Uživatel SSH bez shellu

Uživatel SSH bez shellu
« kdy: 17. 09. 2010, 08:17:41 »
Ahojte

Využívam server hojne ako ssh proxy (ssh -ND...). Trochu sa mi ale nepáči, že sa tam pripájam s normálnym užívateľom.
Ako vytvoriť užívateľa vhodného iba na tento účel? Čo všetko mu môžem zakázať a ako? Môžem mu zakázať aj použitie su?

// pomohlo by mi nastavenie /dev/null ako jeho "defaultnú konzolu" (neviem ako sa tomu nadáva)?
« Poslední změna: 17. 09. 2010, 10:14:59 od Petr Krčmář »


pepazdepa

Re: užívateľ iba na proxy
« Odpověď #1 kdy: 17. 09. 2010, 09:55:00 »
man sshd_config - sekce Match a dale ForceCommand atp.

alfi

Re: Uživatel SSH bez shellu
« Odpověď #2 kdy: 17. 09. 2010, 14:27:50 »
/bin/false jako shell v /etc/passwd. a nebo třeba /usr/bin/passwd, pokud se uživatel přihlašuje heslem a může ho chtít změnit :-)

peter

Re: Uživatel SSH bez shellu
« Odpověď #3 kdy: 17. 09. 2010, 20:20:16 »

rob

Re: Uživatel SSH bez shellu
« Odpověď #4 kdy: 18. 09. 2010, 13:47:09 »
Kód: [Vybrat]
ssh -D 8080 -f -C -q -N user@serverparametr -C muzete vynechat, pokud nechcete pouzivat kompresy


rob

Re: Uživatel SSH bez shellu
« Odpověď #5 kdy: 18. 09. 2010, 13:52:41 »
tak nic, moc rychle jsem si to precetl :)

pepazdepa

Re: Uživatel SSH bez shellu
« Odpověď #6 kdy: 18. 09. 2010, 17:33:02 »
alebo:

http://www.mariovaldez.net/software/sleepshell/

v cem je toto lepsi nez ForceCommand tam dat nejakou kravinu alla shell a loop?

Mepho

Re: Uživatel SSH bez shellu
« Odpověď #7 kdy: 19. 09. 2010, 12:27:35 »
Ja by som siel asi cez tty (mingetty do inittabu - vie zrobit autoloin usera). zakaz su by sa dal asi zrobit zistenim prav k (usr)/bin/su a ich modifikaciou (vyrobit novy group pre su, upravit prava pre su len na tu grupu a nikoho ineho, pridat userov co chces, ?). Alebo zrobit jail / chroot.

Re: Uživatel SSH bez shellu
« Odpověď #8 kdy: 19. 09. 2010, 19:23:05 »
Ďakujem všetkým za rady.

Napadla mi ešte jedna opačná otázka. Doteraz som si myslel, že keď má user shell /bin/false, nemôže nič. Ale keď vidím, že môže proxovať, logická otázka pre mňa je: čo všetko ešte môže?

Re: Uživatel SSH bez shellu
« Odpověď #9 kdy: 20. 09. 2010, 10:10:35 »
Napadla mi ešte jedna opačná otázka. Doteraz som si myslel, že keď má user shell /bin/false, nemôže nič. Ale keď vidím, že môže proxovať, logická otázka pre mňa je: čo všetko ešte môže?

No může asi všechno, k čemu login shell není potřeba :)

Např. dovecot mu dovolí číst poštu pomocí imap. Co mu dovolí ostatní programy se musíš zeptat jich :)