Re: Restrizioni su jumphost

[Diego Zuccato <diego.zuccato@unibo.it>]

Idea interessante, ma gli utenti non hanno un accesso shell sul 
jumphost. Non hanno neppure una home... Possono solo "rimbalzare" verso 
le altre macchine. Ma questo "rimbalzo", IIUC, è gestito direttamente da 
sshd, infatti non ho processi ssh attivi, solo sshd per ogni utente 
"passante". La direttiva usata è ProxyJump, o -J. Così la connessione 
rimane sempre criptata e neanche root può intercettarla. Se invece 
usassi ProxyCommand, aumenterei il carico del jumphost (deve gestire la 
crittografia da/verso l'host di destinazione, mentre con ProxyJump 
questa è a carico del client) e root potrebbe intercettare le sessioni.


Diego

Il 15/05/2025 12:20, Giuseppe Sacco ha scritto:
> Ciao Diego,
>
> Il giorno gio, 15/05/2025 alle 06.54 +0200, Diego Zuccato ha scritto:
> [...]
> > Il problema è che attualmente non posso limitare U1 in modo che si
> > connetta solo a H1 tramite JH. Certo, su H2 posso bloccare U1, ma è
> > una
> > situazione più complessa da gestire quando ci sono molti host e molti
> > utenti...
>
> Per ogni utente, hai provato a cambiare PATH nel .bash_profile del
> jumphost in modo che il comando ssh richiamato non sia quello in /bin,
> ma un tuo script nel quale fai il controllo sull'host di destinazione?
>
> Ciao,
> Giuseppe

--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786