По умолчанию SSH-сервер позволяет создавать SSH-туннели, что позволяет любому SSH пользователю получить доступ не только к самому серверу, но и к всем серверам которые доступны. К примеру возможность создания туннеля позволяет использовать SSH сервер как прокси для веб трафика, RDP сессиям и другим службам, находящимся в доступной сети.
Отключение SSH туннеля не панацея от всех бед. Необходимо поддерживать сервера в актуальном (обновленном состоянии), публичные сервера держать в DMZ, обеспечивать мониторинг активности как на самих серверах, так и внутри сети.
Отключение SSH-туннелинга
Для отключения откываем файл конфигурации sshd
1 | nano /etc/ssh/sshd_config |
и добавляем в него параметр
1 | AllowTcpForwarding no |
после чего применяем конфигурацию
1 | service sshd reload |
Если необходимо запретить SSH-туннелинг для всех пользователей, кроме пользователей в группе root (OpenSSH версии 4.4 или выше), добовляем следующую последовательность команд
1 2 3 | AllowTcpForwarding no Match Group root AllowTcpForwarding yes |