Journalisation du tunnel SSH?

J'ai un ordinateur exécutant SSH auquel j'aimerais donner accès à mes amis, mais je ne veux pas qu'ils utilisent ma connexion Internet via le tunneling SSH (bien que j'aimerais le faire moi-même). Existe-t-il un moyen d'avoir un journal de la création des tunnels SSH et par quels utilisateurs (locaux), ou, si cela n'est pas possible, d'autoriser uniquement certains utilisateurs à le faire?

Si vos amis sont capables de SSH sur votre ordinateur, ils utilisent une partie de votre bande passante et il est donc impossible de leur bloquer complètement l'accès à votre connexion Internet.

Cela étant dit, une solution serait de limiter ce que vos amis peuvent faire avec votre connexion. Vous pouvez configurer un pare-feu qui met en liste blanche les adresses IP de vos amis et met sur liste noire tout le reste. De cette façon, vos amis pourraient SSH sur votre ordinateur, mais à partir de là, ils ne pourraient plus accéder à une autre adresse IP que la leur.

Je n'ai jamais configuré moi - même de pare-feu spécifique à un utilisateur , mais je pense qu'il est possible de le faire avec IPTables . Gardez également à l'esprit que vos utilisateurs peuvent toujours consommer une grande partie de votre bande passante en téléchargeant de gros fichiers sur votre serveur. Si vous souhaitez spécifiquement empêcher cela, vous devrez limiter la bande passante par utilisateur .

Vous voulez vous assurer que / etc / ssh / sshd_config contient

AllowTcpForwarding no

puis à la fin du fichier mis

Match User yourusername
    AllowTcpForwarding yes

Cela vous permettra et seulement à vous de transférer le contenu de votre cœur, mais comme João l'a dit, vous ne pourrez pas les empêcher d'exécuter leurs propres programmes, sauf si vous désactivez également l'accès au shell.

Notez que bien que vous puissiez désactiver le transfert TCP par sshd, vous devez aller beaucoup plus loin pour limiter l'activité sortante de vos utilisateurs. Leur donner un obus, c'est leur donner beaucoup de pouvoir.

Par exemple, s'ils peuvent scp des fichiers sur le serveur et exécuter des fichiers dans / home, ils peuvent simplement télécharger un binaire pppd et l'utiliser pour exécuter PPP sur SSH. Si vous autorisez les connexions entrantes, ils peuvent simplement exécuter /usr/sbin/sshd -p 9999 -f special_sshd_configet utiliser votre serveur via ce sshd.

Vous voudrez peut-être examiner le module propriétaire iptables (man iptables, rechercher le propriétaire) et les prisons chroot, mais cela est vraiment difficile à résoudre sans ruiner leur expérience shell.

La seule option dont je dispose est de désactiver le tunneling au niveau du système.

Modifiez / etc / ssh / sshd_config et modifiez / ajoutez

AllowTcpForwarding no

Veuillez noter que tout en ayant un accès shell, il n'y a aucun moyen d'empêcher les utilisateurs d'utiliser leurs propres fichiers binaires pour transférer les connexions.

Cela a également été demandé sur serverfault /server/181660/how-do-i-log-ssh-port-forwards et il y a un patch: http://blog.rootshell.be/2009/ 03/01 / garder un œil sur-ssh-forwarding /

Première itération:

Désactivez le transfert ssh pour eux. dans ssh

Vous activez IPSec pour vous-même et VPN sur votre serveur. IPSec est au niveau du réseau et n'est donc pas affecté par les paramètres de l'application SSH.