unixforum.org

Здравствуйте!
Мне срочно необходимо создать учетную запись пользователю, чтоб он подключался к моему компьютеру(по ssh) и дальше к компьютеру в моей локалке(тоже по ssh) - т.к. сейчас инет через меня. Но проблема в том, что этот человек достаточно грамотный админ никсов, а давать доступ к моим файлам и системе в целом я ему не хочу вообще. Помогите сделать польлзователя, которому кроме команды "ssh user@server" НИЧЕГО доступно не будет.
ЗЫ: пока писал сообщение появилось подозрение что мне поможет просто прописать как командную оболочку в /etc/passwd вместо баша что-то типа /bin/userguest
а в нем:
/bin/ssh user@server
Так будет работать? И он с гарантией не получит доступа к моей системе?
Заранее спасибо за понимание!

посавь в качестве шелла /bin/false (: это гораздо более хорошо.
а тот тип пусть через port forwarding лезет.

А как этот форвардинг сделать?
ЗЫ: вообще-то этот комп не только для этой цели используется - это мой основной и пока единственный(не считая моего сервака сановского)

Добавлю, что тут не обязательно делать "100% правильно" т.к. если быть точным то это будет использоваться админом сервака с выделенкой для админивания его через мой модем в случае дауна хорошего инета(а завтра будет именно так). Так что мне срочно надо нормальное рабочее решение, пусть неправильное идеологически, главное чтоб ему доступ на сервак был и небыло ни к чему на моей системе

ну вот с /bin/false не будет ему доступа ни к чему на твоей машине. к другим машинам - будет.

А как этот форвардинг сделать?

не думаю, что "достаточно грамотный админ никсов" будет задаваться подобным вопросом.
ибо любой "достаточно грамотный админ" знает ответ: man ssh .

а как будет доступ на другие реализован?

Просто я идею не очень понимаю

ну потом админ сделает у себя
ssh -N -L9999:внутренний_хост:22 user@твоя_тачка
и его порт 9999 пробросится через твою машину на 22 порт цели.
а потом он сделает ssh -p9999 user@localhost и окажется на ней.

можно еще и так сделать, чтобы совсем уж не пускать на свой комп:
тогда грамотный админ должен будет делать:
и будет коннектится к 22-му порту внутреннего компа.

stannum писал(а): ↑

01.02.2007 11:59

можно еще и так сделать, чтобы совсем уж не пускать на свой комп:

Код: Выделить всё

# iptables -t nat -A PREROUTING -i <ВНЕШНИЙ ИНТЕРФЕЙС> -p tcp --dport 12322 -j DNAT --to-destination <ВНУТРЕННИЙ ХОСТ>:22

тогда грамотный админ должен будет делать:

Код: Выделить всё

ssh -p 12322 <user_на внутреннем_хосте>@<твой хост>

и будет коннектится к 22-му порту внутреннего компа.

Тоже самое хотел предложить, опередили.
Самое грамотное решение.
Даже пользователя создавать не надо, просто редирект и усе.

огромное спасибо!
Пока сделал через пользователя с левым шелом, но седня переделаю так