-1
這可能被問到某處,但我無法找到它爲我的生活。從目標機器禁用多跳SSH?
我目前正在設置一臺服務器機器,並且我希望這樣做只有那些直接進入服務器並擁有授權密鑰的計算機才能進入。我已經獲得了要使用的密鑰,但我不知道該如何確保人們不能多跳進入服務器機器。我想知道:
- 它甚至有可能只在服務器計算機上更改設置來禁用多跳?
- 如果是這樣,我該如何去做呢?
- 如果沒有,我還有什麼其他選擇可以實現我想要做的?
這可能被問到某處,但我無法找到它爲我的生活。從目標機器禁用多跳SSH?
我目前正在設置一臺服務器機器,並且我希望這樣做只有那些直接進入服務器並擁有授權密鑰的計算機才能進入。我已經獲得了要使用的密鑰,但我不知道該如何確保人們不能多跳進入服務器機器。我想知道:
我不相信只有更改服務器上的設置纔有可能。
如果您的服務器名爲server
和網絡上的另一臺機器被稱爲aux
,那麼你需要禁止下面的多跳方法,可能其他人也:
ssh -t aux ssh server
ssh -o ProxyCommand='ssh aux /usr/bin/nc %h %p' server
ssh -N -L 2222:server:22 aux & ssh -p 2222 localhost
所以你需要確保
ssh
當網絡上的任何其它機器上運行會拒絕連接到server
,當用戶在本地(不通過SSH)登錄
AllowAgentForwarding
設爲no
您的網絡
AllowTcpForwarding
設置爲no
所有其他計算機網絡上的
這可能有點多。
也許你可以將私鑰保存在可能不會離開建築物的硬件令牌中?不過,這超出了我的經驗範圍。
如果您在ServerFault上詢問,您應該得到更好的答案。com,希望你的問題很快就會被移植到那裏。