我正在尝试设置一个SSH Jumpbox。 loginJumpbox的用户需要能够根据他们的组授权到另一个SSH服务器。
(UserA位于组Project1,UserB位于组Project2,UserA应该能够ssh到project1.com,但不是UserB)
有没有什么办法可以在Jumpbox级别上实现呢?
假设跳转盒是一个linux盒子, iptables可以在OUTPUT链上使用,以限制哪些组成员可以连接到哪个服务器。 就像是
iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT iptables -A OUTPUT --gid-owner project1 -j REJECT iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT iptables -A OUTPUT --gid-owner project2 -j REJECT
其中有一个方便的副作用,即限制group1项目的成员除了 ssh'ing 之外的任何其他项目到project1.com,同样适用于project2和project2.com。 如果您限制INPUTstream量,您可能还需要INPUT链中的相应规则。