Os passos seguintes descrevem como configurar a conetividade a uma base de dados de origem através de um túnel SSH encaminhado.
Passo 1: escolha um anfitrião no qual terminar o túnel
O primeiro passo para configurar o acesso ao túnel SSH para a sua base de dados é escolher o anfitrião que vai ser usado para terminar o túnel. O túnel pode ser terminado no próprio anfitrião da base de dados ou num anfitrião separado (o servidor de túnel).
Use o servidor de base de dados
A terminação do túnel na base de dados tem a vantagem de ser simples. Há menos um anfitrião envolvido, pelo que não existem máquinas adicionais nem os respetivos custos. A desvantagem é que o servidor da base de dados pode estar numa rede protegida que não tem acesso direto à Internet.
Use um servidor de túnel
A terminação do túnel num servidor separado tem a vantagem de manter o servidor da base de dados inacessível a partir da Internet. Se o servidor do túnel for comprometido, fica a um passo do servidor da base de dados. Recomendamos que remova todos os utilizadores e software não essenciais do servidor de túnel e que o monitorize atentamente com ferramentas, como um sistema de deteção de intrusões (IDS).
O servidor de túnel pode ser qualquer anfitrião Unix ou Linux que:
- Pode ser acedido a partir da Internet através de SSH.
Pode aceder à base de dados.
Passo 2: crie uma lista de IPs permitidos
O segundo passo para configurar o acesso ao túnel SSH para a sua base de dados é permitir que o tráfego de rede alcance o servidor do túnel ou o anfitrião da base de dados através de SSH, que geralmente se encontra na porta TCP 22.
Permita o tráfego de rede de cada um dos endereços IP da região onde os recursos do Datastream são criados.
Passo 3: use o túnel SSH
Indique os detalhes do túnel na configuração do perfil de ligação. Para mais informações, consulte Crie um perfil de associação.
Para autenticar a sessão do túnel SSH, o Datastream requer a palavra-passe da conta do túnel ou uma chave privada exclusiva. Para usar uma chave privada única, pode usar as ferramentas de linha de comandos OpenSSH ou OpenSSL para gerar chaves.
O Datastream armazena a chave privada em segurança como parte da configuração do perfil de ligação do Datastream. Tem de adicionar manualmente a chave pública ao ficheiro ~/.ssh/authorized_keys do anfitrião bastion.
Gere chaves privadas e públicas
Pode gerar chaves SSH através do seguinte método:
ssh-keygen: uma ferramenta de linha de comandos OpenSSH para gerar pares de chaves SSH.Sinalizações úteis:
-t: especifica o tipo de chave a criar, por exemplo:ssh-keygen -t rsassh-keygen -t ed25519-b: especifica o comprimento da chave na chave a criar, por exemplo:ssh-keygen -t rsa -b 2048-y: lê um ficheiro de formato OpenSSH privado e imprime uma chave pública OpenSSH para a saída padrão.-f: especifica o nome de ficheiro do ficheiro de chave, por exemplo:ssh-keygen -y [-f KEY_FILENAME]
Para mais informações sobre as flags suportadas, consulte a documentação do OpenBSD.
Pode gerar uma chave PEM privada através do seguinte método:
openssl genpkey: uma ferramenta de linha de comandos do OpenSSL para gerar uma chave privada PEM.Sinalizações úteis:
algorithm: especifica o algoritmo de chave pública a usar, por exemplo:openssl genpkey -algorithm RSA-out: especifica o nome do ficheiro para o qual a chave deve ser emitida, por exemplo:openssl genpkey -algorithm RSA -out PRIVATE_KEY_FILENAME.pem
Para mais informações sobre as flags suportadas, consulte a documentação do OpenSSL.
O que se segue?
- Saiba mais acerca de outros métodos de conetividade de rede.