Linux

如何限制ssh login者不能再ssh login到其它server? - Linux

Valerie avatarValerie · 2019-05-02

Table of Contents

大家好,如題,今天有一組server A,B,C.
我希望有人ssh login至A之後,可以用A的所有權限,但不能在A再用ssh login到其它的地方,
例如說:(C ssh login到A之後,再 ssh login回C),目前我嘗試過用iptable設定防火牆(我認為應該是這邊下手),但沒有設定成功。
請問有大大知道該怎麼處理嗎!非常謝謝!

--
Linux

All Comments

Hedda avatarHedda2019-05-04
拿掉ssh client or 將ssh client rename.
Irma avatarIrma2019-05-09
謝謝樓上大大,我會再去查查看那個方法
Aaliyah avatarAaliyah2019-05-12
我目前是直接關掉了A對外login的權限(透過iptable)
Ida avatarIda2019-05-17
iptable的作法就是限制A機器往外面的22port連線
Tracy avatarTracy2019-05-19
這樣外面的ssh server port不是開在22的話...?
Charlotte avatarCharlotte2019-05-20
ssh client改名或拿掉可以自己編一個或者用perl 等也有現成的
Hardy avatarHardy2019-05-21
套件 擋目的地則port可以連第3地再連過去吧 e.g. A->D->C
Lucy avatarLucy2019-05-22
放一個假的ssh script在global wrapper,然後限制真bina
ry的執行權限就好啦
Rae avatarRae2019-05-23
你的目的&伺服器用途是? 給使用者shell access有必要?
Lucy avatarLucy2019-05-24
Server B 阻擋SSH連線就好啦
Madame avatarMadame2019-05-28
或是用群組功能只開放可使用的指令即可
Wallis avatarWallis2019-05-29
都有shell access了,使用者根本可以上傳自己的binary甚至是
script版的任何程式,所以先搞清楚你的防範目標,不然擋一個
ssh沒意義啊
Mia avatarMia2019-05-29
都改用key認證,然後鎖死金鑰目錄權限?
Franklin avatarFranklin2019-05-29
擋下22 port就是只防君子不妨小人呀XD
Wallis avatarWallis2019-05-31
老實說我們都可以用websocket連最初是telnet的PTT了,那就代
Ursula avatarUrsula2019-06-04
表這種wrapper可行,實際上github上也有ssh-over-ws之類的
Hazel avatarHazel2019-06-06
然後上傳bin執行這點,以當前最流行single binary的go來說,
Candice avatarCandice2019-06-06
原生有ssh lib,要寫出client似乎沒有很難……
Faithe avatarFaithe2019-06-08
C 設定 host.deny from A
Eartha avatarEartha2019-06-11
登入的時候起動docker (ry