cómo evitar que las personas usen ssh desde una máquina, pero permitir que ssh ingrese
De alguna manera, un usuario ha estado obteniendo acceso a mi servidor. He bloqueado ssh para todos menos algunos usuarios en los que confío y que absolutamente necesitan acceso ssh (usado AllowUsers en sshd_config). En el caso de que uno de ellos haya sido pirateado, ¿cómo puedo evitar que salgan del servidor? No hay razón para salir del servidor al que acceden. ¿Algún consejo?
La forma más sencilla sería eliminar el paquete openssh-clients. La segunda posibilidad es bloquear el tráfico saliente al puerto 22 como se propone en los comentarios en iptables.
Pero nada de eso resolverá el problema si los usuarios quieren ssh a un puerto diferente o descargarán/instalarán/crearán ssh binario del cliente en su directorio de inicio (que probablemente sea grabable para ellos).
Sin aclarar lo que realmente quieres, es demasiado amplio para responder adecuadamente.
No es un enfoque fácil prohibir a los usuarios que ejecuten el cliente ssh. Supongo que si los usuarios obtienen acceso a la raíz no hay forma.
Siempre que sean usuarios "normales", en este artículo hay algunos buenos consejos para una solución.