Jak omezit uživatele SSH?

[hknmtt]

Mam dedikovaneho pouzivatela, ktory sa ako jediny moze SSHnut na server. Nasledne sa pouzivatel musi prehlasit do roota(schvalne nemam sudo pouzivatelov). Chcel by som tohto "ssh" pouzivatela obmedzit v tom, ze nemoze na serveri nic realne robit. Je to nejak mozne? Pozeral som, ze by mozno bolo mozne obmedzit pouzivatela aby nemohol vyjst zo svojej domacej zlozky, pripadne upravit bash config, ale neviem ktory postup je najvhodnejsi. Prakticky uloha tohto pouzivatela je len spominany ssh login + moznost nahravat subory do svojej home slozky, ktore potom root moze prekopirovat kam je potreba.

[Reklama]

[Petr Krčmář]

Je to popsané v článku Jak nahradit FTP pomocí SFTP a zamknout uživatele.

[hknmtt]

To je iba obmedzenie pre sftp zlozky, mne ide skor o to ked sa pouzivatel sshne do systemu, aby realne jedine co mohol urobit, okrem uploadu suboru, sa mohol prakticky iba prehlasit cez su do roota. Cize nechcem aby sa prechadzal po systeme alebo spustal akekolvek prikazy. Ratam ze asi najvhodnejsie je upravit jeho bash skript a povolit len nejake prikazy, tzn. nemoze napriklad cd / alebo rm /foo/bar

[rooobertek]

https://serverfault.com/questions/149673/how-to-prevent-a-user-from-login-in-but-allow-su-user-in-linux

[veskotskujehnusne]

Já bych začal provedením "mozkového přemýšlení". Ty chceš, aby mohl su do roota, takže mu dáváš admina, ale chceš, aby ten admin nemohl nic dělat. To mi nějako nevychádza.

To je iba obmedzenie pre sftp zlozky, mne ide skor o to ked sa pouzivatel sshne do systemu, aby realne jedine co mohol urobit, okrem uploadu suboru, sa mohol prakticky iba prehlasit cez su do roota. Cize nechcem aby sa prechadzal po systeme alebo spustal akekolvek prikazy. Ratam ze asi najvhodnejsie je upravit jeho bash skript a povolit len nejake prikazy, tzn. nemoze napriklad cd / alebo rm /foo/bar

[Reklama]

[Wasper]

Já bych začal provedením "mozkového přemýšlení". Ty chceš, aby mohl su do roota, takže mu dáváš admina, ale chceš, aby ten admin nemohl nic dělat. To mi nějako nevychádza.

Ale vychadza, v podstate se snazi vybudovat jump host, resp. jump ucet ktery nemuze vubec nic. (su na roota chce heslo/2FA pokud tam ma nejaky ten pam_radius apod.)

Na prvni pohled mi to prijde jako netrivialni, urcite neco jde udelat pres openssh (zakazat vsechny mozne forwardingy) a pres iptables -m owner, z chrootu by se su-ckovalo blbe, takze spis neco jako forced firejail mozna, urcite by toho slo dosahnout pres selinux, ale tam bych (pokud uz nekdo reseni nema hotove) to jako moc trivialni nevidel.

[vcunat]

Účet který "nemůže nic", jen změnit na roota (tedy vlastně může všechno)?  K čemu to je?

Možná jsme to špatně pochopili a nejde o stejného uživatele?

[NaRootuJeNeskutecneDebilniRegistracniFormular]

command="/bin/su -" na zacatek radku v authorized_keys jsi zkusil?

[veskotskujehnusne]

Takže by se to celé neobešlo bez plného admina, který může všechno?

Já bych začal provedením "mozkového přemýšlení". Ty chceš, aby mohl su do roota, takže mu dáváš admina, ale chceš, aby ten admin nemohl nic dělat. To mi nějako nevychádza.

Ale vychadza, v podstate se snazi vybudovat jump host, resp. jump ucet ktery nemuze vubec nic. (su na roota chce heslo/2FA pokud tam ma nejaky ten pam_radius apod.)

Na prvni pohled mi to prijde jako netrivialni, urcite neco jde udelat pres openssh (zakazat vsechny mozne forwardingy) a pres iptables -m owner, z chrootu by se su-ckovalo blbe, takze spis neco jako forced firejail mozna, urcite by toho slo dosahnout pres selinux, ale tam bych (pokud uz nekdo reseni nema hotove) to jako moc trivialni nevidel.

[hknmtt]

Este raz teda:

- system nema ziadnych sudo pouzivatelov
- existuje iba jeden pouzivatel, nazvime ho ssh-user, ktory sa moze sshnut do systemu, iba s klucom(tzn. nie heslo alebo ina forma autentifikacie)
- tento pouzivatel moze neobmedzene nahratvat  subory do svojej home zlozky
- tento ssh-user by nemal mat moznost inak robit nic v systeme, okrem "su root", cize nemoze mutovat system alebo subory mimo svojej home zlozky, taktiez by nemal mat moznost vypisovat obsah zloziek mimo svojej home zlozky

jedinym ucelom tohto ssh-user pouzivatela je pristup do systemu, povedzme len do "predsiene" ale nie to celeho domu, a moznost nahrat do povolenej zlozky(/home/ssh-user) subory(sftp).

pre objasnenie, tieto subory su aplikacia + konfiguracne subory, ktora na serveri bezi ako hlavny ucel serveru. v pripade ze unikne ssh kluc von, utocnik sa dostane len do home zlozky tohto pouzivatela a nemoze robit nic co by ovplyvnilo system pretoze by musel bruteforcnut roota.

normalne by sa po nahrati suborov mal pouzivatel prehlasit na roota a ako root potom premiestnit nahrane subory, nova verzia aplikacie, na pozadovane miesto a vykona pozadovane ukony(restart sluby a podobne).

