Главная » Форум » Gentoo Linux » Системное администрирование

Самый ограниченный пользователь для ssh

olegon 4 декабря, 2009 - 12:49

Много ссылок нашел на эту тему, но все немного не то.
Суть, для проброса порта на прокси использую ssh. Нужно, чтобы этот пользователь не мог вообще ничего делать, т.е. подключиться мог, с портом работал бы, но ничего более. Ни из хома выйти, ни потрогать какие-то файлы, ВООБЩЕ ничего больше. Есть идеи что нужно сделать?

‹ Ищу док SAMBA чтобы был в Active Directory вопрос о SYSLOG [SOLVED] ›
»

chroot ? хотя вот эту фразу

Автор leryc, дата создания 4 декабря, 2009 - 13:47.

chroot ?

хотя вот эту фразу не догнал ....

olegon написал(а):
Суть, для проброса порта на прокси использую ssh.

а возможно она и ключевая .....

что-то добрый я сегодня ....

»

Можно сделать скриптик вроде

Автор gry, дата создания 4 декабря, 2009 - 14:59.

Можно сделать скриптик вроде такого

#!/bin/sh

echo This account is for port forwarding only, press ENTER to exit
read

добавить путь к нему в /etc/shells, а затем добавить пользователя в последней колонке в /etc/passwd для которого указать этот скриптик

»

Спасибо большое, так и сделал

Автор olegon, дата создания 7 декабря, 2009 - 14:36.

Спасибо большое, так и сделал некоторое время назад. Самое правильное - отсутствие шела.

http://olegon.ru

»

При старте ssh соединения

Автор _SerEga_, дата создания 7 декабря, 2009 - 17:30.

При старте ssh соединения можно указать команду, которая будет выполнена при входе на удаленную машину и я не уверен, что этому отсутствие шела помешает - проверьте на всякий случай.

»

попробовал: ssh user@host

Автор gry, дата создания 7 декабря, 2009 - 18:20.

попробовал:
ssh user@host 'echo 1234 > /tmp/aaa'

демон sshd при этом выполняет:

/bin/sh /etc/local_scripts/port_forward_login -c echo 1234 > /tmp/aaa

где /etc/local_scripts/port_forward_login это как раз скриптик о котором я писал выше.

То есть вроде как нормально все. Хотя ман об этом говорит иначе:

If command is specified, it is executed on the remote host instead of a login shell.

тут похоже неточность в мане. и нужно заменить instead of на in.

»

/

Автор Anarchist, дата создания 7 декабря, 2009 - 18:31.
gry написал(а):
попробовал:
ssh user@host 'echo 1234 > /tmp/aaa'

демон sshd при этом выполняет:

/bin/sh /etc/local_scripts/port_forward_login -c echo 1234 > /tmp/aaa

где /etc/local_scripts/port_forward_login это как раз скриптик о котором я писал выше.

То есть вроде как нормально все. Хотя ман об этом говорит иначе:

If command is specified, it is executed on the remote host instead of a login shell.

тут похоже неточность в мане. и нужно заменить instead of на in.

Лежит тебе путь-дорожка дальняя в багзиллу ;)

:wq
--
Live free or die

»

а куда такое лучше? на

Автор gry, дата создания 8 декабря, 2009 - 00:46.

а куда такое лучше? на гентушную или сразу в апстрим?

»

Да, лучше сходить, а то

Автор _SerEga_, дата создания 8 декабря, 2009 - 01:20.

Да, лучше сходить, а то кто-нибудь другой обратится и переделают, на как в man написано )

»

Я пробовал так "ssh хост ps",

Автор _SerEga_, дата создания 8 декабря, 2009 - 01:22.

Я пробовал так "ssh хост ps", и ps высвечивает только себя(без шела)

»

Для этих целей есть

Автор duger, дата создания 7 декабря, 2009 - 15:54.

Для этих целей есть /sbin/nologin вроде

»

с nologin нельзя пробрасывать

Автор gry, дата создания 7 декабря, 2009 - 16:37.

с nologin нельзя пробрасывать порты, для проброса я так понимаю, нужно залогиниться, а nologin этого не позволяет

»

Посадить юзверя в чрут.

Автор WladS, дата создания 4 декабря, 2009 - 16:26.

Посадить юзверя в чрут.

Эгоист, это тот человек, которых думает о себе, вместо того, чтобы думать обо мне.
Ĉu vi komprenas min?

»

olegon написал(а): Много

Автор SysA, дата создания 7 декабря, 2009 - 22:10.
olegon написал(а):
Много ссылок нашел на эту тему, но все немного не то.
Суть, для проброса порта на прокси использую ssh. Нужно, чтобы этот пользователь не мог вообще ничего делать, т.е. подключиться мог, с портом работал бы, но ничего более. Ни из хома выйти, ни потрогать какие-то файлы, ВООБЩЕ ничего больше. Есть идеи что нужно сделать?

app-shells/rssh
net-misc/stunnel - хотя это не SSH, но делает именно то, что вам надо. Правда через SSL.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".