2 votes

Boite à sauter SSH avec autorisation de groupe

J'essaie de configurer une Jumpbox SSH. Les utilisateurs connectés à la Jumpbox doivent pouvoir s'autoriser à accéder à d'autres serveurs SSH en fonction de leur groupe.

(UserA est sur le groupe Project1, UserB est sur le groupe Project2, UserA devrait être capable de ssh dans project1.com, mais pas UserB)

Y a-t-il un moyen d'implémenter cela au niveau de la Jumpbox ?

0 votes

Demandez-vous comment vous assurer que l'utilisateur A peut se connecter au projet 1.com, ou comment empêcher l'utilisateur B de le faire ? Ce sont deux questions différentes.

0 votes

Je voudrais empêcher tout utilisateur, sauf ceux appartenant au groupe project1, de se connecter à project1.com. En fait, une sorte d'avoir une clé privée pour le groupe sur la Jumpbox et d'ajouter la clé publique correspondante à la project1.com serait parfait pour moi.

7voto

MadHatter Points 77602

En supposant que la jumpbox est une boîte linux, iptables peut utilement être utilisé sur le OUTPUT pour restreindre quels membres du groupe peuvent se connecter à quels serveurs. Quelque chose comme

iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT

ce qui a l'effet secondaire pratique d'empêcher les membres du groupe projet 1 de faire quoi que ce soit. sauf ssh'ing à project1.com, et de même pour project2 et project2.com. Vous pouvez également avoir besoin de quelques règles correspondantes dans le INPUT si vous limitez INPUT trafic.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X