Jūs neprisijungęs
Aukštyn Tema Programinė įranga / GNU/Linux, bei Unix Operacinės Sistemos / Reikia pagalbos su SSH tuneliu
- alpha Data 2009-05-05 09:34
Sveiki,

Eilini karta biski mano noob klausimas. Googlinau googlinau, bet per visus forumus radau tik keleta tu paciu atsakymu, kurie man nelabai padejo. Esme tokia: serveryje pas mane yra keletas accountu, kurie naudojasi SFTP protokolu. Man norisi padaryti, kad tie useriai negaletu susikurti SSH tunelio, o vienas useris reikia, kad galetu susikurti SSH tuneli, bet neturetu PTY arba kazkaip kitaip apsaugot, kad negaletu jis nieko prigadint serveryje, bet tuo paciu kad veiktu SFTP. Na jei toks variantas neiseina (itariu taip ir bus, nes usribojus SSH sesija uzsiribos ir SFTP), tai reiktu sukurt atskira useri, kuris gali daryti tik SSH tuneli be jokiu PTY ar SFTP. Kiek googlej radau sprendimu, tai jie baisiai sudetingi. Tarkim taip:
1. SFTP useriai, kurie negali sukurti SSH tunelio
2. Vienas useris, kuris sukuria SSH tuneli be PTY arba kazko panasaus be galimybe prigadint serverio.

Beje, ties SFTP useriai, kurie jau yra, tai turi chroota SFTP protokolui, bet tas chrootas negalioja prisijungus per PUTTY. Irgi kazkaip nelabai gerai. Gal galima ir tuo klausimu kazka padaryt ?
Na jei kas pagelbesit, tai be galo busiu dekingas.

alpha
Pagrindinė - Kašiukas Data 2009-05-05 12:55
Tuneliai == TCP forwardinimas bei a la socks proxy pasigaminimas?
sshd_config
#Išjungi TCP forwardinimą visiems:
AllowTcpForwarding no

#Įjungi TCP forwardinimą useriui petras
Match User petras
       AllowTcpForwarding yes
       ForceCommand while ((1)); do sleep 50000; done

#EOF

Šitaip gali aprašinėti jūzerius, kuriems negalima prieiti prie shell'o (antroji komanda) bei reikia tcp forwardinimo (pirmoji komanda)
Pagrindinė - alpha Data 2009-05-05 13:45
Sveiki,

Na visu pirma, aciu uz atsakyma. Su pirma dalim kaip ir viskas aisku, bet tai tik tunelio isjungimas. Kiek isivaizduoju SSH sesija per PUTTY jam veiks be problemu jei gerai supratau.
Na o del antros komandos reikia bandyt. Ka tai daro lyg ir aisku. Ten vyksta pastoviai amzinas sleep, bet kaip bus su shell'u ? Na tarkim antruoju variantu atsidarau SSH tuneli su PUTTY ir kas toliau? Prisilogint leist, shella matysiu tik neis nieko padaryt ? Kaip tada su exit ?
Na ir paskutinis dalykas, kur apsiraso, kuriam useriui negalima prieiti prie shello? As pagooglines radau tik kaip is vis per SSH uzdraust shella, bet kaip kiekvienam atskirai, tai neradau....

alpha
Pagrindinė Meisteris Data 2009-05-05 16:24
Galima daryti paprastu būdu, priskiriant vartotojams (kuriems norima suteikti galimybe prisijungti sftp protokolu, bet nenorima duoti galimybės prisijungti ssh protokolu) /bin/false shell'us. Konkrečiau, tai atliekama, gana nesudėtingai, bet tiksliai neparašysiu, nes neturiu tux'o po ranka. Iš esmės tai sukuri tusčia failą /bin/false ir po to kurdamas vardotoja įrašai, kad jo shell'as yra /bin/false, ne /bin/bash /bin/sh ar kokie ten difultu būna. šitaip vartotojas gali matyti ir siūstis failus sftp protokolu, bet jungiantis per putty, tam vartotojui tiesiog neleis prisijungti.
Pagrindinė - Kašiukas Data 2009-05-05 17:07
Tas dalykas su sleep, tai tiesiog amžinas sleep bus ir tiek. Neprieis prie shello.
Pagrindinė alpha Data 2009-05-05 21:16
Aciu abiem uz pagalba. su "/bin/false" susitvarkiau sekmingai. Dabar liko sukurti viena vartotoja, kuris nieko negali isskyrus SSH tuneli. Ar tas su sleep vienintelis variantas ?

alpha
Pagrindinė alpha Data 2009-05-07 16:11
Zodziu problema pavyko pasresti pasirasant savo dummy shella:

#!/bin/bash
bash -r -c read


Visa tai irasiau i faila su pavadinimu dummy-shell ir useriam priskyriau sita shella. Viskas veikia kaip reikejo. Super !

alpha
Aukštyn Tema Programinė įranga / GNU/Linux, bei Unix Operacinės Sistemos / Reikia pagalbos su SSH tuneliu

Powered by mwForum 2.29.6 © 1999-2015 Markus Wichitill