Fatal编程技术网
  • ssh/
  • 是否从目标计算机禁用多跳SSH?

是否从目标计算机禁用多跳SSH?

ssh

是否从目标计算机禁用多跳SSH?,ssh,Ssh,也许有人问过这个问题,但我一生都找不到 我目前正在设置一台服务器机器,我想这样做,只有直接通过SSH连接到服务器并拥有授权密钥的计算机才能进入。我已经拿到了工作的钥匙,但我不知道该如何确保人们不能多跳进入服务器机器。我想知道: 是否可以仅通过更改服务器计算机上的设置来禁用多跳 如果是,我该怎么做 如果没有,我还有什么其他选择来实现我想要做的事情 我不相信仅通过更改服务器上的设置就可以做到这一点 如果您的服务器名为server,网络上的另一台机器名为aux,则您需要禁止以下多跳方法,可能还有其他

也许有人问过这个问题,但我一生都找不到

我目前正在设置一台服务器机器,我想这样做,只有直接通过SSH连接到服务器并拥有授权密钥的计算机才能进入。我已经拿到了工作的钥匙,但我不知道该如何确保人们不能多跳进入服务器机器。我想知道:

  • 是否可以仅通过更改服务器计算机上的设置来禁用多跳
  • 如果是,我该怎么做
  • 如果没有,我还有什么其他选择来实现我想要做的事情
我不相信仅通过更改服务器上的设置就可以做到这一点

如果您的服务器名为
server
,网络上的另一台机器名为
aux
,则您需要禁止以下多跳方法,可能还有其他方法:

  • ssh-t辅助ssh服务器
  • ssh-o ProxyCommand='ssh aux/usr/bin/nc%h%p'服务器
  • ssh-N-l2222:server:22 aux&ssh-p2222 localhost
    • 所以你需要确保

    • ssh
      在网络上的任何其他计算机上运行时将拒绝连接到
      服务器
      ,除非用户在本地登录(不是通过ssh)
      • 或者,在网络上的所有其他计算机上,确保sshd设置
        AllowAgentForwarding
        设置为
        no
        • 手册页指出,这是“不可能的” 除非用户也被拒绝shell访问,否则无法提高安全性,因为他们始终可以安装自己的转发器”
    • 网络上的任何其他计算机上都没有安装netcat及其等效产品
    • 在网络上的所有其他计算机上,sshd设置
      allowtcpfrowarding
      设置为
      no
      • 手册页指出,这“没有改善” 安全性,除非用户也被拒绝shell访问,因为他们始终可以安装自己的转发器”
    这可能有点过分

    也许您可以将私钥嵌入可能不会离开大楼的硬件令牌上?不过,这超出了我的经验范围

    如果你在ServerFault.com上提问,你应该会得到一个更好的答案,希望你的问题很快会被转移到那里