https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html Привет всем,<br>подключаюсь с машины с Windows через интернет к серверу sshd на Ubuntu для работы через тоннель. Подключение проходит нормально. Для подключения использую параметры командной строки:<br>ssh -i id_rsa -L 127.0.0.1:999:192.168.10.10:999 -p 443 admin@95.172.95.95<br>После авторизации образуется тоннель и выполняется вход в командную оболочку под пользователем admin.<br><br>Вопрос: мне от этого подключения нужен только тоннель, командная оболочка не нужна. Как ее запретить для подключающегося пользователя? Либо может быть запретить выполнение любых команд в ней?<br>Отключать нужно по логике со стороны sshd... Почитал справку - как сделать не нашел. Есть только упоминание об этом в описании параметра конф.файла AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...<br><br>AllowTcpForwarding<br> Определяет, будет ли разрешено перенаправление TCP. По умолчанию ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока пользователям не запрещен доступ к командной о https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#13 Fri, 03 Oct 2014 06:20:44 GMT в качестве шелла пользователю которому не нужно давать доступ к шелл установите /usr/sbin/nologin<br><br>в качестве тунеллера для офтопика рекомендую bitwice ssh. <br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#12 Tue, 02 Sep 2014 11:14:01 GMT если айпишник на удаленном компе статика то можно тупо сделать проброс портов без всяких ssh туннелей <br><br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#11 Sat, 30 Aug 2014 10:21:40 GMT &gt;&gt; мсье однако знает толк в извращениях, VPN религия не разрешает?<br>&gt; ну vpn вроде как полноценное сетевое подключение создает, с доступом ко всем <br>&gt; ресурсам (например файловой системе). А тут это не нужно. Нужно только <br>&gt; чтобы 1С считала ключ защиты и подключилась к БД...<br><br>Есть такая штука - называется файрволл.<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#10 Sat, 30 Aug 2014 07:52:15 GMT &gt;&gt; Надо создать специального usera с шелом nologin и им подключаться через ssh <br>&gt; Сам я еще не пробовал, но в описании sleepshell написано, что при <br>&gt; таком варианте тоннели отваливаются, т.е. мне не подходит.<br><br>Копать в сторону force command.<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#9 Fri, 29 Aug 2014 20:44:07 GMT &gt; Надо создать специального usera с шелом nologin и им подключаться через ssh <br><br>Сам я еще не пробовал, но в описании sleepshell написано, что при таком варианте тоннели отваливаются, т.е. мне не подходит.<br> <br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#8 Fri, 29 Aug 2014 19:32:05 GMT &gt;[оверквотинг удален]<br>&gt; Отключать нужно по логике со стороны sshd... Почитал справку - как сделать <br>&gt; не нашел. Есть только упоминание об этом в описании параметра конф.файла <br>&gt; AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...<br>&gt; AllowTcpForwarding <br>&gt; Определяет, будет ли разрешено перенаправление TCP. По умолчанию <br>&gt; ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока <br>&gt; пользователям не запрещен доступ к командной оболочке, так как они всегда <br>&gt; могут установить свои собственные перенаправления.<br>&gt; Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить <br>&gt; командную оболочку, а для каких-то разрешить...<br><br>Надо создать специального usera с шелом nologin и им подключаться через ssh<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#7 Fri, 29 Aug 2014 15:01:39 GMT &gt; Во.<br>&gt; http://www.mariovaldez.net/software/sleepshell/ <br><br>Спасибо! Похоже то, что именно нужно!<br><br>Так же вот здесь дается совет по созданию собственного шелла, который ничего не делает (аналогично sleepshell):<br>http://stackoverflow.com/questions/402615/how-to-restrict-ssh-users-to-a-predefined-set-of-commands-after-login<br><br>А здесь предлагают ограничить кол-во процессов у пользователя:<br>http://www.webhostingtalk.com/showthread.php?t=889009<br><br>open file vi /etc/security/limits.conf<br>add this entry for particular user and make shell enable<br>techno1 hard nproc 2<br><br>И может сразу кто подскажет - если надо тоннели по нескольким портам открыть, то какой синтаксис будет в командной строке?<br>Т.е. если один порт то<br>ssh -i id_rsa -L 127.0.0.1:999:192.168.10.10:999 -p 443 admin@95.172.95.95<br><br>а если несколько, или диапазон?<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#6 Fri, 29 Aug 2014 14:19:57 GMT &gt; На всякий случай опишу, зачем это нужно, может быть кто-нибудь подскажет другую <br>&gt; реализацию?<br><br>Во. <br>http://www.mariovaldez.net/software/sleepshell/<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5267.html#5 Fri, 29 Aug 2014 13:34:10 GMT &gt; мсье однако знает толк в извращениях, VPN религия не разрешает?<br><br>ну vpn вроде как полноценное сетевое подключение создает, с доступом ко всем ресурсам (например файловой системе). А тут это не нужно. Нужно только чтобы 1С считала ключ защиты и подключилась к БД...<br><br><br>