SSH सुरंग लॉगिंग?

13

मेरे पास एसएसएच चलाने वाला एक कंप्यूटर है जिसे मैं अपने दोस्तों को देना चाहता हूं, लेकिन मैं नहीं चाहता कि वे एसएसएच टनलिंग के माध्यम से अपने इंटरनेट कनेक्शन का उपयोग करें (हालांकि मैं खुद ऐसा करना चाहूंगा)। क्या कोई रास्ता है जब एसएसएच सुरंगें बनाई जाती हैं और जिसके द्वारा (स्थानीय) उपयोगकर्ता, या यदि यह संभव नहीं है, तो केवल कुछ उपयोगकर्ताओं को ही ऐसा करने की अनुमति है?

server ssh tunnel

— Frxstrem
स्रोत

क्या आप उन उपयोगकर्ताओं के लिए सभी इंटरनेट एक्सेस को अस्वीकार करना चाहते हैं या केवल पोर्ट अग्रेषण करना चाहते हैं?

— JanC 22:10

1

मैं केवल SSH पर पोर्ट अग्रेषण और SOCKS प्रॉक्सी को अस्वीकार करना चाहता हूं।

— Frxstrem

10

यदि आपके मित्र आपके कंप्यूटर पर SSH करने में सक्षम हैं, तो वे आपके कुछ बैंडविड्थ का उपयोग कर रहे हैं और इसलिए उन्हें आपके इंटरनेट कनेक्शन तक पूरी तरह से ब्लॉक करना असंभव है।

कहा जा रहा है, एक समाधान यह होगा कि आपके मित्र आपके कनेक्शन के साथ क्या कर सकते हैं। आप एक फ़ायरवॉल सेट कर सकते हैं जो आपके मित्र के IP को श्वेत सूची में डाल देता है और बाकी सब को ब्लैक लिस्ट कर देता है। इस तरह, आपके दोस्त आपके कंप्यूटर पर SSH कर सकते हैं, लेकिन वहां से, अपने स्वयं के अलावा किसी अन्य आईपी तक पहुंचने में सक्षम नहीं होंगे।

मैंने कभी भी उपयोगकर्ता के विशिष्ट फ़ायरवॉल को सेटअप नहीं किया है , लेकिन मेरा मानना है कि IPTables के साथ इसे प्राप्त करना संभव है । इसके अलावा, ध्यान रखें कि आपके उपयोगकर्ता अभी भी आपके सर्वर पर बड़ी फ़ाइलों को अपलोड करके आपके बैंडविड्थ को खा सकते हैं। यदि आप विशेष रूप से इसे रोकना चाहते हैं, तो आपको प्रति उपयोगकर्ता बैंडविड्थ को सीमित करना होगा ।

— ओलिवियर लालोंडे
स्रोत

9

आप सुनिश्चित करना चाहते हैं / etc / ssh / sshd_config समाहित है

AllowTcpForwarding no

और फिर फ़ाइल के अंत में डाल दिया

Match User yourusername
    AllowTcpForwarding yes

यह आपको और केवल आपको अपने दिल की सामग्री को पोर्ट-फॉरवर्ड करने की अनुमति देगा, लेकिन जैसा कि जोओ ने कहा कि आप उन्हें अपने स्वयं के कार्यक्रमों को चलाने से रोकने में सक्षम नहीं होंगे जब तक कि आप शेल एक्सेस को अक्षम नहीं करते हैं।

8

ध्यान दें कि जब आप sshd द्वारा TCP अग्रेषण को अक्षम कर सकते हैं, तो आपको अपने उपयोगकर्ताओं की आउटगोइंग गतिविधि को प्रतिबंधित करने के लिए बहुत आगे जाना होगा। उन्हें एक खोल देने का मतलब है कि उन्हें बहुत शक्ति देना।

उदाहरण के लिए, यदि वे सर्वर पर फ़ाइलों को स्कैन कर सकते हैं और / घर में फ़ाइलों को निष्पादित कर सकते हैं, तो वे बस एक pppd बाइनरी अपलोड कर सकते हैं, और SSH पर PPP चलाने के लिए इसका उपयोग कर सकते हैं। यदि आप आने वाले कनेक्शन की अनुमति देते हैं तो वे बस /usr/sbin/sshd -p 9999 -f special_sshd_configउस sshd के माध्यम से अपने सर्वर को चला सकते हैं और उसका उपयोग कर सकते हैं ।

आप iptables स्वामी मॉड्यूल (मैन iptables, स्वामी की खोज) और चेरोट जेल में देखना चाहते हैं, लेकिन उनके शेल अनुभव को बर्बाद किए बिना हल करना वास्तव में कठिन है।

— SpamapS
स्रोत

1

एकमात्र विकल्प जो मेरे पास है वह है सिस्टम स्तर पर टनलिंग को निष्क्रिय करना।

संपादित करें / etc / ssh / sshd_config, और बदलें / जोड़ें

AllowTcpForwarding no

कृपया ध्यान दें कि शेल एक्सेस होने के दौरान उपयोगकर्ताओं को अग्रेषण कनेक्शन के लिए अपने स्वयं के बायनेरिज़ का उपयोग करने से रोकने का कोई तरीका नहीं है।

— जोआओ पिंटो
स्रोत

1

यह एक स्वीकार्य समाधान नहीं है क्योंकि मुझे स्वयं SSH सुरंग का उपयोग करना है (जैसा कि मैंने अपने प्रश्न में कहा था)।

— Frxstrem

यह वास्तव में आवेदन स्तर पर इसे अक्षम कर रहा है।

— चिग्गी

1

यह सर्वरफॉल्ट, भी /server/181660/how-do-i-log-ssh-port-forwards पर पूछा गया है और एक पैच है: http://blog.rootshell.be/2009/ 03/01 / रख-एक आँख-ऑन-ssh-अग्रेषण /

— sendmoreinfo
स्रोत

0

पहला पुनरावृत्ति:

उनके लिए ssh अग्रेषित करना अक्षम करें। ssh में

आप अपने सर्वर के लिए खुद को और वीपीएन के लिए IPSec सक्षम करें। IPSec नेटवर्क स्तर है इसलिए SSH एप्लिकेशन सेटिंग से अप्रभावित है।

— chiggsy
स्रोत