SSH jumpbox с авторизацией группы
Я собираюсь предложить, чтобы очевидные ответы/вещи протестировали сначала, потому что Вы не указываете их.
- Что другие полномочия присутствуют на этом ресурсе, когда Вы делаете тест с группой?
- Вы не оставляете записи пользователя на месте, но переключаете их для отклонения, не так ли?
Причина, которую я спрашиваю, состоит в том, что отклонение, например, всегда отвергало бы предоставленный доступ.
2
задан yigit
23 July 2012 в 15:26
Ссылка
1 ответ
Предполагая, что jumpbox - это Linux-сервер, iptables можно с пользой использовать в цепочке OUTPUT , чтобы ограничить, какие члены группы могут подключаться к каким серверам. Что-то вроде
iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT
, у которого есть удобный побочный эффект, заключающийся в том, что членам группы project1 запрещается делать что-либо кроме ssh'ing для project1.com, и то же самое для project2 и project2.com. Вам также могут понадобиться некоторые соответствующие правила в цепочке INPUT , если вы ограничиваете трафик INPUT .
7