Öffnen von Netzwerk-Prozess durch Prozess / User verhindern

[m4rkus]

Hallo,

der Titel ist wahrscheinlich nicht zielführend - evtl. kann mir dennoch jemand einen Tipp geben.

Es geht darum, dass ich einen Server per SSH im Internet erreichbar habe, welcher ebenfalls TCP-Forwarding aktiviert hat (AllowTCPForwarding YES).

Neben den gewollten lokalen Weiterleitungen (-L xxxx:ZIEL:yyyy) und dem Socks-Proxy (-D xxxx) gehen daher leider auch Verbindungen, die einen "Reverse-Tunnel" auf meine Maschine erlauben. Dies möchte ich abstellen.

OpenSSH bietet dafür meines Wissens nach keinen Parameter.

Das Socket auf "meiner" Maschine gehört dem Benutzer, der den Tunnel aufbaut, so dass ich dachte, es wäre eine Möglichkeit einen Benutzer oder den Prozess sshd daran zu hindern neue Sockets aufzumachen.

Weiterhin bin ich dabei zu überlegen, was ein Zulassen für Auswirkungen hätte, da die User alle keine Login-Shell haben und ausschließlich Tunneln dürfen. Außer dem "Zumüllen" meines Servers mit Sockets fällt mir spontan nichts ein (Was passiert denn wenn "alle" Sockets offen sind?).

Ich hoffe es war soweit verständlich.

Danke und Gruß
Markus

 

[Illuminatus]

Wenn die Benutzer keine Shell aufmachen können darf auch nichts weiter passieren. Ansonsten gibt es die Möglichkeit dass du auf dem localhost Device Firewallregeln benutzt

 

[m4rkus]

Was heißt "darf auch nichts weiter passieren".

Das Problem ist aus meiner Sicht ist, dass trotz fehlender Shell ein User ein Socket aufmachen kann, welches auf localhost lauscht.
Natürlich kann im ersten Moment niemand dieses Socket nutzen, da kein User auf dem Server direkt arbeitet - aber ich würde es dennoch gerne einschränken.

Firewall auf dem Localhost-Device müsste ich mal ausprobieren, da ich nicht weiß, ob dann das reguläre Tunneln noch funktioniert. (Würde allerdings auch "nur" die Auswirkungen reduzieren und nicht das Erstellen des Sockets verhindern.)

Danke und Gruß
Markus