এসএসএইচ টানেল লগিং?

আমার একটি এসএসএইচ চলমান একটি কম্পিউটার রয়েছে যা আমি আমার বন্ধুদের অ্যাক্সেস দিতে চাই, তবে আমি চাই না যে তারা এসএসএইচ টানেলিংয়ের মাধ্যমে আমার ইন্টারনেট সংযোগটি ব্যবহার করুন (যদিও আমি নিজে এটি করতে চাই)। এসএসএইচ টানেলগুলি তৈরি হওয়ার সময় এবং কোন (স্থানীয়) ব্যবহারকারীরা, বা যদি এটি সম্ভব না হয় তবে কেবলমাত্র কিছু ব্যবহারকারীকে এটি করার অনুমতি দেওয়ার কোনও লগ থাকার কোনও উপায় আছে কি?

যদি আপনার বন্ধুরা আপনার কম্পিউটারে এসএসএইচ করতে সক্ষম হয় তবে তারা আপনার ব্যান্ডউইথের কিছু ব্যবহার করছে এবং তাই আপনার ইন্টারনেট সংযোগে তাদের অ্যাক্সেস সম্পূর্ণরূপে অবরুদ্ধ করা অসম্ভব।

এটি বলা হচ্ছে, একটি সমাধান হ'ল আপনার বন্ধুরা আপনার সংযোগের সাথে কী করতে পারে তা সীমাবদ্ধ করে। আপনি একটি ফায়ারওয়াল সেট আপ করতে পারেন যা আপনার বন্ধুর আইপিগুলিকে হোয়াইট লিস্ট করে এবং অন্যান্য সমস্ত কিছুকে কালো তালিকাভুক্ত করে। এইভাবে, আপনার বন্ধুরা আপনার কম্পিউটারে এসএসএইচ করতে পারে তবে সেখান থেকে তাদের নিজস্ব ব্যতীত অন্য কোনও আইপি পৌঁছাতে সক্ষম হবে না।

আমি নিজেই কোনও ব্যবহারকারী নির্দিষ্ট ফায়ারওয়াল সেটআপ করি নি, তবে আমি বিশ্বাস করি যে আইপিটিবেলগুলি দিয়ে এটি অর্জন সম্ভব । এছাড়াও, মনে রাখবেন যে আপনার ব্যবহারকারীরা আপনার সার্ভারে বড় ফাইলগুলি আপলোড করে আপনার ব্যান্ডউইথের প্রচুর পরিমাণে খেতে পারে। আপনি যদি বিশেষত এটি প্রতিরোধ করতে চান তবে আপনাকে ব্যবহারকারী হিসাবে ব্যান্ডউইথ সীমাবদ্ধ করতে হবে ।

আপনি নিশ্চিত করতে চান / etc / ssh / sshd_config রয়েছে

AllowTcpForwarding no

এবং তারপরে ফাইলটির শেষে দিন

Match User yourusername
    AllowTcpForwarding yes

এটি আপনাকে এবং কেবলমাত্র আপনার হৃদয়ের সামগ্রীগুলিতে পোর্ট-ফরোয়ার্ড করার অনুমতি দেবে, কিন্তু জোওো যেমন বলেছিলেন আপনি শেল অ্যাক্সেস অক্ষম না করে আপনি তাদের তাদের নিজস্ব প্রোগ্রাম চালানো আটকাতে পারবেন না।

নোট করুন যে আপনি যখন sshd দ্বারা টিসিপি ফরোয়ার্ডিং অক্ষম করতে পারবেন তখন আপনার ব্যবহারকারীর বহির্গামী কার্যকলাপকে সীমাবদ্ধ করার জন্য আপনাকে আরও অনেক কিছু এগিয়ে যেতে হবে। তাদের শেল দেওয়া মানে তাদের প্রচুর শক্তি দেওয়া।

উদাহরণস্বরূপ, যদি তারা সার্ভারে ফাইলগুলি স্ক্রিপ করতে এবং / ঘরে ফাইলগুলি চালিয়ে দিতে পারে তবে তারা কেবল পিপিপিডি বাইনারি আপলোড করতে পারে এবং এসএসএইচ দিয়ে পিপিপি চালানোর জন্য এটি ব্যবহার করতে পারে। যদি আপনি আগত সংযোগগুলি মঞ্জুরি দেন তবে তারা কেবল /usr/sbin/sshd -p 9999 -f special_sshd_configএসএসডিডি দিয়ে আপনার সার্ভারটি চালাতে এবং ব্যবহার করতে পারে।

আপনি iptables মালিকের মডিউল (ম্যান iptables, মালিকের সন্ধান) এবং ক্রুট জেলগুলি সন্ধান করতে চাইতে পারেন, তবে তাদের শেল অভিজ্ঞতাটি বিনষ্ট না করে সমাধান করা সত্যিই কঠিন।

আমি কেবলমাত্র বিকল্পটি সম্পর্কে অবহিত হচ্ছি সিস্টেম স্তরে টানেলিং অক্ষম করা।

সম্পাদনা করুন / ইত্যাদি / ssh / sshd_config, এবং পরিবর্তন / যোগ করুন

AllowTcpForwarding no

দয়া করে নোট করুন যে শেল অ্যাক্সেস থাকার সময় ব্যবহারকারীদের ফরওয়ার্ডিং সংযোগের জন্য তাদের নিজস্ব বাইনারি ব্যবহার থেকে বাধা দেওয়ার কোনও উপায় নেই।

এটি সার্ভারফল্টেও জিজ্ঞাসা করা হয়েছে, /server/181660/how-do-i-log-ssh-port-forwards এবং এখানে একটি প্যাচ রয়েছে: http://blog.rootshell.be/2009/ 03/01 / রাখা-একটি-আই-অন-SSH-ফরোয়ার্ড করলে /

প্রথম পুনরাবৃত্তি:

তাদের জন্য এসএস ফরওয়ার্ডিং অক্ষম করুন। এসএসএসে

আপনি নিজের জন্য আইপিসেক এবং আপনার সার্ভারে ভিপিএন সক্ষম করুন। আইপিসেক নেটওয়ার্ক স্তর তাই এসএসএইচ অ্যাপ্লিকেশন সেটিংস দ্বারা প্রভাবিত নয়।