SSH jumpbox com grupo Autorização

2

Estou tentando configurar um Jumpbox SSH. Os usuários logados no Jumpbox precisam ser capazes de autorizar para outros servidores SSH dependendo do grupo.

(UserA está no grupo Project1, UserB está no grupo Project2, UserA deve ser capaz de ssh em project1.com, mas não em UserB)

Existe alguma maneira de implementar isso no nível do Jumpbox?

    
por yigit 23.07.2012 / 14:26

1 resposta

7

Assumindo que o jumpbox é uma caixa linux, iptables pode ser usado na cadeia OUTPUT para restringir quais membros do grupo podem se conectar a quais servidores. Algo como

iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT

que tem o efeito colateral de restringir os membros do grupo project1 de fazer qualquer coisa exceto ssh'ing para project1.com, e similarmente para project2 e project2.com. Você também pode precisar de algumas regras correspondentes na cadeia INPUT , se você restringir o tráfego INPUT .

    
por 23.07.2012 / 14:52