log de encapsulamento SSH?

12

Eu tenho um computador rodando o SSH que eu gostaria de dar acesso aos meus amigos, mas eu não quero que eles usem minha conexão de internet através de tunelamento SSH (embora eu mesmo queira fazer isso). Existe uma maneira de ter um log de quando os túneis SSH são criados e por quais usuários (locais), ou, se isso não for possível, apenas permitir que alguns usuários façam isso?

    
O
por Frxstrem 10.12.2010 / 20:34

6 respostas

10

Se seus amigos conseguirem acessar o SSH no seu computador, eles estão usando parte da sua largura de banda e, portanto, é impossível bloqueá-los completamente para acessar sua conexão com a Internet.

Dito isso, uma solução seria limitar o que seus amigos podem fazer com sua conexão. Você pode configurar um firewall que coloque na lista de permissões os IPs e as listas negras do seu amigo. Dessa forma, seus amigos poderiam usar o SSH em seu computador, mas a partir daí não conseguiriam alcançar nenhum outro IP além do deles.

Eu nunca configurei um firewall específico para o usuário, mas acredito que seja possível alcançar com IPTables . Além disso, lembre-se de que seus usuários ainda podem consumir muita largura de banda enviando arquivos grandes para o servidor. Se você quiser evitar isso, será necessário limitar a largura de banda por usuário .

    
por Olivier Lalonde 12.12.2010 / 17:59
7

Você quer ter certeza que o / etc / ssh / sshd_config contém

AllowTcpForwarding no

e, em seguida, no final do arquivo, coloque

Match User yourusername
    AllowTcpForwarding yes

Isso permitirá que você e somente você redirecionem para o conteúdo do seu coração, mas, como João disse, você não poderá impedi-los de executar seus próprios programas, a menos que você também desabilite o acesso ao shell.

    
por user10117 02.02.2011 / 22:19
6

Observe que, embora você possa desativar o TCP Forwarding by sshd, é necessário ir muito além para restringir a atividade de saída de seus usuários. Dar-lhes uma concha significa dar-lhes muito poder.

Por exemplo, se eles puderem scp arquivos para o servidor e executar arquivos em / home, eles podem simplesmente fazer o upload de um binário pppd e usá-lo para executar o PPP sobre SSH. Se você permitir conexões de entrada, elas podem executar /usr/sbin/sshd -p 9999 -f special_sshd_config e usar seu servidor por meio desse sshd.

Você pode querer olhar para o módulo proprietário iptables (man iptables, procurar pelo proprietário) e chroot jails, mas isso é realmente difícil de resolver sem arruinar sua experiência com o shell.

    
por SpamapS 12.12.2010 / 17:39
1

A única opção que eu tenho é desativar o tunelamento no nível do sistema.

Edite / etc / ssh / sshd_config e altere / adicione

AllowTcpForwarding no

Por favor, note que, apesar de ter acesso ao shell, não há como impedir que os usuários usem seus próprios binários para encaminhar conexões.

    
por João Pinto 10.12.2010 / 20:52
1

Isso foi solicitado no serverfault, também link e há um patch: link

    
por sendmoreinfo 14.10.2011 / 23:50
0

Primeira iteração:

Desative o encaminhamento ssh para eles. em ssh

Você ativa o IPSec para si mesmo e VPN para o seu servidor. O IPSec é um nível de rede, portanto, não é afetado pelas configurações do aplicativo SSH.

    
por chiggsy 13.12.2010 / 02:32