Ouvrez le pare-feu automatiquement à toute personne ayant réussi à se connecter via SSH

J'ai un serveur qui exécute quelques services. Cependant, pour des raisons de sécurité, j'ai configuré le serveur de sorte que rien, sauf pour SSH, ne soit accessible de l'extérieur.

Ce que je voudrais plutôt faire, cependant, est de laisser le serveur autoriser l'accès à tous ses services à toute personne ayant réussi à se connecter via SSH (et une fois que cette personne s'est déconnectée, fermez à nouveau tous les ports, à l'exception du port SSH. qui devrait rester ouvert).

Y a-t-il un moyen de faire cela?

J'utilise Arch Linux sur le serveur et ufwpour gérer le pare-feu.

Vous pouvez insérer des commandes ~/.bashrc. Tout ce qui s’y trouve est exécuté chaque fois qu’un utilisateur se connecte.

Pour que vos commandes ne s'exécutent que lors de la connexion via ssh (et non lors d'une connexion physique), vous pouvez tester la présence de la SSH_CONNECTIONvariable d'environnement.

J'ai écrit une solution pour cela. Ce n'est pas parfait et les améliorations sont les bienvenues. En particulier, je pense que cela ~/.bash_logoutne sera pas appelé si la connexion est arrêtée, mais je veux que le pare-feu se ferme lui aussi.

Dans tous les cas, commencez par configurer le sudoersfichier afin que votre utilisateur puisse exécuter le ufwbinaire sans entrer de mot de passe.

Puis dans ~/.bashrc:

ip=`echo $SSH_CONNECTION | cut -d " " -f 1`
echo "=> Opening the firewall for $ip..."
sudo ufw allow from $ip
echo "=> Done."

Dans ~/.bash_logout:

ip=`echo $SSH_CONNECTION | cut -d " " -f 1`
echo "=> Closing the firewall for $ip..."
sudo ufw delete allow from $ip
echo "=> Bye."

Encore une fois, cependant, cela ne fera que refermer les ports si vous terminez correctement votre session. Si quelqu'un sait comment la fermer à chaque fois que la connexion se ferme / meurt / peu importe, modifiez cette réponse avec votre solution.