it-swarm.com.de

SSH Tunnel Logging?

Ich habe einen Computer mit SSH, auf den ich meinen Freunden Zugriff gewähren möchte, aber ich möchte nicht, dass sie meine Internetverbindung über SSH-Tunnel nutzen (obwohl ich dies gerne selbst tun würde). Gibt es eine Möglichkeit, ein Protokoll darüber zu führen, wann SSH-Tunnel erstellt werden und von welchen (lokalen) Benutzern oder, falls dies nicht möglich ist, nur einigen Benutzern dies zu ermöglichen?

13
Frxstrem

Wenn Ihre Freunde in der Lage sind, SSH auf Ihren Computer zu übertragen, belegen sie einen Teil Ihrer Bandbreite und können den Zugriff auf Ihre Internetverbindung daher nicht vollständig blockieren.

Abgesehen davon besteht eine Lösung darin, zu begrenzen, was Ihre Freunde mit Ihrer Verbindung tun können. Sie können eine Firewall einrichten, die die IPs Ihres Freundes auflistet und alles andere auf die schwarze Liste setzt. Auf diese Weise könnten Ihre Freunde SSH auf Ihren Computer übertragen, aber von dort aus könnten sie keine andere IP als ihre eigene erreichen.

Ich habe noch nie eine benutzerspezifische Firewall eingerichtet, aber ich glaube, dass dies mit IPTables möglich ist. Denken Sie auch daran, dass Ihre Benutzer immer noch viel Bandbreite verbrauchen können, wenn Sie große Dateien auf Ihren Server hochladen. Wenn Sie dies ausdrücklich verhindern möchten, müssen Sie Bandbreite begrenzen pro Benutzer .

10
Olivier Lalonde

Sie möchten sicherstellen, dass/etc/ssh/sshd_config enthält

AllowTcpForwarding no

und dann am Ende der Datei setzen

Match User yourusername
    AllowTcpForwarding yes

Auf diese Weise können Sie und nur Sie nach Herzenslust weiterleiten, aber wie João sagte, können Sie nicht verhindern, dass sie ihre eigenen Programme ausführen, es sei denn, Sie deaktivieren auch den Shell-Zugriff.

9
user10117

Beachten Sie, dass Sie zwar die Weiterleitung von TCP per sshd deaktivieren können, aber noch viel weiter gehen müssen, um die ausgehenden Aktivitäten Ihrer Benutzer einzuschränken. Ihnen eine Muschel zu geben bedeutet, ihnen viel Kraft zu geben.

Wenn sie beispielsweise Dateien auf dem Server scpen und Dateien in/home ausführen können, können sie einfach eine PPPD-Binärdatei hochladen und damit PPP über SSH ausführen. Wenn Sie eingehende Verbindungen zulassen, können sie einfach /usr/sbin/sshd -p 9999 -f special_sshd_config ausführen und Ihren Server über diese SSHD verwenden.

Möglicherweise möchten Sie sich mit dem Eigentümer-Modul von iptables (man iptables, suche nach Eigentümer) und den Chroot-Gefängnissen befassen, aber dies ist wirklich schwer zu lösen, ohne die Shell-Erfahrung zu beeinträchtigen.

8
SpamapS
1
sendmoreinfo

Ich habe nur die Möglichkeit, das Tunneln auf Systemebene zu deaktivieren.

Bearbeiten Sie/etc/ssh/sshd_config und ändern Sie/add

AllowTcpForwarding no

Beachten Sie, dass es bei einem Shell-Zugriff nicht möglich ist, Benutzer daran zu hindern, ihre eigenen Binärdateien zum Weiterleiten von Verbindungen zu verwenden.

1
João Pinto

Erste Iteration:

Deaktivieren Sie die ssh-Weiterleitung für sie. in ssh

Sie IPSec für sich selbst und VPN für Ihren Server aktivieren. IPSec befindet sich auf Netzwerkebene und wird daher von den SSH-Anwendungseinstellungen nicht beeinflusst.

0
chiggsy