Как заблокировать команду scp для определенных пользователей и для исходящих соединений
Вы определенно можете разработать ansible playbook, который будет проверять операционную систему машины/сервера/хоста, а затем использовать соответствующую команду менеджера пакетов для получения списка имен пакетов.
В файле sshd_configнет параметра, который можно использовать для управления тем, могут ли пользователи вызывать двоичные файлы ssh, scp, sftp(или любой другой двоичный файл )для исходящих подключений.
Если вы хотите запретить пользователям вызывать этот двоичный файл, вы должны изменить разрешения, чтобы у них не было разрешения на выполнение двоичного файла. Например, вы можете поместить всех пользователей, которым вы хотите получить доступ к двоичному файлу, в одну группу, изменить группу двоичного файла scpна эту группу и установить разрешения для двоичного файла на 0750.
Как правило, вам будет трудно ограничить исходящий доступ к сети в системе Unix общего -назначения, потому что существует огромное количество способов, которыми кто-то может подключиться. Вы можете попробовать поместить их в ограниченный графический сеанс без доступа к терминалу (или окну запуска приложения)вот так , но если у пользователя есть доступ к оболочке, удачи. Вы также можете попробовать обязательный фильтрующий прокси,но будет сложно обеспечить безопасную работу с HTTPS-соединениями.
Вам нужно запретить пользователю создавать двоичный файл в системе и запускать его (т.е. монтировать по крайней мере /home, /tmp, /var/tmp, /dev/shmи/run/user/*(это весело во-первых, потому что некий Леннарт недостаточно умен и слишком высокомерен, чтобы слушать других )с noexec ).
Демон SSH может прослушивать порт, отличный от 22. Но если вам достаточно запретить подключения к этому порту, вы можете заблокировать подключения к этому порту (для определенных пользователей )с помощью Netfilter (iptables).
Вопрос в том, служит ли блокировка scpполезной цели, поскольку существует множество способов перемещения данных из системы или в нее...