Я знаю, как ограничить доступ SSH к системе. Как я могу ограничить доступ SSH к ДРУГОЙ системе, когда пользователь вошел в мою систему. Например:
# ssh joe@myserver
# joe@myserver $ /home/joe
# joe@myserver $ /home/joe ssh joe@anotherserver
# BLOCK THIS ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Сейчас я смотрю на IPTables, но не уверен в последствиях блокировки исходящего порта 22.
Вы должны ОК, чтобы заблокировать исходящий SSH, если он вам ни для чего не нужен. Блокировка исходящих запросов на порт 22 не будет блокировать входящие запросы (поскольку блокировка выполняется на порте назначения, который отличается от порта источника).
Я не слишком много с этим игрался, но в некоторых версиях iptables также возможно блокировать соединения на основе идентификатора пользователя с помощью такой команды:
iptables -I INPUT -p tcp --dport 22 -m owner -uid XXX -j DROP
Чтобы найти uid, вы можете посмотреть в файле паролей команду
grep "username" /etc/passwd | cut -f3 -d":"
Вы можете заблокировать всю связь по SSH communication через iptables и разрешить определенный IP ADDRESS.
В приведенном ниже примере,
Первое правило состоит в том, чтобы разрешить определенный IP-адрес.
x.x.x.x - Your system IP
Последние два правила будут блокировать SSH-соединение для всех IP-адресов.
iptables -I INPUT -s x.x.x.x --dport ssh -j ACCEPT
iptables -I OUTPUT -d x.x.x.x --sport ssh -j ACCEPT
IPTABLES -A INPUT --dport ssh -j DROP
IPTABLES -A OUTPUT --sport ssh -j DROP
У вас есть другой вариант в Centos 6 и Centos 7
Многие из нас используют TCP wrapper , iptables и firewalld
Пример TCP-оболочки
/etc/hosts.allow
sshd : IP-Address
Пример Iptables
iptables -I INPUT -s x.x.x.x --dport 22 -j ACCEPT
iptables -I OUTPUT -d x.x.x.x --sport 22 -j ACCEPT
IPTABLES -A INPUT --dport 22 -j DROP
IPTABLES -A OUTPUT --sport 22 -j DROP
затем выполните команду ниже
service iptables save
Пример Firewalld
systemctl start firewalld.service
systemctl enable firewalld.service
firewall-cmd –zone=”trusted” –add-source=<external IP 1>
firewall-cmd –zone=”trusted” –add-source=<external IP 1> –permanent
firewall-cmd –zone=”trusted” –add-source=<external IP 2>
firewall-cmd –zone=”trusted” –add-source=<external IP 2> –permanent
firewall-cmd –zone=”trusted” –add-service=ssh
firewall-cmd –zone=”trusted” –add-service=ssh –permanent
firewall-cmd –zone=”trusted” –list-all
firewall-cmd –zone=public –remove-service=ssh
firewall-cmd –zone=public –remove-service=ssh –permanent