Tunneling et redirection de ports
Pivoting et nettoyage
SSH local/remote/dynamique, pivoting contrôlé, limites de portée et journalisation des tunnels.
Plan de pivot
Opérateur → Bastion autorisé → Réseau cible → Service canari
Avant le tunnel, valide la route, le DNS, les ACL et le propriétaire de la cible. Le pivot ne change pas le périmètre contractuel.
Surveillance
Depuis chaque nœud : connexions, processus SSH, ports d’écoute et logs. Conserve l’heure de création et de fermeture.
ss -lntp
ps -ef | grep '[s]sh.*-[LRD]'
journalctl -u ssh --since '-1 hour'
Nettoyage
- terminer les processus ;
- supprimer clés temporaires ;
- retirer les comptes/ACL ;
- fermer les ports firewall ;
- vérifier qu’aucun socket n’écoute ;
- archiver les logs.
Rapport
Décris le contrôle contourné, le chemin exact et la remédiation : segmentation, bastion, MFA, restriction de forwarding et monitoring.