Используйте правило iptables
, чтобы заблокировать исходящий трафик для определенного пользователя:
Таким образом, у вас даже есть полный контроль над диапазонами проходящих IP-адресов (например, разрешить только блокировку адресов LAN). Вероятно, также полезно блокировать только определенные порты. Однако ... если вы разрешите ssh, опытный пользователь настроит туннель и выйдет из брандмауэра. Если вы разрешите ssh для локальных машин, этот брандмауэр необходимо будет настроить на всех машинах, к которым пользователь может получить доступ, в противном случае вы можете просто туннелировать к ближайшей неограниченной машине и получать оттуда доступ в Интернет.
Все зависит от того, какие у вас пользователи. Если пользователь должен иметь возможность использовать ssh, и вы действительно хотите заблокировать его, то у вас проблема. Если он предназначен для нетехнических пользователей без знания ssh, просто заблокируйте весь исходящий трафик и закройте порты ssh.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=911389представляется актуальным. Он предлагает отредактировать последние две строки в /etc/ssl/openssl.conf
. Обязательно используйте TLSv1.0, это то, что сработало в моей ужасной установке MS AD.
Очевидно, следует попросить дружелюбного системного администратора прекратить использование проприетарного программного обеспечения или, по крайней мере, принять более новые версии протокола.