Đăng nhập đường hầm SSH?


13

Tôi có một máy tính chạy SSH mà tôi muốn cho bạn bè của mình truy cập, nhưng tôi không muốn họ sử dụng kết nối internet của mình thông qua đường hầm SSH (mặc dù tôi muốn tự mình làm như vậy). Có cách nào để có nhật ký khi đường hầm SSH được tạo và theo đó người dùng (cục bộ) hoặc nếu không thể, chỉ cho phép một số người dùng làm như vậy?


Bạn có muốn không cho phép tất cả truy cập internet cho những người dùng đó hay chỉ chuyển tiếp cổng?
JanC

1
Tôi chỉ muốn không cho phép chuyển tiếp cổng và proxy SOCKS qua SSH.
Frxstrem

Câu trả lời:


10

Nếu bạn bè của bạn có thể SSH vào máy tính của bạn, họ đang sử dụng một số băng thông của bạn và do đó không thể chặn hoàn toàn họ truy cập vào kết nối Internet của bạn.

Điều đó đang được nói, một giải pháp sẽ là hạn chế những gì bạn bè của bạn có thể làm với kết nối của bạn. Bạn có thể thiết lập một tường lửa liệt kê danh sách trắng IP của bạn bè và mọi danh sách khác. Bằng cách đó, bạn bè của bạn có thể SSH vào máy tính của bạn nhưng từ đó, sẽ không thể truy cập bất kỳ IP nào khác ngoài IP của họ.

Tôi chưa bao giờ tự thiết lập một tường lửa cụ thể cho người dùng , nhưng tôi tin rằng có thể đạt được với IPTables . Ngoài ra, hãy nhớ rằng người dùng của bạn vẫn có thể ăn nhiều băng thông bằng cách tải lên các tệp lớn trên máy chủ của bạn. Nếu bạn đặc biệt muốn ngăn chặn điều này, bạn sẽ phải giới hạn băng thông cho mỗi người dùng .


9

Bạn muốn chắc chắn / etc / ssh / sshd_config chứa

AllowTcpForwarding no

và sau đó ở cuối tập tin đặt

Match User yourusername
    AllowTcpForwarding yes

Điều này sẽ cho phép bạn và chỉ bạn chuyển tiếp đến nội dung trái tim của bạn, nhưng như João nói bạn sẽ không thể ngăn họ chạy các chương trình của riêng họ trừ khi bạn cũng vô hiệu hóa quyền truy cập shell.


8

Lưu ý rằng trong khi bạn có thể vô hiệu hóa Chuyển tiếp TCP bằng sshd, bạn cần phải đi xa hơn nữa để hạn chế hoạt động gửi đi của người dùng. Cho họ một cái vỏ có nghĩa là cho họ rất nhiều sức mạnh.

Chẳng hạn, nếu họ có thể quét các tệp đến máy chủ và thực thi các tệp trong / home, họ có thể chỉ cần tải lên tệp nhị phân pppd và sử dụng tệp đó để chạy PPP qua SSH. Nếu bạn cho phép các kết nối đến, họ chỉ có thể chạy /usr/sbin/sshd -p 9999 -f special_sshd_configvà sử dụng máy chủ của bạn thông qua sshd đó.

Bạn có thể muốn xem xét mô-đun chủ sở hữu iptables (man iptables, tìm kiếm chủ sở hữu) và chroot jails, nhưng điều này thực sự khó giải quyết mà không làm hỏng trải nghiệm vỏ của chúng.


1

Tùy chọn duy nhất tôi đang sử dụng là vô hiệu hóa đường hầm ở cấp hệ thống.

Chỉnh sửa / etc / ssh / sshd_config và thay đổi / thêm

AllowTcpForwarding no

Xin lưu ý rằng trong khi có quyền truy cập shell, không có cách nào để ngăn người dùng sử dụng nhị phân của riêng họ để chuyển tiếp kết nối.


1
Đây không phải là một giải pháp chấp nhận được vì tôi phải sử dụng SSH tự đào hầm (như tôi đã nói trong câu hỏi của mình).
Frxstrem

Đó là thực sự vô hiệu hóa nó ở cấp ứng dụng.
chiggsy


0

Lặp lại đầu tiên:

Vô hiệu hóa chuyển tiếp ssh cho họ. trong ssh

Bạn kích hoạt IPSec cho chính mình và VPN cho máy chủ của bạn. IPSec là cấp độ mạng nên không bị ảnh hưởng bởi cài đặt ứng dụng SSH.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.