SSH pular + Bloquear conta de usuário na máquina remota, mas permitir que o usuário use o sudo?

0

Estou tentando configurar um servidor no qual os usuários farão login. Os usuários usarão esse servidor como uma caixa para acessar outros servidores via ssh. Do servidor de salto para os outros usará autenticação baseada em chave SSH. Os usuários não têm permissão para fazer login diretamente nos outros servidores. Assim, eles precisam ir do servidor de salto para os outros. As contas de usuário estão bloqueadas "usermod -L username" em todos os outros servidores.

Eu encontrei um problema em que esses usuários também precisam usar o "sudo" nos outros servidores. O problema atual é que quando os usuários estão em um dos outros servidores e tentam usar o sudo, eles recebem um erro ao inserir a senha "desculpe, tente novamente", mesmo que a senha esteja correta. Isso faz sentido porque eu tranquei a conta do usuário, impedindo o login SSH direto. Os usuários estão no arquivo sudoers.

Alguém sabe como eu poderia configurar os outros servidores para que eles permitissem aos usuários SSH somente através de chaves baseadas no servidor de salto e permitir que os usuários usassem o sudo nos outros servidores (non-jump).

Qualquer ajuda seria muito apreciada e obrigada pelo seu tempo.

    
por user513110 29.02.2016 / 17:01

2 respostas

0

Você pode implementar o SSH Agent Forwarding . Ou se você estiver usando um jumphost para SSH Access, então, é melhor usar o iptables ou ufw nos outros servidores para permitir SOMENTE o acesso SSH ao IP específico (que é o endereço IP do jumphost).

CONFIGURAÇÃO DE IPTABLES:

iptables -I INPUT -p tcp -s YourIP --dport 22 -j ACCEPT

Instalação do UFW:

sudo apt-get install ufw
sudo ufw enable
sudo ufw allow from 15.15.15.51 to any port 22 ---- Change 15.15.15.51 to the jumphost IP Address

Além disso, nos outros servidores, edite a configuração sshd e proíbe o login raiz para implementar melhor a segurança. Algumas camadas do servidor não pedem senha automaticamente. Então você pode instalar o "ask-pass" para que os usuários possam usar suas senhas.

Uma última coisa: para gerenciar facilmente os usuários nessa configuração, certifique-se de criar um grupo e incluí-lo nos sudoers (sem senha) e, em seguida, reinicie o SSH. Este agrupamento deve ser implementado nos "outros servidores" e não no servidor jumphost

    
por upbeta01 29.02.2016 / 20:04
0

Esse problema foi resolvido adicionando a seguinte configuração de correspondência ao arquivo sshd_config. Esta configuração foi colocada em todos os servidores onde o acesso direto não era permitido.

Match User user1,user2,user3
PasswordAuthentication no

Agora os usuários podem acessar via autenticação baseada em chave do servidor de salto para os servidores de destino, eles não podem acessar os servidores de destino diretamente com o SSH e o sudo ainda funciona para os usuários nos servidores de destino.

    
por user513110 01.03.2016 / 20:39