作者:
cow505285 (handsome_joe)
2019-05-02 21:25:55大家好,如題,今天有一組server A,B,C.
我希望有人ssh login至A之後,可以用A的所有權限,但不能在A再用ssh login到其它的地方,
例如說:(C ssh login到A之後,再 ssh login回C),目前我嘗試過用iptable設定防火牆(我認為應該是這邊下手),但沒有設定成功。
請問有大大知道該怎麼處理嗎!非常謝謝!
作者: sauropod 2019-05-02 23:15:00
拿掉ssh client or 將ssh client rename.
作者:
cow505285 (handsome_joe)
2019-05-02 23:57:00謝謝樓上大大,我會再去查查看那個方法我目前是直接關掉了A對外login的權限(透過iptable)
作者:
soem (æµæ°´)
2019-05-03 00:12:00iptable的作法就是限制A機器往外面的22port連線
這樣外面的ssh server port不是開在22的話...?
作者:
flu (Crazy Rhythm)
2019-05-03 01:43:00ssh client改名或拿掉可以自己編一個或者用perl 等也有現成的套件 擋目的地則port可以連第3地再連過去吧 e.g. A->D->C
作者: brli7848 (無理阿?) 2019-05-03 07:30:00
放一個假的ssh script在global wrapper,然後限制真binary的執行權限就好啦
作者:
kdjf (我抓得到什麼呢?)
2019-05-03 09:30:00你的目的&伺服器用途是? 給使用者shell access有必要?
作者:
rexsony (雷克斯索尼)
2019-05-03 17:24:00Server B 阻擋SSH連線就好啦或是用群組功能只開放可使用的指令即可
作者:
kdjf (我抓得到什麼呢?)
2019-05-04 17:18:00都有shell access了,使用者根本可以上傳自己的binary甚至是script版的任何程式,所以先搞清楚你的防範目標,不然擋一個ssh沒意義啊
作者:
chang0206 (Eric Chang)
2019-05-06 11:30:00都改用key認證,然後鎖死金鑰目錄權限?
作者:
soem (æµæ°´)
2019-05-07 02:21:00擋下22 port就是只防君子不妨小人呀XD老實說我們都可以用websocket連最初是telnet的PTT了,那就代表這種wrapper可行,實際上github上也有ssh-over-ws之類的然後上傳bin執行這點,以當前最流行single binary的go來說,原生有ssh lib,要寫出client似乎沒有很難……
作者: dyoll (lloyd huang) 2019-05-17 21:51:00
C 設定 host.deny from A
作者:
firejox (Tangent)
2019-05-23 03:14:00登入的時候起動docker (ry