我有一个跳转服务器,许多连接到它的客户端都位于 NAT 后面,不幸的是,所有这些客户端也使用同一个用户进行连接。
假设我有跳转服务器的 root 访问权限,并且可以根据需要配置 sshd(和其他工具?),您能想到任何技术来区分来自不同来源(节点)的不同 ssh 会话吗?
谢谢
答案1
正如评论中提到的那样,无法区分来自同一 IP 地址的同一用户的相同凭证。
为每个人创建一个用户。这将访问权与他们的身份联系起来,这可能取决于您的合规环境。并允许其他身份验证因素,例如他们所拥有的设备上一次性的密码。
为每个人创建一个凭证。可以是唯一的 ssh 密钥、用于连接 VPN 的唯一凭证,或者两者兼而有之。
使用 IPv6。虽然 NAT 在许多用例中都适用,但您需要确定 NAT 不会给您的每个用户连接。但是,除非您控制端点,否则您无法仅通过 IP 地址准确知道哪个用户。