Oprávnění servisního účtu pro SSH

Oprávnění servisního účtu pro SSH
« kdy: 03. 09. 2021, 18:33:58 »
Ahoj, nevíte někdo zda bude fungovat následující situace:

server A
- servisní lokální účet xxx s nastavením shellu na /sbin/nologin

servery B a C
- servisní lokální účet xxx se standardním nastavením /bin/bash

desktop -> pod uživatelem pepa -> ssh xxx@serverA -> zamítnuto
serverA -> pod uživatelem xxx -> ssh xxx@serverB -> povoleno
serverA -> pod uživatelem xxx -> ssh xxx@serverC -> povoleno

Jde mi o to, aby se na server A nemohl nikdo skrze SSH s účtem xxx zalogovat, ale aby zároveň účet xxx mohl interně mezi servery (A -> B, A -> C) SSH používat. Nevím jestli je správná cesta nastavit uživateli na serveru A /sbin/nologin nebo v konfiguráku sshd zakázat login do serveru účtu xxx (nevím jak).

Díky


Re:Oprávnění servisního účtu pro SSH
« Odpověď #1 kdy: 03. 09. 2021, 19:39:36 »
Nastavení výchozího shellu nijak neovlivňuje to, jaké aplikace můžete pod daným účtem spouštět, ani SSH klienta. Takže když na serveru A dokážete nějak spustit SSH klienta (třeba přes sudo), bude normálně fungovat.

Nastavení shellu na /sbin/nologin nezabráníte přihlášení, ale hned po přihlášení se spustí nologin a ukončí se, čím se ukončí i spojení. Nicméně nejspíš tam bude nějaká možnost, jak to obejít – třeba vůbec nespouštět terminál a použít SSH spojení jenom pro přenos souborů přes SFTP nebo pro mapování portů.

Pokud nechcete povolit přihlášení přes SSH k danému účtu, jednoduše tam nedávejte žádný klíč, kterým by se dalo přihlásit. Předpokládám, že máte sshd nastavené tak, aby se dalo přihlásit jenom klíčem – a když tam klíč není, nikdo se nepřihlásí. Pokud byste měl vážný důvod, proč podporovat přihlášení heslem a měl to v sshd zapnuté, pak je potřeba tomu účtu zneplatnit heslo – pomocí passwd -l xxx ten účet zamknete, takže se k němu nepůjde přihlásit žádným heslem. (Což opět neznamená, že se na něj nepůjde např. přepnout z roota – ten účet bude dál existovat a bude možné jej používat, jenom se k němu nepřihlásíte heslem.)

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Oprávnění servisního účtu pro SSH
« Odpověď #2 kdy: 06. 09. 2021, 13:04:57 »
Tak v první řadě je vhodné začít rozlišovat SSH server a klient. Jestli se nechcete na A vůbec přihlašovat, tak tam nemusí ani server SSH bežet, ale pak se na A musíte dostat jinak.