¿Registro de túnel SSH?

13

Tengo una computadora con SSH a la que me gustaría dar acceso a mis amigos, pero no quiero que usen mi conexión a Internet a través de túneles SSH (aunque me gustaría hacerlo yo mismo). ¿Hay alguna manera de tener un registro de cuándo se crean los túneles SSH y por qué usuarios (locales) o, si eso no es posible, solo permiten que algunos usuarios lo hagan?

server ssh tunnel Frxstrem
fuente
Qué quiere desactivar todas acceso a Internet para aquellos usuarios o simplemente el reenvío de puertos?
JanC
1
Solo quiero no permitir el reenvío de puertos y los servidores proxy SOCKS sobre SSH.
Frxstrem

Respuestas:

10

Si sus amigos pueden utilizar SSH en su computadora, están utilizando parte de su ancho de banda y, por lo tanto, es imposible bloquearlos por completo para que no puedan acceder a su conexión a Internet.

Dicho esto, una solución sería limitar lo que tus amigos pueden hacer con tu conexión. Puede configurar un firewall que incluya en la lista blanca las direcciones IP de sus amigos y ponga en una lista negra todo lo demás. De esa manera, tus amigos podrían usar SSH en tu computadora, pero desde allí, no podrían acceder a ninguna otra IP que no sea la suya.

Nunca he configurado un firewall específico para el usuario , pero creo que es posible lograrlo con IPTables . Además, tenga en cuenta que sus usuarios aún podrían consumir gran parte de su ancho de banda al cargar archivos grandes en su servidor. Si desea evitar esto específicamente, deberá limitar el ancho de banda por usuario .

Olivier Lalonde
fuente
9

Desea asegurarse de que / etc / ssh / sshd_config contenga 

AllowTcpForwarding no

y luego al final del archivo poner

Match User yourusername
    AllowTcpForwarding yes

Esto le permitirá a usted y solo a usted transferir el contenido de su corazón, pero como dijo João, no podrá evitar que ejecuten sus propios programas a menos que también desactive el acceso de shell.


fuente
8

Tenga en cuenta que si bien puede deshabilitar el reenvío TCP mediante sshd, debe ir mucho más allá para restringir la actividad saliente de sus usuarios. Darles un caparazón significa darles mucho poder.

Por ejemplo, si pueden scp archivos al servidor y ejecutar archivos en / home, simplemente pueden cargar un binario pppd, y usarlo para ejecutar PPP sobre SSH. Si permite conexiones entrantes, simplemente pueden ejecutar /usr/sbin/sshd -p 9999 -f special_sshd_configy usar su servidor a través de ese sshd.

Es posible que desee examinar el módulo propietario de iptables (man iptables, buscar propietario) y las cárceles chroot, pero esto es realmente difícil de resolver sin arruinar su experiencia de shell.

SpamapS
fuente
1

La única opción que tengo es deshabilitar la tunelización a nivel del sistema.

Edite / etc / ssh / sshd_config y cambie / agregue 

AllowTcpForwarding no

Tenga en cuenta que, si bien tiene acceso de shell, no hay forma de evitar que los usuarios utilicen sus propios binarios para reenviar conexiones.

João Pinto
fuente
1
Esta no es una solución aceptable ya que tengo que usar túneles SSH (como dije en mi pregunta).
Frxstrem
Eso en realidad lo está deshabilitando a nivel de aplicación.
chiggsy
0

Primera iteración:

Deshabilite el reenvío ssh para ellos. en ssh

Usted habilitar IPSec VPN para usted y para su servidor. IPSec es de nivel de red, por lo que no se ve afectado por la configuración de la aplicación SSH.

chiggsy
fuente