[tester3274]

chroot?

[Jan Fikar]

- tento ssh-user by nemal mat moznost inak robit nic v systeme, okrem "su root", cize nemoze mutovat system alebo subory mimo svojej home zlozky, taktiez by nemal mat moznost vypisovat obsah zloziek mimo svojej home zlozky

Hmmm, tak normálně uživatel v Linuxu může mutovat jenom soubory v $HOME a v /tmp.  Proč by nemohl vypisovat obsah jiných adresářů? Třeba když zakážete vypisovat (RX) /usr/bin/ tak to nebude fungovat.

Zase lehko zakážete přístup do /home/tajny_user, jestli šlo v první řadě o toto. Většina distribucí má práva tak, že si uživatelé navzájem nevidí soubory. Pokud bude znát heslo na su, tak se tam dostane.

[Michal Šmucr]

Este raz teda:

- system nema ziadnych sudo pouzivatelov
- existuje iba jeden pouzivatel, nazvime ho ssh-user, ktory sa moze sshnut do systemu, iba s klucom(tzn. nie heslo alebo ina forma autentifikacie)
- tento pouzivatel moze neobmedzene nahratvat  subory do svojej home zlozky
- tento ssh-user by nemal mat moznost inak robit nic v systeme, okrem "su root", cize nemoze mutovat system alebo subory mimo svojej home zlozky, taktiez by nemal mat moznost vypisovat obsah zloziek mimo svojej home zlozky

jedinym ucelom tohto ssh-user pouzivatela je pristup do systemu, povedzme len do "predsiene" ale nie to celeho domu, a moznost nahrat do povolenej zlozky(/home/ssh-user) subory(sftp).

pre objasnenie, tieto subory su aplikacia + konfiguracne subory, ktora na serveri bezi ako hlavny ucel serveru. v pripade ze unikne ssh kluc von, utocnik sa dostane len do home zlozky tohto pouzivatela a nemoze robit nic co by ovplyvnilo system pretoze by musel bruteforcnut roota.

normalne by sa po nahrati suborov mal pouzivatel prehlasit na roota a ako root potom premiestnit nahrane subory, nova verzia aplikacie, na pozadovane miesto a vykona pozadovane ukony(restart sluby a podobne).

Pořád se to snažím pochopit, ale vlastně mi moc nedává smysl nepoužít sudo, polkit nebo doas, kde si můžu vcelku rozumně nakonfigurovat, co může daný uživatel spouštět. Hlavně na rozdíl od příkazu su pak se může vyžadovat heslo toho uživatele a ne roota.
Další věc co mě pak napadá. Je opravdu na správu té aplikace nějakým externím adminem potřeba kopírovat soubory přes scp, někam pak rozbalovat archivy a hrabat se v systému s nejvyššími právy?
Pro řešení aktualizací (resp. lifecycle a deploymentu) aplikací je spousta popsaných a ozkoušených řešení počínaje kontejnerizace s Kubernetes, přes hostování nějakého vlastního docker registry, spousty nějakých dalších relativně sofistikovaných orchestrací až po třeba po relativně jednoduchá řešení na bázi pevných aktualizačních skriptů.
Ty mi pak například můžou udělat pull z nějaké specifické větve git repozitáře, odkud se to také předtím otestovalo, zastavit služby, spustit připravené migrační skripty, znovu služby nahodit a zalogovat někam výsledek.
Celé tohle může být v jednom bash skriptu, který pak bude moct být spouštěný tím sudem pod jiným uživatelem.
Navíc se to výrazně zjednoduší, pokud byste dělal tenhle proces na víc než na jednom serveru - i když počítám minimálně testovací a produkční.

[hknmtt]

- tento ssh-user by nemal mat moznost inak robit nic v systeme, okrem "su root", cize nemoze mutovat system alebo subory mimo svojej home zlozky, taktiez by nemal mat moznost vypisovat obsah zloziek mimo svojej home zlozky

Hmmm, tak normálně uživatel v Linuxu může mutovat jenom soubory v $HOME a v /tmp.  Proč by nemohl vypisovat obsah jiných adresářů? Třeba když zakážete vypisovat (RX) /usr/bin/ tak to nebude fungovat.

Zase lehko zakážete přístup do /home/tajny_user, jestli šlo v první řadě o toto. Většina distribucí má práva tak, že si uživatelé navzájem nevidí soubory. Pokud bude znát heslo na su, tak se tam dostane.

Je mozne, ze to zbytocne komplikujem. Na druhu stranu, ak je pouzivatela mozne takto obmedzit, nejakou jednouchou formou, tak preco nie.

[Dušan Kreheľ]

Napísať vlastný shell.

P. S.: /usr/sbin/nologin