私の目標:ジャンプユーザー(OpenSSH Jumpbox入力)がSSHを介してのみ他のサーバーにアクセスすることを制限します。ユーザーは、Jumpboxから別のサーバーにディレクトリ、CD、またはSSH以外の項目を一覧表示できません。
私が持っているもの:
- Active Directoryユーザーはジャンプサーバーにログインし、SSHを介して他のサーバーに接続します。
- Ubuntu 20.04で構成されたOpenSSHジャンプサーバー
私がしたこと:編集/etc/ssh/sshd_config
:
Match User testuser
AllowTcpForwarding yes
X11Forwarding no
AllowAgentForwarding no
ForceCommand /bin/false
を追加したとき、ForceCommand /bin/false
testuserはサーバーにSSHでアクセスできませんでした。これがなければ、ユーザーはジャンプサーバーにログインしてディレクトリとCDのリストを表示できます。
答え1
まず、限られたBashを使用するようにしてください
rbash
。man bash
この情報については、「制限付きシェル」を参照してください。次に、これらのユーザーのPATHを設定します(例:ここ)。ユーザー名、珍しいディレクトリとして:
echo "PATH=/usr/restricted/bin" > /home/username/.bash_profile
- 次に、次のコマンドをシンボリックリンクまたはスクリプトとして追加します
/usr/restricted/bin
。
ln -s /usr/bin/ssh /usr/restricted/bin/ssh
(各ホストのSSHの場合)
/usr/restricted/bin/ssh
最初のパラメータが許可されているホスト名の1つであることを確認するスクリプトを使用して、ターゲットホストを制限できます。