host di destinazione.
Per ulteriori informazioni servcalc@pg.infn.it