Вы определенно можете разработать ansible playbook, который будет проверять операционную систему машины/сервера/хоста, а затем использовать соответствующую команду менеджера пакетов для получения списка имен пакетов.
В файле sshd_config
нет параметра, который можно использовать для управления тем, могут ли пользователи вызывать двоичные файлы ssh
, scp
, sftp
(или любой другой двоичный файл )для исходящих подключений.
Если вы хотите запретить пользователям вызывать этот двоичный файл, вы должны изменить разрешения, чтобы у них не было разрешения на выполнение двоичного файла. Например, вы можете поместить всех пользователей, которым вы хотите получить доступ к двоичному файлу, в одну группу, изменить группу двоичного файла scp
на эту группу и установить разрешения для двоичного файла на 0750.
Как правило, вам будет трудно ограничить исходящий доступ к сети в системе Unix общего -назначения, потому что существует огромное количество способов, которыми кто-то может подключиться. Вы можете попробовать поместить их в ограниченный графический сеанс без доступа к терминалу (или окну запуска приложения)вот так , но если у пользователя есть доступ к оболочке, удачи. Вы также можете попробовать обязательный фильтрующий прокси,но будет сложно обеспечить безопасную работу с HTTPS-соединениями.
Вам нужно запретить пользователю создавать двоичный файл в системе и запускать его (т.е. монтировать по крайней мере /home
, /tmp
, /var/tmp
, /dev/shm
и/run/user/*
(это весело во-первых, потому что некий Леннарт недостаточно умен и слишком высокомерен, чтобы слушать других )с noexec ).
Демон SSH может прослушивать порт, отличный от 22. Но если вам достаточно запретить подключения к этому порту, вы можете заблокировать подключения к этому порту (для определенных пользователей )с помощью Netfilter (iptables
).
Вопрос в том, служит ли блокировка scp
полезной цели, поскольку существует множество способов перемещения данных из системы или в нее...