Я знаю, как ограничить доступ SSH к системе. Как я могу ограничить доступ SSH к ДРУГОЙ системе, когда пользователь вошел в мою систему. Например:

# ssh joe@myserver
# joe@myserver $ /home/joe
# joe@myserver $ /home/joe ssh joe@anotherserver
# BLOCK THIS ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Сейчас я смотрю на IPTables, но не уверен в последствиях блокировки исходящего порта 22.

3 ответа3

-1

Вы должны ОК, чтобы заблокировать исходящий SSH, если он вам ни для чего не нужен. Блокировка исходящих запросов на порт 22 не будет блокировать входящие запросы (поскольку блокировка выполняется на порте назначения, который отличается от порта источника).

Я не слишком много с этим игрался, но в некоторых версиях iptables также возможно блокировать соединения на основе идентификатора пользователя с помощью такой команды:

 iptables -I INPUT -p tcp --dport 22 -m owner -uid XXX -j DROP

Чтобы найти uid, вы можете посмотреть в файле паролей команду

 grep "username" /etc/passwd | cut -f3 -d":"
-1

Вы можете заблокировать всю связь по SSH communication через iptables и разрешить определенный IP ADDRESS.

В приведенном ниже примере,

Первое правило состоит в том, чтобы разрешить определенный IP-адрес.

x.x.x.x - Your system IP

Последние два правила будут блокировать SSH-соединение для всех IP-адресов.

iptables -I INPUT -s x.x.x.x --dport ssh -j ACCEPT
iptables -I OUTPUT -d x.x.x.x --sport ssh -j ACCEPT
IPTABLES -A INPUT --dport ssh -j DROP
IPTABLES -A OUTPUT --sport ssh -j DROP
-1

У вас есть другой вариант в Centos 6 и Centos 7

Многие из нас используют TCP wrapper , iptables и firewalld

Пример TCP-оболочки

/etc/hosts.allow

sshd : IP-Address

Пример Iptables

iptables -I INPUT -s x.x.x.x --dport 22 -j ACCEPT
iptables -I OUTPUT -d x.x.x.x --sport 22 -j ACCEPT
IPTABLES -A INPUT --dport 22 -j DROP
IPTABLES -A OUTPUT --sport 22 -j DROP

затем выполните команду ниже

service iptables save

Пример Firewalld

systemctl start firewalld.service
systemctl enable firewalld.service
firewall-cmd –zone=”trusted” –add-source=<external IP 1>
firewall-cmd –zone=”trusted” –add-source=<external IP 1> –permanent
firewall-cmd –zone=”trusted” –add-source=<external IP 2>
firewall-cmd –zone=”trusted” –add-source=<external IP 2> –permanent
firewall-cmd –zone=”trusted” –add-service=ssh
firewall-cmd –zone=”trusted” –add-service=ssh –permanent
firewall-cmd –zone=”trusted” –list-all
firewall-cmd –zone=public –remove-service=ssh
firewall-cmd –zone=public –remove-service=ssh –permanent

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .