J'essaie de configurer une Jumpbox SSH. Les utilisateurs connectés à la Jumpbox doivent pouvoir s'autoriser à accéder à d'autres serveurs SSH en fonction de leur groupe.
(UserA est sur le groupe Project1, UserB est sur le groupe Project2, UserA devrait être capable de ssh dans project1.com, mais pas UserB)
Y a-t-il un moyen d'implémenter cela au niveau de la Jumpbox ?
En supposant que la jumpbox est une boîte linux, iptables peut utilement être utilisé sur le OUTPUT pour restreindre quels membres du groupe peuvent se connecter à quels serveurs. Quelque chose comme
iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECTce qui a l'effet secondaire pratique d'empêcher les membres du groupe projet 1 de faire quoi que ce soit. sauf ssh'ing à project1.com, et de même pour project2 et project2.com. Vous pouvez également avoir besoin de quelques règles correspondantes dans le INPUT si vous limitez INPUT trafic.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Demandez-vous comment vous assurer que l'utilisateur A peut se connecter au projet 1.com, ou comment empêcher l'utilisateur B de le faire ? Ce sont deux questions différentes.
0 votes
Je voudrais empêcher tout utilisateur, sauf ceux appartenant au groupe project1, de se connecter à project1.com. En fait, une sorte d'avoir une clé privée pour le groupe sur la Jumpbox et d'ajouter la clé publique correspondante à la project1.com serait parfait pour moi.