[問題] 如何限制ssh login者不能再ssh login到其它server?

作者cow505285 (handsome_joe)

看板Linux

標題[問題] 如何限制ssh login者不能再ssh login到其它server?

時間Thu May 2 21:25:55 2019

大家好，如題，今天有一組server A,B,C. 我希望有人ssh login至A之後，可以用A的所有權限，但不能在A再用ssh login到其它的地方, 例如說:(C ssh login到A之後,再 ssh login回C)，目前我嘗試過用iptable設定防火牆(我認為應該是這邊下手),但沒有設定成功。請問有大大知道該怎麼處理嗎!非常謝謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.137.164.90 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1556803557.A.ECB.html

推 sauropod: 拿掉ssh client or 將ssh client rename. 05/02 23:15

→ cow505285: 謝謝樓上大大，我會再去查查看那個方法 05/02 23:57

→ cow505285: 我目前是直接關掉了A對外login的權限(透過iptable) 05/02 23:58

→ soem: iptable的作法就是限制A機器往外面的22port連線 05/03 00:12

推 holishing: 這樣外面的ssh server port不是開在22的話...? 05/03 01:29

→ flu: ssh client改名或拿掉可以自己編一個或者用perl 等也有現成的 05/03 01:43

→ flu: 套件擋目的地則port可以連第3地再連過去吧 e.g. A->D->C 05/03 01:47

推 brli7848: 放一個假的ssh script在global wrapper，然後限制真bina 05/03 07:30

→ brli7848: ry的執行權限就好啦 05/03 07:30

推 kdjf: 你的目的&伺服器用途是? 給使用者shell access有必要? 05/03 09:30

→ rexsony: Server B 阻擋SSH連線就好啦 05/03 17:24

→ rexsony: 或是用群組功能只開放可使用的指令即可 05/03 17:26

推 kdjf: 都有shell access了，使用者根本可以上傳自己的binary甚至是 05/04 17:18

→ kdjf: script版的任何程式，所以先搞清楚你的防範目標，不然擋一個 05/04 17:18

→ kdjf: ssh沒意義啊 05/04 17:18

推 chang0206: 都改用key認證，然後鎖死金鑰目錄權限？ 05/06 11:30

推 soem: 擋下22 port就是只防君子不妨小人呀XD 05/07 02:21

→ soem: 老實說我們都可以用websocket連最初是telnet的PTT了，那就代 05/07 02:22

→ soem: 表這種wrapper可行，實際上github上也有ssh-over-ws之類的 05/07 02:23

→ soem: 然後上傳bin執行這點，以當前最流行single binary的go來說， 05/07 02:29

→ soem: 原生有ssh lib，要寫出client似乎沒有很難…… 05/07 02:30

推 dyoll: C 設定 host.deny from A 05/17 21:51

→ firejox: 登入的時候起動docker (ry 05/23 03:14