Я пытаюсь настроить SSH Jumpbox. Пользователи, вошедшие в Jumpbox, должны иметь возможность авторизоваться на других серверах SSH в зависимости от их группы.
(UserA находится в группе Project1, UserB находится в группе Project2, UserA должен иметь возможность ssh в project1.com, но не UserB)
Есть ли способ реализовать это на уровне Jumpbox?
Предполагая, что Jumpbox - это Linux-бокс, iptables можно с пользой использовать на OUTPUT цепочка, чтобы ограничить, какие члены группы могут подключаться к каким серверам. Что-то вроде
iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT
который имеет удобный побочный эффект, запрещающий членам группы project1 делать что-либо Кроме ssh'ing на project1.com и аналогично для project2 и project2.com. Вам также могут понадобиться некоторые соответствующие правила в INPUT цепочка, если вы ограничиваете INPUT трафик.