我有一個 Ubuntu VPS,有時我會用它作為SOCKS瀏覽網路的代理。我使用 ssh 動態連接埠轉送命令,如下所示:
ssh -fNTC -D 1080 username@vpsIP
然後將我的瀏覽器代理設定localhost:1080為SOCKS.
我已經使用用戶名 ' 創建了一個附加用戶夥計們' 在 VPS 上,一些朋友也能夠進行 ssh 連接埠轉送並獲得類似 VPN 的東西(我們不需要 VPN 的網路部分)。
現在我真的不想將我的 VPS 作為 VPN 伺服器運行,所以我想堅持使用 ssh 連接埠轉送或類似的方式。
我該如何預防夥計們使用者是否能夠打開安全 shell 並開始在 VPS 上搞砸事情?
答案1
刪除用戶“dudes”的外殼怎麼樣?
usermod -s /sbin/nologin dudes
或者如果您的作業系統沒有 nologin :
usermod -s /bin/false dudes
答案2
可能性很小。但最簡單的可能ForceCommand是sshd_config.它將不允許運行任何命令,如果他們想要運行一些命令,它將運行這個命令。
範例片段sshd_config:
Match User dudes #your dudes user -- you can also match group
ForceCommand /bin/true
答案3
如果您使用基於金鑰的身份驗證(我強烈建議您這樣做),那麼您可以限制每個金鑰允許透過檔案執行的操作authorized_keys。
command="/bin/false"在鍵前面指定將阻止它們呼叫 shell 或您輸入的命令之外的任何命令authorized_keys。
您也可以透過 施加其他限制authorized_keys。有關完整列表,請參閱sshd手冊頁。