ssh jump сервер, ограничить хосты для пользователя

1

1

Задача простая: организовать для вендера канал до оборудования внутри сети, ssh -J вполне годится но есть 2 момента:
1. Ограничить вход на сам jump сервер через ssh (решил установкой оболочки /bin/false)
2. Ограничить число хостов на которые может «прагать» оперделенный пользователь (и чтобы других пользователей не затронуло)
Такое реально реализовать средствами ssh?

←	Длинные имена... как хранить?

В nginx попасть в нужный upstream

→

Можно скрафтить правила для nft с skuid. Можно в качестве джамп хоста засетапить контейнер и фильтровать уже трафик с этого контейнера. Это если я правильно протелепатировал твоё «Ограничить число хостов». Но проблема в том что на целевых хостах юзер же может делать все что может делать юзер. Получается и там нужно будет ограничить юзеру сеть. А сможет ли он полноценно работать с ограниченной сетью?

cobold ★★★★★
(09.07.25 23:46:10 MSK)

Ответ на: комментарий от cobold 09.07.25 23:46:10 MSK

Не ну это уже оверкилл какой-то, я так решил:
/etc/ssh/sshd_config

...
Match User testerssh
  ForceCommand ssh admin@10.15.10.15

При логине на сервер (без jump!) testerssh сразу логинится на другой хост. Для постоянки так себе, наверное, решение, но разово сгодилось.
Ну и на конечном хосте тоже есть ssh и по крайней мере в пределах l2 сегмента смогут шариться, если захотят.

Kolins ★★★★★
(11.07.25 10:28:09 MSK) автор топика
Последнее исправление: Kolins 11.07.25 10:28:48 MSK (всего исправлений: 1)

←	Длинные имена... как хранить?

Admin

В nginx попасть в нужный upstream

→

Похожие темы