楼主:
cow505285 (handsome_joe)
2019-05-02 21:25:55大家好,如题,今天有一组server A,B,C.
我希望有人ssh login至A之后,可以用A的所有权限,但不能在A再用ssh login到其它的地方,
例如说:(C ssh login到A之后,再 ssh login回C),目前我尝试过用iptable设定防火墙(我认为应该是这边下手),但没有设定成功。
请问有大大知道该怎么处理吗!非常谢谢!
作者: sauropod 2019-05-02 23:15:00
拿掉ssh client or 将ssh client rename.
楼主:
cow505285 (handsome_joe)
2019-05-02 23:57:00谢谢楼上大大,我会再去查查看那个方法我目前是直接关掉了A对外login的权限(透过iptable)
作者:
soem (æµæ°´)
2019-05-03 00:12:00iptable的作法就是限制A机器往外面的22port连线
这样外面的ssh server port不是开在22的话...?
作者:
flu (Crazy Rhythm)
2019-05-03 01:43:00ssh client改名或拿掉可以自己编一个或者用perl 等也有现成的套件 挡目的地则port可以连第3地再连过去吧 e.g. A->D->C
作者: brli7848 (无理阿?) 2019-05-03 07:30:00
放一个假的ssh script在global wrapper,然后限制真binary的执行权限就好啦
作者:
kdjf (我抓得到什么呢?)
2019-05-03 09:30:00你的目的&服务器用途是? 给使用者shell access有必要?
作者:
rexsony (雷克斯索尼)
2019-05-03 17:24:00Server B 阻挡SSH连线就好啦或是用群组功能只开放可使用的指令即可
作者:
kdjf (我抓得到什么呢?)
2019-05-04 17:18:00都有shell access了,使用者根本可以上传自己的binary甚至是script版的任何程式,所以先搞清楚你的防范目标,不然挡一个ssh没意义啊
作者:
chang0206 (Eric Chang)
2019-05-06 11:30:00都改用key认证,然后锁死金钥目录权限?
作者:
soem (æµæ°´)
2019-05-07 02:21:00挡下22 port就是只防君子不妨小人呀XD老实说我们都可以用websocket连最初是telnet的PTT了,那就代表这种wrapper可行,实际上github上也有ssh-over-ws之类的然后上传bin执行这点,以当前最流行single binary的go来说,原生有ssh lib,要写出client似乎没有很难……
作者: dyoll (lloyd huang) 2019-05-17 21:51:00
C 设定 host.deny from A
作者:
firejox (Tangent)
2019-05-23 03:14:00登入的时候起动docker (ry