Как отслеживать юзеров, которые используют ssh port forward для сканирования портов?

Question

[pcdesign]

Например, пользователь ssh создал динамический сокет, типа
ssh -D 1080 remote.host

А потом на локальной машине запустил, например как-то так
nmap host --proxy socks4://127.0.0.1:1080

Есть вариант такие вещи отслеживать и пресекать?

Answer 1

[ky0]

Пресекать настройками SSH-сервера. Можно попробовать на фаерволле.

Comments

[pcdesign]

Спасибо за ответ. Так вообще весь форвард убьется, хотелось бы найти более мягкое решение.

Answer 2

[pfg21]

есть опция прям по требованию
https://man.openbsd.org/sshd#no-port-forwarding
т.е. в authorized_keys необходимым пользователем вписываете эту опцию и им обламывается любой портфорвардинг :)
т.е. в начало имеющейся в нем строчки формата
ssh-rsa AB*****123== user@server
вписать

no-port-forwarding ssh-rsa AB*****123== user@server

гемор будет если пользователь не прописывал свое имя в комент ключа.

но новым пользователям придется тоже вписывать запрет порт-форвардинга.
как вариант, в обратку, вписать в конфиг sshd запрет портфорвардинга всем, а в authorized_keys нужным пользователям разрешить портфорвардинг.

------
отслеживать скриптом косячных юзеров по логам ssh, поиск по записи о создании проброса порта.
и отстреливать их нахер или банить на пару суток или еще чего применять - такое говно надо давить в зародыше.

Comments

[pcdesign]

Спасибо за ответ.
Но по умолчанию такие вещи не логируются и это не очень тривиальная задача включить логи на портфорврад.

[pfg21]

повысить информативность логов
https://man.openbsd.org/sshd_config#LogLevel
до инфо или вербоз. гдето там включится логирование портфорвардинга.

да кстати, вспомнил опцию прям по вашему запросу
исправлю-ка ответ ;)

[pcdesign]

pfg21, а если авторизация идет по паролю?

[pfg21]

pcdesign, посоветую парольные допуск к ssh выкидывать как обоссанный подгузник сразу после выхода из детства.
сначала будет непривычно - потом поймешь насколько это лучше и удобнее.