[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Restrizioni su jumphost



Idea interessante, ma gli utenti non hanno un accesso shell sul jumphost. Non hanno neppure una home... Possono solo "rimbalzare" verso le altre macchine. Ma questo "rimbalzo", IIUC, è gestito direttamente da sshd, infatti non ho processi ssh attivi, solo sshd per ogni utente "passante". La direttiva usata è ProxyJump, o -J. Così la connessione rimane sempre criptata e neanche root può intercettarla. Se invece usassi ProxyCommand, aumenterei il carico del jumphost (deve gestire la crittografia da/verso l'host di destinazione, mentre con ProxyJump questa è a carico del client) e root potrebbe intercettare le sessioni.


Diego

Il 15/05/2025 12:20, Giuseppe Sacco ha scritto:
Ciao Diego,

Il giorno gio, 15/05/2025 alle 06.54 +0200, Diego Zuccato ha scritto:
[...]
Il problema è che attualmente non posso limitare U1 in modo che si
connetta solo a H1 tramite JH. Certo, su H2 posso bloccare U1, ma è
una
situazione più complessa da gestire quando ci sono molti host e molti
utenti...

Per ogni utente, hai provato a cambiare PATH nel .bash_profile del
jumphost in modo che il comando ssh richiamato non sia quello in /bin,
ma un tuo script nel quale fai il controllo sull'host di destinazione?

Ciao,
Giuseppe


--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786


Reply to: