Ho la seguente configurazione nella mia rete:
Internet <--> Bastion <--> Local Network
Ho diversi utenti e ogni utente è assegnato a una macchina specifica. O in altre parole: ogni utente deve avere accesso solo a uno di quei server. Ad esempio: Utente1 -> Macchina1, Utente2 -> Macchina2 e così via.
Quegli utenti si collegheranno dall'esterno della mia rete e ho considerato molte opzioni su come inoltrare le loro connessioni tramite il mio host bastion alla mia rete.
Alla fine ho optato per Match Blocks e forcecommand.
Quindi, il mio / etc / ssh / sshd_config sul bastione è simile al seguente:
Match User User1
ForceCommand ssh User1@Machine1 $SSH_ORIGINAL_COMMAND
Utente1 si collega all'host del bastione che stabilisce automaticamente una connessione con Machine1.
Per quanto ho capito ForceCommand, User1 non avrà alcun reale accesso all'host del bastione, perché tutte le sue operazioni saranno gestite per prime dal blocco delle partite, quindi dirottate su Machine1. Tuttavia è davvero vero? È già abbastanza per essere una configurazione sicura? L'utente è comunque imprigionato su Machine1, quindi non avrà molte possibilità lì.