@pcdesign

Как отслеживать юзеров, которые используют ssh port forward для сканирования портов?

Например, пользователь ssh создал динамический сокет, типа
ssh -D 1080 remote.host

А потом на локальной машине запустил, например как-то так
nmap host --proxy socks4://127.0.0.1:1080

Есть вариант такие вещи отслеживать и пресекать?
  • Вопрос задан
  • 103 просмотра
Пригласить эксперта
Ответы на вопрос 2
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Пресекать настройками SSH-сервера. Можно попробовать на фаерволле.
Ответ написан
@pfg21
ex-турист
есть опция прям по требованию
https://man.openbsd.org/sshd#no-port-forwarding
т.е. в authorized_keys необходимым пользователем вписываете эту опцию и им обламывается любой портфорвардинг :)
т.е. в начало имеющейся в нем строчки формата
ssh-rsa AB*****123== user@server
вписать
no-port-forwarding ssh-rsa AB*****123== user@server

гемор будет если пользователь не прописывал свое имя в комент ключа.

но новым пользователям придется тоже вписывать запрет порт-форвардинга.
как вариант, в обратку, вписать в конфиг sshd запрет портфорвардинга всем, а в authorized_keys нужным пользователям разрешить портфорвардинг.

------
отслеживать скриптом косячных юзеров по логам ssh, поиск по записи о создании проброса порта.
и отстреливать их нахер или банить на пару суток или еще чего применять - такое говно надо давить в зародыше.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы