作者cow505285 (handsome_joe)
看板Linux
标题[问题] 如何限制ssh login者不能再ssh login到其它server?
时间Thu May 2 21:25:55 2019
大家好,如题,今天有一组server A,B,C.
我希望有人ssh login至A之後,可以用A的所有权限,但不能在A再用ssh login到其它的地方,
例如说:(C ssh login到A之後,再 ssh login回C),目前我尝试过用iptable设定防火墙(我认为应该是这边下手),但没有设定成功。
请问有大大知道该怎麽处理吗!非常谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.137.164.90
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1556803557.A.ECB.html
1F:推 sauropod: 拿掉ssh client or 将ssh client rename. 05/02 23:15
2F:→ cow505285: 谢谢楼上大大,我会再去查查看那个方法 05/02 23:57
3F:→ cow505285: 我目前是直接关掉了A对外login的权限(透过iptable) 05/02 23:58
4F:→ soem: iptable的作法就是限制A机器往外面的22port连线 05/03 00:12
5F:推 holishing: 这样外面的ssh server port不是开在22的话...? 05/03 01:29
6F:→ flu: ssh client改名或拿掉可以自己编一个或者用perl 等也有现成的 05/03 01:43
7F:→ flu: 套件 挡目的地则port可以连第3地再连过去吧 e.g. A->D->C 05/03 01:47
8F:推 brli7848: 放一个假的ssh script在global wrapper,然後限制真bina 05/03 07:30
9F:→ brli7848: ry的执行权限就好啦 05/03 07:30
10F:推 kdjf: 你的目的&伺服器用途是? 给使用者shell access有必要? 05/03 09:30
11F:→ rexsony: Server B 阻挡SSH连线就好啦 05/03 17:24
12F:→ rexsony: 或是用群组功能只开放可使用的指令即可 05/03 17:26
13F:推 kdjf: 都有shell access了,使用者根本可以上传自己的binary甚至是 05/04 17:18
14F:→ kdjf: script版的任何程式,所以先搞清楚你的防范目标,不然挡一个 05/04 17:18
15F:→ kdjf: ssh没意义啊 05/04 17:18
16F:推 chang0206: 都改用key认证,然後锁死金钥目录权限? 05/06 11:30
17F:推 soem: 挡下22 port就是只防君子不妨小人呀XD 05/07 02:21
18F:→ soem: 老实说我们都可以用websocket连最初是telnet的PTT了,那就代 05/07 02:22
19F:→ soem: 表这种wrapper可行,实际上github上也有ssh-over-ws之类的 05/07 02:23
20F:→ soem: 然後上传bin执行这点,以当前最流行single binary的go来说, 05/07 02:29
21F:→ soem: 原生有ssh lib,要写出client似乎没有很难…… 05/07 02:30
22F:推 dyoll: C 设定 host.deny from A 05/17 21:51
23F:→ firejox: 登入的时候起动docker (ry 05/23 03:14