SSH переходят + Учетная запись пользователя Блокировки на удаленную машину, но позволяют пользователю использовать sudo?
Я пытаюсь настроить сервер, в который войдут пользователи. Пользователи будут использовать этот сервер в качестве поля для вскакивания в другие серверы через ssh. От сервера перехода до других будет использовать основанную на ключе аутентификацию SSH. Пользователям не разрешают войти непосредственно в другие серверы. Следовательно, они должны пойти от сервера перехода до других. Учетные записи пользователей заблокированы "usermod-L имя пользователя" на всех других серверах.
Я имею, столкнулся с проблемой, где эти пользователи также должны смочь использовать "sudo" на других серверах. Текущая проблема состоит в том, что, когда пользователи находятся на одном из других серверов и попытки использовать sudo, они получают ошибку при вводе пароля "извините, попробовали еще раз", даже при том, что пароль является правильным. Это имеет смысл, потому что я заблокировал учетную запись пользователя, предотвратив прямой вход в систему SSH. Пользователи находятся в sudoers файле.
Делает любой знает, как я мог установить другие серверы, таким образом, они позволят пользователям SSH только через ключ, базирующийся с сервера перехода, и позволят пользователям использовать sudo на других серверах (непереход).
Любая справка значительно ценилась бы и спасибо за внимание.
2 ответа
Вы могли или реализовать Агент SSH, Передав . Или если Вы используете jumphost для Доступа SSH, затем, его лучшее, чтобы Вы использовали iptables или ufw на других серверах, чтобы ТОЛЬКО предоставить доступ SSH к определенному IP (который является jumphost IP-адресом).
УСТАНОВКА IPTABLES:
iptables -I INPUT -p tcp -s YourIP --dport 22 -j ACCEPT
Установка UFW:
sudo apt-get install ufw
sudo ufw enable
sudo ufw allow from 15.15.15.51 to any port 22 ---- Change 15.15.15.51 to the jumphost IP Address
кроме того, на других серверах, редактируют конфигурацию sshd и запрещают, что корневой вход в систему лучше реализует безопасность. Некоторые оболочки сервера автоматически не просят пароль. Таким образом, Вы могли бы также установить "спрашивать-передачу", таким образом, пользователи могут использовать свой пароль.
Одна последняя вещь, для легкого управления пользователями на этой установке, удостоверяется, что создала группу, и включать его в sudoers (без пароля) затем перезапускают SSH. Эта группировка должна быть реализацией на тех "других серверах" а не на jumphost сервере
Этот вопрос был решен путем добавления следующей конфигурации соответствия к sshd_config файлу. Эта конфигурация была помещена во все серверы, где прямой доступ не был предоставлен.
Match User user1,user2,user3
PasswordAuthentication no
Теперь пользователи могут получить доступ через основанную на ключе аутентификацию с сервера перехода на целевые серверы, они не могут получить доступ к целевым серверам непосредственно с SSH, и sudo все еще работает на пользователей на целевых серверах.