Page 1 of 1
ssh senza shell per tunnel
Posted: Mon Oct 11, 2004 12:21 pm
by Benve
Mi serve fare un tunnel con ssh.
Il problema è che vorrei che quell'utente che uso per il tunnel non abbia una shell
Non voglio che venga usato per lanciare comandi sulla macchina, ma solo per fare il tunnel
Ho provato a creare un utente e a mettergli come shell /dev/null o /sbin/false, ma ssh al login si comporta come se la password fosse sbagliata
Forse la soluzione sarebbe creare un ambiente chrottato, ho visto che esiste un pach apposita per ssh, qualcuno la ha mai usata??
Posted: Mon Oct 11, 2004 12:28 pm
by xchris
la soluzione migliore e' usare una chiave ssh,ssh2
e poi usare .ssh/authorized_keys
ad es:
Code: Select all
no-pty,permitopen="192.168.0.210:5900",permitopen="192.168.0.210:80",permitopen="192.168.2.2:5900" ssh-dss AAAAB............
in questo esempio disabilito pty e lascio accedere attraverso FORWARDING solo a 2 porte di una macchina (web,vnc)
ciao
Posted: Mon Oct 11, 2004 1:07 pm
by Benve
ma devo per forza autenticarmi con le chiavi pubblica privata o anche nel sistema usuale.
Come posso bloccare l'scp
Posted: Mon Oct 11, 2004 1:12 pm
by xchris
devi per forza usare la chiave...
credo che l'scp venga bloccato gia' con quelle regole.
ciao
Posted: Mon Oct 11, 2004 1:17 pm
by Benve
Ora provo, grazie.
Comunque il fatto della chiave è una spina nel .... se riesco a trovare un'altra soluzione la posto
Posted: Mon Oct 11, 2004 1:21 pm
by xchris
ai tempi io avevo risolto facendo un programmino idiota in C che non faceva nulla se non aspettare.
(in questo modo non di aveva bash)
ciao
Posted: Mon Oct 11, 2004 1:31 pm
by Benve
ho provato a mettere /bin/cat come shell, ma continua a richiedermi la password come se fosse sbagliata
Posted: Mon Oct 11, 2004 3:46 pm
by xchris
non va bene...
cat esce subito
prova questo noshell.c
Code: Select all
#include <stdio.h>
#include <unistd.h>
main()
{
printf ("Shell disabled!\n");
for(;;)
{
sleep(20);
}
}
cc noshell.c -o noshell
e poi in /etc/passwd (occhio) metti il percorso a noshell...
dovrebbe andare..
ciao
Posted: Mon Oct 11, 2004 5:11 pm
by Benve
Grazie, ho risolto.
Solo un picoolo problema
Se do un
invece con ssh
Code: Select all
ssh benve@benve.homelinux.org
Password:
Password:
Password:
benve@benve.homelinux.org's password:
Last login: Mon Oct 11 21:09:40 2004 from donbartolo
Shell disabled!
devo mettere la password 4 volte per loggarmi!!!!
PERCHE?
Posted: Mon Oct 11, 2004 6:14 pm
by xchris
hai rimosso la chiave?
ciao
Posted: Tue Oct 12, 2004 7:25 am
by Ty[L]eR
prova a guardare
qui
tralasciando (se non ti serve) la parte dove "hardenizza" il kernel.... gli esempi di utilizzo di jail, io lo provai apposta per fare un tunnel qualche mese fa... ne ero rimasto ben impressionato
Posted: Tue Oct 12, 2004 8:09 am
by xchris
non so quanto sia sicuro il metodo di noshell.c...
ma a mio avviso e' meglio non fornire proprio nulla.
Se uno e' maniaco della sicurezza penso dovrebbe usare noshell+chiave come descritto sopra.
Il metodo jail meglio usarlo quando una shell (anche se limitata) bisogna darla.
del tutto IMHO.
A mio avviso cmq noshell e' quello + veloce...0 problemi (di setup)
Dovesse essere insicuro... bhe avvisatemi che sono interessato.
ciao
Posted: Tue Oct 12, 2004 8:13 am
by FonderiaDigitale
..se uno e' maniaco della sicurezza usa le acl sui binari di ssh. (ad esempio con pax/grsecurity)
per disabilitare scp , se usi openssh disabiliti in toto il server, se usi ssh.com puoi fare dei permessi user o group-based.
Re: ssh senza shell per tunnel
Posted: Mon Oct 25, 2004 12:05 pm
by BlueRaven
Benve wrote:Mi serve fare un tunnel con ssh.
Il problema è che vorrei che quell'utente che uso per il tunnel non abbia una shell
Non voglio che venga usato per lanciare comandi sulla macchina, ma solo per fare il tunnel
Ogni tanto il bookmarking selvaggio serve a qualcosa.
http://www.pizzashack.org/rssh/
http://www.sublimation.org/scponly/
Il problema principale, che è quello di non dare la shell, lo risolvono di sicuro.
Entrambe, però, non impediscono di usare SCP (sono fatte apposta!).
Può darsi che ci sia un modo di farlo, non ho letto la documentazione quindi non ti so dare delle dritte, però tentar non nuoce.
Posted: Thu Nov 24, 2005 7:54 am
by Ty[L]eR
raga, evoco questo post, ho necessità di fare nuovamente tunnel e questa volta ho provato la key rsa e le sue opzioni (no-pty in primis), funziona tutto tranne il fatto che dopo tot va in timeout (anche se setto un anti-idle nel client), esiste qualche workaround? (tengo come ultima spiaggia autossh...)
Posted: Fri Nov 25, 2005 2:12 pm
by Ty[L]eR
uppettino plis
