Mi serve fare un tunnel con ssh.
Il problema è che vorrei che quell'utente che uso per il tunnel non abbia una shell
Non voglio che venga usato per lanciare comandi sulla macchina, ma solo per fare il tunnel
Ho provato a creare un utente e a mettergli come shell /dev/null o /sbin/false, ma ssh al login si comporta come se la password fosse sbagliata
Forse la soluzione sarebbe creare un ambiente chrottato, ho visto che esiste un pach apposita per ssh, qualcuno la ha mai usata??
ssh senza shell per tunnel
Moderator: ago
Message
la soluzione migliore e' usare una chiave ssh,ssh2
e poi usare .ssh/authorized_keys
ad es:
in questo esempio disabilito pty e lascio accedere attraverso FORWARDING solo a 2 porte di una macchina (web,vnc)
ciao
e poi usare .ssh/authorized_keys
ad es:
Code: Select all
no-pty,permitopen="192.168.0.210:5900",permitopen="192.168.0.210:80",permitopen="192.168.2.2:5900" ssh-dss AAAAB............
ciao
while True:Gentoo()
non va bene...
cat esce subito
prova questo noshell.c
cc noshell.c -o noshell
e poi in /etc/passwd (occhio) metti il percorso a noshell...
dovrebbe andare..
ciao
cat esce subito
prova questo noshell.c
Code: Select all
#include <stdio.h>
#include <unistd.h>
main()
{
printf ("Shell disabled!\n");
for(;;)
{
sleep(20);
}
}
e poi in /etc/passwd (occhio) metti il percorso a noshell...
dovrebbe andare..
ciao
while True:Gentoo()
Grazie, ho risolto.
Solo un picoolo problema
Se do un
invece con ssh
devo mettere la password 4 volte per loggarmi!!!!
PERCHE?
Solo un picoolo problema
Se do un
Code: Select all
su benve
Shell disabled!Code: Select all
ssh benve@benve.homelinux.org
Password:
Password:
Password:
benve@benve.homelinux.org's password:
Last login: Mon Oct 11 21:09:40 2004 from donbartolo
Shell disabled!
PERCHE?
non so quanto sia sicuro il metodo di noshell.c...
ma a mio avviso e' meglio non fornire proprio nulla.
Se uno e' maniaco della sicurezza penso dovrebbe usare noshell+chiave come descritto sopra.
Il metodo jail meglio usarlo quando una shell (anche se limitata) bisogna darla.
del tutto IMHO.
A mio avviso cmq noshell e' quello + veloce...0 problemi (di setup)
Dovesse essere insicuro... bhe avvisatemi che sono interessato.
ciao
ma a mio avviso e' meglio non fornire proprio nulla.
Se uno e' maniaco della sicurezza penso dovrebbe usare noshell+chiave come descritto sopra.
Il metodo jail meglio usarlo quando una shell (anche se limitata) bisogna darla.
del tutto IMHO.
A mio avviso cmq noshell e' quello + veloce...0 problemi (di setup)
Dovesse essere insicuro... bhe avvisatemi che sono interessato.
ciao
while True:Gentoo()
- FonderiaDigitale
- Veteran
- Posts: 1710
- Joined: Thu Nov 06, 2003 4:28 am
- Location: Rome, Italy
- Contact:
..se uno e' maniaco della sicurezza usa le acl sui binari di ssh. (ad esempio con pax/grsecurity)
per disabilitare scp , se usi openssh disabiliti in toto il server, se usi ssh.com puoi fare dei permessi user o group-based.
per disabilitare scp , se usi openssh disabiliti in toto il server, se usi ssh.com puoi fare dei permessi user o group-based.
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica 
Re: ssh senza shell per tunnel
Ogni tanto il bookmarking selvaggio serve a qualcosa.Benve wrote:Mi serve fare un tunnel con ssh.
Il problema è che vorrei che quell'utente che uso per il tunnel non abbia una shell
Non voglio che venga usato per lanciare comandi sulla macchina, ma solo per fare il tunnel
http://www.pizzashack.org/rssh/
http://www.sublimation.org/scponly/
Il problema principale, che è quello di non dare la shell, lo risolvono di sicuro.
Entrambe, però, non impediscono di usare SCP (sono fatte apposta!).
Può darsi che ci sia un modo di farlo, non ho letto la documentazione quindi non ti so dare delle dritte, però tentar non nuoce.
raga, evoco questo post, ho necessità di fare nuovamente tunnel e questa volta ho provato la key rsa e le sue opzioni (no-pty in primis), funziona tutto tranne il fatto che dopo tot va in timeout (anche se setto un anti-idle nel client), esiste qualche workaround? (tengo come ultima spiaggia autossh...)
