SSH тунельний журнал?

У мене є комп'ютер із управлінням SSH, до якого я хотів би надати друзям доступ, але я не хочу, щоб вони використовували моє підключення до Інтернету через тунелювання SSH (хоча я б хотів це зробити сам). Чи є спосіб вести журнал, коли створюються тунелі SSH і якими (локальними) користувачами, або, якщо це неможливо, дозволити це робити лише деяким користувачам?

Якщо ваші друзі можуть отримати SSH на ваш комп'ютер, вони використовують частину вашої пропускної здатності, тому неможливо повністю перекрити їм доступ до вашого інтернет-з'єднання.

При цьому одним із рішень було б обмежити те, що ваші друзі можуть зробити з вашим зв’язком. Ви можете налаштувати брандмауер, який містить білі списки IP-адрес вашого друга та чорні списки всього іншого. Таким чином, ваші друзі могли SSH на ваш комп’ютер, але звідти вони не змогли дістатися до будь-якого іншого IP-адреси, крім власного.

Я ніколи не налаштовував брандмауер для користувача , але вважаю, що це можливо досягти за допомогою IPTables . Також майте на увазі, що ваші користувачі все одно можуть з'їсти велику пропускну здатність, завантажуючи великі файли на свій сервер. Якщо ви спеціально хочете запобігти цьому, вам доведеться обмежити пропускну здатність на кожного користувача .

Ви хочете переконатися, що / etc / ssh / sshd_config містить

AllowTcpForwarding no

а потім в кінці файлу ставити

Match User yourusername
    AllowTcpForwarding yes

Це дозволить вам і тільки вам передати вміст ваших сердець, але, як сказав Жоао, ви не зможете завадити їм управляти своїми програмами, якщо ви також не відключите доступ до оболонки.

Зауважте, що, хоча ви можете відключити пересилання TCP за допомогою sshd, вам потрібно піти набагато далі, щоб обмежити вихідну активність користувачів. Дати їм оболонку означає дати їм багато сил.

Наприклад, якщо вони можуть сканувати файли на сервер і виконувати файли в / home, вони можуть просто завантажити бінарний файл pppd і використовувати його для запуску PPP через SSH. Якщо ви дозволите вхідні з'єднання, вони можуть просто запустити /usr/sbin/sshd -p 9999 -f special_sshd_configі використовувати ваш сервер через цей sshd.

Ви можете заглянути в модуль власника iptables (man iptables, шукати власника) та chroot в'язниці, але це справді важко вирішити, не руйнуючи їхній досвід роботи з оболонками.

Єдиний варіант, який я складаю - це відключити тунелювання на системному рівні.

Редагувати / etc / ssh / sshd_config та змінити / додати

AllowTcpForwarding no

Зауважте, що, маючи доступ до оболонки, немає ніякого способу перешкодити користувачам використовувати власні бінарні файли для переадресації з'єднань.

Це було запитано і на сервері за замовчуванням, також /server/181660/how-do-i-log-ssh-port-наперед, і там патч: http://blog.rootshell.be/2009/ 03/01 / стежте за переглядом ssh-переадресації /

Перша ітерація:

Вимкнути переадресацію ssh для них. в сш

Ви включаєте IPSec для себе та VPN на свій сервер. IPSec - це мережевий рівень, тому налаштування додатків SSH не впливають.