Запрет командной оболочки при подключении по SSH, s1edge, 29-Авг-14, 14:38 [смотреть все]Привет всем, подключаюсь с машины с Windows через интернет к серверу sshd на Ubuntu для работы через тоннель. Подключение проходит нормально. Для подключения использую параметры командной строки: ssh -i id_rsa -L 127.0.0.1:999:192.168.10.10:999 -p 443 admin@95.172.95.95 После авторизации образуется тоннель и выполняется вход в командную оболочку под пользователем admin.Вопрос: мне от этого подключения нужен только тоннель, командная оболочка не нужна. Как ее запретить для подключающегося пользователя? Либо может быть запретить выполнение любых команд в ней? Отключать нужно по логике со стороны sshd... Почитал справку - как сделать не нашел. Есть только упоминание об этом в описании параметра конф.файла AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"... AllowTcpForwarding Определяет, будет ли разрешено перенаправление TCP. По умолчанию ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока пользователям не запрещен доступ к командной оболочке, так как они всегда могут установить свои собственные перенаправления. Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить командную оболочку, а для каких-то разрешить...
|
- Запрет командной оболочки при подключении по SSH, de_mone, 16:39 , 29-Авг-14 (1)
http://www.cyberciti.biz/tips/linux-prevent-normal-users-fro...>[оверквотинг удален] > Отключать нужно по логике со стороны sshd... Почитал справку - как сделать > не нашел. Есть только упоминание об этом в описании параметра конф.файла > AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"... > AllowTcpForwarding > Определяет, будет ли разрешено перенаправление TCP. По умолчанию > ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока > пользователям не запрещен доступ к командной оболочке, так как они всегда > могут установить свои собственные перенаправления. > Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить > командную оболочку, а для каких-то разрешить...
- Запрет командной оболочки при подключении по SSH, s1edge, 16:45 , 29-Авг-14 (2)
На всякий случай опишу, зачем это нужно, может быть кто-нибудь подскажет другую реализацию? Нужно подключить 1С на удаленном ПК к ключу 1С и файловой базой 1С, которые находятся за прокси-севером (Ubuntu) в локальной сети. Т.е. я хотел сделать ssh-тоннели для нужных портов от удаленного ПК к ПК с ключом 1С и базой 1С и подключать по ним сетевую 1С.
- Запрет командной оболочки при подключении по SSH, Психиатр, 17:16 , 29-Авг-14 (4)
> На всякий случай опишу, зачем это нужно, может быть кто-нибудь подскажет другую > реализацию? > Нужно подключить 1С на удаленном ПК к ключу 1С и файловой базой > 1С, которые находятся за прокси-севером (Ubuntu) в локальной сети. > Т.е. я хотел сделать ssh-тоннели для нужных портов от удаленного ПК к > ПК с ключом 1С и базой 1С и подключать по ним > сетевую 1С.мсье однако знает толк в извращениях, VPN религия не разрешает?
- Запрет командной оболочки при подключении по SSH, s1edge, 17:34 , 29-Авг-14 (5)
> мсье однако знает толк в извращениях, VPN религия не разрешает?ну vpn вроде как полноценное сетевое подключение создает, с доступом ко всем ресурсам (например файловой системе). А тут это не нужно. Нужно только чтобы 1С считала ключ защиты и подключилась к БД...
- Запрет командной оболочки при подключении по SSH, PavelR, 14:21 , 30-Авг-14 (11)
>> мсье однако знает толк в извращениях, VPN религия не разрешает? > ну vpn вроде как полноценное сетевое подключение создает, с доступом ко всем > ресурсам (например файловой системе). А тут это не нужно. Нужно только > чтобы 1С считала ключ защиты и подключилась к БД...Есть такая штука - называется файрволл.
- Запрет командной оболочки при подключении по SSH, Филимон Пятничный, 18:19 , 29-Авг-14 (6)
- Запрет командной оболочки при подключении по SSH, Genacide, 23:32 , 29-Авг-14 (8)
>[оверквотинг удален] > Отключать нужно по логике со стороны sshd... Почитал справку - как сделать > не нашел. Есть только упоминание об этом в описании параметра конф.файла > AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"... > AllowTcpForwarding > Определяет, будет ли разрешено перенаправление TCP. По умолчанию > ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока > пользователям не запрещен доступ к командной оболочке, так как они всегда > могут установить свои собственные перенаправления. > Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить > командную оболочку, а для каких-то разрешить...Надо создать специального usera с шелом nologin и им подключаться через ssh
- Запрет командной оболочки при подключении по SSH, s1edge, 00:44 , 30-Авг-14 (9)
> Надо создать специального usera с шелом nologin и им подключаться через ssh Сам я еще не пробовал, но в описании sleepshell написано, что при таком варианте тоннели отваливаются, т.е. мне не подходит.
- Запрет командной оболочки при подключении по SSH, Аноним, 11:52 , 30-Авг-14 (10)
>> Надо создать специального usera с шелом nologin и им подключаться через ssh > Сам я еще не пробовал, но в описании sleepshell написано, что при > таком варианте тоннели отваливаются, т.е. мне не подходит.Копать в сторону force command.
|