SSHD Запретить создание SSH туннеля

xcom-shop.ru

По умолчанию SSH-сервер позволяет создавать SSH-туннели, что позволяет любому SSH пользователю получить доступ не только к самому серверу, но и к всем серверам которые доступны. К примеру возможность создания туннеля позволяет использовать SSH сервер как прокси для веб трафика, RDP сессиям и другим службам, находящимся в доступной сети.

Отключение SSH туннеля не панацея от всех бед. Необходимо поддерживать сервера в актуальном (обновленном состоянии), публичные сервера держать в DMZ, обеспечивать мониторинг активности как на самих серверах, так и внутри сети.

Отключение SSH-туннелинга

Для отключения откываем файл конфигурации sshd

nano /etc/ssh/sshd_config

и добавляем в него параметр

AllowTcpForwarding no

после чего применяем конфигурацию

service sshd reload

Если необходимо запретить SSH-туннелинг для всех пользователей, кроме пользователей в группе root (OpenSSH версии 4.4 или выше), добовляем следующую последовательность команд

AllowTcpForwarding no
Match Group root
AllowTcpForwarding yes
Добавить комментарий