OpenSSH TCP Forwarding _egy_ bizonyos usernak/groupnak

Linux-security

OpenSSH TCP Forwarding _egy_ bizonyos usernak/groupnak

  • 943 megtekintés

( atlantic | 2005. 07. 27., sze – 01:33 )

Hello.

Van-e tudomásotok arról, meg lehet-e oldani OpenSSH-val azt, hogy a TCP forwarding csak egy bizonyos felhasználónak, csoportnak legyen engedélyezve. Jelenleg a /etc/ssh/sshd_config-ban az AllowTcpForwarding no-ra van állítva.

Valami olyasmire lenne szükségem, mint az SSH.COM féle AllowTCPForwardingForUser/Group.

Ha nem lehet megoldani OpenSSH-val, milyen más programokkal lehet?

Segítségeteket előre is köszönöm!

( Nosferatu | 2005. 07. 27., sze – 01:44 )

Valszinuleg hulyeseget mondok, mert gondolom authentikacional van szerepe, de az AllowUsers nem jo?

( Chreex | 2005. 07. 27., sze – 06:36 )

Szia!

Azt hiszem, csak kulcs alapú azonosítással oldható meg - legalábbis nem láttam még másfajta leírást hozzá.
Ld. először: http://www.puddingonline.com/~dave/publications/SSH-with-Keys-HOWTO/document/html-one-page/SSH-with-Keys-HOWTO.html
Aztán pedig, ha esetleg a port forwardingot is szűkíteni akarod egy (vagy több) szolgáltatásra:
http://ezine.daemonnews.org/200411/openssh.html

Az authorized_keys fájlon van a hangsúly. Mivel ez a fájl egy adott user könyvtárában van, az ő kulcsával más nem fog tudni belépni. :idea: Viszont ugyanazt azt a kulcsot több embernek is oda lehet adni, és akkor egy egész csoport be fog tudni lépni, :D bár nem tudom, ez mennyire jó ötlet. Csoportra nem tudom, hogy lehet megoldani.

Csáó
Chreex

( atlantic | 2005. 07. 28., cs – 20:11 )

úgy látszik akkor marad az ssh.com féle sshd. tud valaki ebből deb-et? packages.debian.org-on nem találtam i386 platformra.

( atlantic | 2005. 07. 27., sze – 17:44 )

köszi az eddigi ötleteket, de az a baj, hogy vannak userek, akiknek szükségük van a shellre, de a port forward-ot tiltani kell nekik. :(

( Panther v | 2005. 07. 27., sze – 18:41 )

[quote:474118ff14="atlantic"]köszi az eddigi ötleteket, de az a baj, hogy vannak userek, akiknek szükségük van a shellre, de a port forward-ot tiltani kell nekik. :(

Azt tűzfalból megoldhatod, hogy a bejelentkezett userek ne tudjanak csatlakozni más gépekhezt, tehát effektíve így a portforwardot mint komminikációs csatornát tiltod. De arra nem sok esély van, hogy magát a portforwardot letiltsd, ugyanis, ha ssh nem támogatja, akkor is működik az alábbi megoldás.

User a saját gépén elindít egy programot, ami elindít egy ssh-t és abba irogat, illetve abból olvas adatokat, kb így:
cat file1 | ssh gépnév azenparancsom.sh >file2

A lefuttatott parancs meg bármi lehet. Tehát akinek adsz shellt, annak lényegében adsz "portforwardot" is. Kivéve ha a $HOME-t meg az összes olyan könyvtár, ahova joga van írni, noexec-cel van felcsatolva. Bár szerintem egy netcattal, telnettel stb még ez is megkerülhető.

Bár lehet, hogy kissé elbonyolítottam a dolgot :?: