SSH tüneli günlüğü?

13

Arkadaşlarıma erişim vermek istediğim SSH çalıştıran bir bilgisayarım var, ancak internet bağlantımı SSH tüneli üzerinden kullanmalarını istemiyorum (bunu kendim yapmak istiyorum). SSH tünellerinin ne zaman oluşturulduğunu ve hangi (yerel) kullanıcıların oluşturulacağını günlüğe kaydetmenin bir yolu var mı, yoksa bu mümkün değilse yalnızca bazı kullanıcıların bunu yapmasına izin verin?

server  ssh  tunnel 
Frxstrem
kaynak
bu kullanıcılar için tüm internet erişimine izin vermemek mi yoksa sadece port yönlendirmek mi istiyorsunuz?
JanC
1
Yalnızca SSH üzerinden port yönlendirme ve SOCKS proxy'lerine izin vermemek istiyorum.
Frxstrem

Yanıtlar:

10

Arkadaşlarınız bilgisayarınıza SSH yapabiliyorsa, bant genişliğinizin bir kısmını kullanıyorlar ve bu nedenle İnternet bağlantınıza erişimlerini tamamen engellemek imkansız.

Bununla birlikte, bir çözüm, arkadaşlarınızın bağlantınızla yapabileceklerini sınırlamak olacaktır. Arkadaşınızın IP'lerini beyaz listeye ekleyen ve diğer her şeyi kara listeye alan bir güvenlik duvarı oluşturabilirsiniz. Bu şekilde, arkadaşlarınız bilgisayarınıza SSH gönderebilir, ancak oradan kendi IP'lerinden başka bir IP'ye erişemezler.

Hiçbir zaman kullanıcıya özel bir güvenlik duvarı kurmadım , ancak IPTable'larla başarmanın mümkün olduğuna inanıyorum . Ayrıca, sunucularınıza büyük dosyalar yükleyerek kullanıcılarınızın yine de bant genişliğinizin çoğunu yiyebileceğini unutmayın. Özellikle bunu önlemek istiyorsanız, kullanıcı başına bant genişliğini sınırlamanız gerekir .

Olivier Lalonde
kaynak
9

/ Etc / ssh / sshd_config dosyasının içerdiğinden emin olmak istiyorsunuz 

AllowTcpForwarding no

ve sonra dosya sonuna koymak

Match User yourusername
    AllowTcpForwarding yes

Bu size ve sadece kalp içeriğinize yönlendirmenize izin verir, ancak João'nın dediği gibi, kabuk erişimini de devre dışı bırakmadıkça kendi programlarını çalıştırmalarını engelleyemezsiniz.

8

TCP İletme'yi sshd ile devre dışı bırakabilmenize rağmen, kullanıcılarınızın giden etkinliklerini kısıtlamak için çok daha ileri gitmeniz gerektiğini unutmayın. Onlara bir kabuk vermek, onlara çok fazla güç vermek demektir.

Örneğin, dosyaları sunucuya scp yapabilir ve / home içindeki dosyaları yürütebilirlerse, sadece bir pppd ikili dosyası yükleyebilir ve bunu SSH üzerinden PPP çalıştırmak için kullanabilirler. Gelen bağlantılara izin verirseniz /usr/sbin/sshd -p 9999 -f special_sshd_config, sunucunuzu bu sshd üzerinden çalıştırabilir ve kullanabilirler.

Iptables sahibi modülüne (man iptables, sahip arayın) ve chroot hapishanelerine bakmak isteyebilirsiniz, ancak bu kabuk deneyimlerini bozmadan çözmek gerçekten zor.

SpamapS
kaynak
1

Yapabildiğim tek seçenek, tünellemeyi sistem düzeyinde devre dışı bırakmaktır.

/ Etc / ssh / sshd_config dosyasını düzenleyin ve değiştirin / ekleyin 

AllowTcpForwarding no

Kabuk erişimine sahipken, kullanıcıların bağlantıları yönlendirmek için kendi ikili dosyalarını kullanmalarını engellemenin bir yolu olmadığını lütfen unutmayın.

João Pinto
kaynak
1
SSH tünellemesini kendim kullanmak zorunda olduğum için (sorumda söylediğim gibi) bu kabul edilebilir bir çözüm değil.
Frxstrem
Bu aslında uygulama düzeyinde devre dışı bırakıyor.
chiggsy
0

İlk yineleme:

Onlar için ssh yönlendirmeyi devre dışı bırakın. ssh olarak

Kendiniz için IPSec'i ve sunucunuza VPN'yi etkinleştirirsiniz. IPSec ağ düzeyidir, bu nedenle SSH uygulama ayarlarından etkilenmez.

chiggsy
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.