Tengo una computadora con SSH a la que me gustaría dar acceso a mis amigos, pero no quiero que usen mi conexión a Internet a través de túneles SSH (aunque me gustaría hacerlo yo mismo). ¿Hay alguna manera de tener un registro de cuándo se crean los túneles SSH y por qué usuarios (locales) o, si eso no es posible, solo permiten que algunos usuarios lo hagan?
13
Respuestas:
Si sus amigos pueden utilizar SSH en su computadora, están utilizando parte de su ancho de banda y, por lo tanto, es imposible bloquearlos por completo para que no puedan acceder a su conexión a Internet.
Dicho esto, una solución sería limitar lo que tus amigos pueden hacer con tu conexión. Puede configurar un firewall que incluya en la lista blanca las direcciones IP de sus amigos y ponga en una lista negra todo lo demás. De esa manera, tus amigos podrían usar SSH en tu computadora, pero desde allí, no podrían acceder a ninguna otra IP que no sea la suya.
Nunca he configurado un firewall específico para el usuario , pero creo que es posible lograrlo con IPTables . Además, tenga en cuenta que sus usuarios aún podrían consumir gran parte de su ancho de banda al cargar archivos grandes en su servidor. Si desea evitar esto específicamente, deberá limitar el ancho de banda por usuario .
fuente
Desea asegurarse de que / etc / ssh / sshd_config contenga
y luego al final del archivo poner
Esto le permitirá a usted y solo a usted transferir el contenido de su corazón, pero como dijo João, no podrá evitar que ejecuten sus propios programas a menos que también desactive el acceso de shell.
fuente
Tenga en cuenta que si bien puede deshabilitar el reenvío TCP mediante sshd, debe ir mucho más allá para restringir la actividad saliente de sus usuarios. Darles un caparazón significa darles mucho poder.
Por ejemplo, si pueden scp archivos al servidor y ejecutar archivos en / home, simplemente pueden cargar un binario pppd, y usarlo para ejecutar PPP sobre SSH. Si permite conexiones entrantes, simplemente pueden ejecutar
/usr/sbin/sshd -p 9999 -f special_sshd_config
y usar su servidor a través de ese sshd.Es posible que desee examinar el módulo propietario de iptables (man iptables, buscar propietario) y las cárceles chroot, pero esto es realmente difícil de resolver sin arruinar su experiencia de shell.
fuente
La única opción que tengo es deshabilitar la tunelización a nivel del sistema.
Edite / etc / ssh / sshd_config y cambie / agregue
Tenga en cuenta que, si bien tiene acceso de shell, no hay forma de evitar que los usuarios utilicen sus propios binarios para reenviar conexiones.
fuente
Esto se ha preguntado también en serverfault /server/181660/how-do-i-log-ssh-port-forwards y hay un parche: http://blog.rootshell.be/2009/ 03/01 / keep-an-eye-on-ssh-forwarding /
fuente
Primera iteración:
Deshabilite el reenvío ssh para ellos. en ssh
Usted habilitar IPSec VPN para usted y para su servidor. IPSec es de nivel de red, por lo que no se ve afectado por la configuración de la aplicación SSH.
fuente