SSHを介してのみ他のサーバーにのみ接続するようにジャンプユーザー(openSSHジャンプボックスに)を制限する方法は?

SSHを介してのみ他のサーバーにのみ接続するようにジャンプユーザー(openSSHジャンプボックスに)を制限する方法は?

私の目標:ジャンプユーザー(OpenSSH Jumpbox入力)がSSHを介してのみ他のサーバーにアクセスすることを制限します。ユーザーは、Jumpboxから別のサーバーにディレクトリ、CD、またはSSH以外の項目を一覧表示できません。

私が持っているもの:

  • Active Directoryユーザーはジャンプサーバーにログインし、SSHを介して他のサーバーに接続します。
  • Ubuntu 20.04で構成されたOpenSSHジャンプサーバー

私がしたこと:編集/etc/ssh/sshd_config

Match User testuser
  AllowTcpForwarding yes
  X11Forwarding no
  AllowAgentForwarding no
  ForceCommand /bin/false

を追加したとき、ForceCommand /bin/falsetestuserはサーバーにSSHでアクセスできませんでした。これがなければ、ユーザーはジャンプサーバーにログインしてディレクトリとCDのリストを表示できます。

答え1

  1. まず、限られたBashを使用するようにしてくださいrbashman bashこの情報については、「制限付きシェル」を参照してください。

  2. 次に、これらのユーザーのPATHを設定します(例:ここ)。ユーザー名、珍しいディレクトリとして:

echo "PATH=/usr/restricted/bin" > /home/username/.bash_profile

  1. 次に、次のコマンドをシンボリックリンクまたはスクリプトとして追加します/usr/restricted/bin

ln -s /usr/bin/ssh /usr/restricted/bin/ssh(各ホストのSSHの場合)

/usr/restricted/bin/ssh最初のパラメータが許可されているホスト名の1つであることを確認するスクリプトを使用して、ターゲットホストを制限できます。

関連情報