SSH 터널링 만 허용하도록 SSH 사용자를 제한하는 방법은 무엇입니까? 허용하도록 SSH 서버의

SSH TUNNELING에 대한 권한 허용하도록 SSH 서버의 사용자를 어떻게 제한 할 수 있습니까? 즉, SSH를 통해 로그인하더라도 명령을 실행할 수 없습니다.

내 Linux 서버는 Ubuntu 11.04 및 OpenWrt입니다.



답변

서버 측에서 사용자 쉘을로 설정하여이를 제한 할 수 있습니다 /bin/true. 이렇게하면 인증을받을 수 있지만 쉘을 실행할 수 없기 때문에 실제로는 아무것도 실행할 수 없습니다. 이는 SSH가 제공 할 수있는 것의 일부로 제한됩니다. 포트 포워딩을 제공하더라도 여전히 그렇게 할 수 있습니다.

클라이언트 쪽에서와 연결하고 싶을 것입니다 -N. 이것은 클라이언트가 쉘과 같은 원격 명령을 요구하지 못하게하고 인증 부분이 완료된 후에 중지됩니다. 이것을 지적 해주신 의견에 감사드립니다.


답변

다음은 X11 및 SSH 에이전트 소켓 전달도 허용되지 않으며 여전히 Calebs 방식으로 허용 될 수 있다는 이점이 있습니다. 다른 장점은 사용자가 다른 방법으로 기본 셸을 변경할 수있는 경우에도 SSH 액세스가 TCP 전달로만 제한된다는 것입니다.

당신의 다음을 넣어 /etc/ssh/sshd_config:

Match User that-restricted-guy
  AllowTcpForwarding yes
  X11Forwarding no
  AllowAgentForwarding no
  ForceCommand /bin/false

사용자 that-restricted-guy가 SSH 사용 가능 시스템 (이 시스템에 localhost연결 및이 시스템에서 다른 시스템으로의 연결)을 통해 TCP 연결을 전달할 수 있습니다.

더 제한적이기를 원한다면 (좋은 생각입니다) 다음을 수행 할 수도 있습니다.

Match User even-more-restricted-guy
  PermitOpen 127.0.0.1:12345
  X11Forwarding no
  AllowAgentForwarding no
  ForceCommand /bin/false

이를 통해 사용자 even-more-restricted-guy는 127.0.0.1 TCP 포트 12345 로의 연결 만 전달할 수 있습니다 (SSH 지원 시스템을 통해 볼 수 있음).

사용자가 정상적으로 연결하면 /bin/false명령이 트리거되어 코드 1로 즉시 종료 되므로 즉시 연결이 끊어집니다 .이를 피하고 전달 연결을 열린 상태로 유지 -N하려면 ssh명령에 플래그를 추가하십시오 . 이것은 명령을 실행하려고 시도하지 않지만 여전히 TCP 전달 설정을 허용합니다.

후자의 설정에서 작동해야하는 forward 명령의 예 :

ssh -L 12345:127.0.0.1:12345 -N even-more-restricted-guy@insert-your-machine

답변

ssh 버전이이를 지원할만큼 충분히 새롭다 고 가정하면 그룹을 일치시켜 ssh에서 사람들이 수행 할 수있는 작업을 제어 할 수 있습니다 (openssh 5.x +).

기본적으로 우리는 그것들을 sftp 사용자 인 것처럼 취급하지만 tcp 전달을 허용하고 선택적으로 전달할 목적지를 지정합니다. 홈 디렉토리를 제공하지만 그 아래에 디렉토리를 작성하지 않으면 파일을 전송할 수있는 권한이 없으므로 파일을 전송할 수 없습니다.

Match Group                     nicepeople
    PubkeyAuthentication        yes
    PasswordAuthentication      yes
    PermitEmptyPasswords        no
    GatewayPorts                no
    ChrootDirectory             /opt/dummy_location/%u
    ForceCommand                internal-sftp
    AllowTcpForwarding          yes
        PermitOpen              192.168.0.8:22
        PermitOpen              192.168.0.5:8080
    # Or leave out the PermitOpen to allow forwarding to anywhere.
    HostbasedAuthentication     no
    RhostsRSAAuthentication     no
    AllowAgentForwarding        no
    Banner                      none

다른 동작이나 제한을 제공하려는 각 그룹에 대해 이러한 일치 그룹 블록을 반복 할 수 있습니다 .

iptables를 사용하여이 사람이 네트워크에서 갈 수있는 곳을 추가로 제어 할 수 있습니다.

/sbin/iptables -I OUTPUT -m owner --gid-owner 500 -j REJECT
/sbin/iptables -I OUTPUT -m owner --gid-owner 500 -m tcp -p tcp -d 192.168.0.0/24 -j ACCEPT

“nicepeople”그룹 GID가 500이라고 가정합니다.

위의 ssh 옵션 중 일부는 이전 버전의 openssh에서 사용할 수 있지만 일치 그룹 섹션에서는 사용할 수 없습니다. 일치 그룹은 OpenSSH 4.x 및 이전 버전에서 매우 제한됩니다.