[問題] 如何限制ssh login者不能再ssh login到其它server?

看板Linux作者 (handsome_joe)時間5年前 (2019/05/02 21:25), 編輯推噓8(8015)
留言23則, 11人參與, 5年前最新討論串1/1
大家好,如題,今天有一組server A,B,C. 我希望有人ssh login至A之後,可以用A的所有權限,但不能在A再用ssh login到其它的地方, 例如說:(C ssh login到A之後,再 ssh login回C),目前我嘗試過用iptable設定防火牆(我認為應該是這邊下手),但沒有設定成功。 請問有大大知道該怎麼處理嗎!非常謝謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.137.164.90 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1556803557.A.ECB.html
05/02 23:15, 5年前 , 1F
拿掉ssh client or 將ssh client rename.
05/02 23:15, 1F
05/02 23:57, 5年前 , 2F
謝謝樓上大大,我會再去查查看那個方法
05/02 23:57, 2F
05/02 23:58, 5年前 , 3F
我目前是直接關掉了A對外login的權限(透過iptable)
05/02 23:58, 3F
05/03 00:12, 5年前 , 4F
iptable的作法就是限制A機器往外面的22port連線
05/03 00:12, 4F
05/03 01:29, 5年前 , 5F
這樣外面的ssh server port不是開在22的話...?
05/03 01:29, 5F
05/03 01:43, 5年前 , 6F
ssh client改名或拿掉可以自己編一個或者用perl 等也有現成的
05/03 01:43, 6F
05/03 01:47, 5年前 , 7F
套件 擋目的地則port可以連第3地再連過去吧 e.g. A->D->C
05/03 01:47, 7F
05/03 07:30, 5年前 , 8F
放一個假的ssh script在global wrapper,然後限制真bina
05/03 07:30, 8F
05/03 07:30, 5年前 , 9F
ry的執行權限就好啦
05/03 07:30, 9F
05/03 09:30, 5年前 , 10F
你的目的&伺服器用途是? 給使用者shell access有必要?
05/03 09:30, 10F
05/03 17:24, 5年前 , 11F
Server B 阻擋SSH連線就好啦
05/03 17:24, 11F
05/03 17:26, 5年前 , 12F
或是用群組功能只開放可使用的指令即可
05/03 17:26, 12F
05/04 17:18, 5年前 , 13F
都有shell access了,使用者根本可以上傳自己的binary甚至是
05/04 17:18, 13F
05/04 17:18, 5年前 , 14F
script版的任何程式,所以先搞清楚你的防範目標,不然擋一個
05/04 17:18, 14F
05/04 17:18, 5年前 , 15F
ssh沒意義啊
05/04 17:18, 15F
05/06 11:30, 5年前 , 16F
都改用key認證,然後鎖死金鑰目錄權限?
05/06 11:30, 16F
05/07 02:21, 5年前 , 17F
擋下22 port就是只防君子不妨小人呀XD
05/07 02:21, 17F
05/07 02:22, 5年前 , 18F
老實說我們都可以用websocket連最初是telnet的PTT了,那就代
05/07 02:22, 18F
05/07 02:23, 5年前 , 19F
表這種wrapper可行,實際上github上也有ssh-over-ws之類的
05/07 02:23, 19F
05/07 02:29, 5年前 , 20F
然後上傳bin執行這點,以當前最流行single binary的go來說,
05/07 02:29, 20F
05/07 02:30, 5年前 , 21F
原生有ssh lib,要寫出client似乎沒有很難……
05/07 02:30, 21F
05/17 21:51, 5年前 , 22F
C 設定 host.deny from A
05/17 21:51, 22F
05/23 03:14, 5年前 , 23F
登入的時候起動docker (ry
05/23 03:14, 23F
更多 cow505285 的文章
文章代碼(AID): #1Sok_bxB (Linux)