作者cow505285 (handsome_joe)
看板Linux
標題[問題] 如何限制ssh login者不能再ssh login到其它server?
時間Thu May 2 21:25:55 2019
大家好,如題,今天有一組server A,B,C.
我希望有人ssh login至A之後,可以用A的所有權限,但不能在A再用ssh login到其它的地方,
例如說:(C ssh login到A之後,再 ssh login回C),目前我嘗試過用iptable設定防火牆(我認為應該是這邊下手),但沒有設定成功。
請問有大大知道該怎麼處理嗎!非常謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.137.164.90
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1556803557.A.ECB.html
1F:推 sauropod: 拿掉ssh client or 將ssh client rename. 05/02 23:15
2F:→ cow505285: 謝謝樓上大大,我會再去查查看那個方法 05/02 23:57
3F:→ cow505285: 我目前是直接關掉了A對外login的權限(透過iptable) 05/02 23:58
4F:→ soem: iptable的作法就是限制A機器往外面的22port連線 05/03 00:12
5F:推 holishing: 這樣外面的ssh server port不是開在22的話...? 05/03 01:29
6F:→ flu: ssh client改名或拿掉可以自己編一個或者用perl 等也有現成的 05/03 01:43
7F:→ flu: 套件 擋目的地則port可以連第3地再連過去吧 e.g. A->D->C 05/03 01:47
8F:推 brli7848: 放一個假的ssh script在global wrapper,然後限制真bina 05/03 07:30
9F:→ brli7848: ry的執行權限就好啦 05/03 07:30
10F:推 kdjf: 你的目的&伺服器用途是? 給使用者shell access有必要? 05/03 09:30
11F:→ rexsony: Server B 阻擋SSH連線就好啦 05/03 17:24
12F:→ rexsony: 或是用群組功能只開放可使用的指令即可 05/03 17:26
13F:推 kdjf: 都有shell access了,使用者根本可以上傳自己的binary甚至是 05/04 17:18
14F:→ kdjf: script版的任何程式,所以先搞清楚你的防範目標,不然擋一個 05/04 17:18
15F:→ kdjf: ssh沒意義啊 05/04 17:18
16F:推 chang0206: 都改用key認證,然後鎖死金鑰目錄權限? 05/06 11:30
17F:推 soem: 擋下22 port就是只防君子不妨小人呀XD 05/07 02:21
18F:→ soem: 老實說我們都可以用websocket連最初是telnet的PTT了,那就代 05/07 02:22
19F:→ soem: 表這種wrapper可行,實際上github上也有ssh-over-ws之類的 05/07 02:23
20F:→ soem: 然後上傳bin執行這點,以當前最流行single binary的go來說, 05/07 02:29
21F:→ soem: 原生有ssh lib,要寫出client似乎沒有很難…… 05/07 02:30
22F:推 dyoll: C 設定 host.deny from A 05/17 21:51
23F:→ firejox: 登入的時候起動docker (ry 05/23 03:14