Здравствуйте!
Мне срочно необходимо создать учетную запись пользователю, чтоб он подключался к моему компьютеру(по ssh) и дальше к компьютеру в моей локалке(тоже по ssh) - т.к. сейчас инет через меня. Но проблема в том, что этот человек достаточно грамотный админ никсов, а давать доступ к моим файлам и системе в целом я ему не хочу вообще. Помогите сделать польлзователя, которому кроме команды "ssh user@server" НИЧЕГО доступно не будет.
ЗЫ: пока писал сообщение появилось подозрение что мне поможет просто прописать как командную оболочку в /etc/passwd вместо баша что-то типа /bin/userguest
а в нем:
/bin/ssh user@server
Так будет работать? И он с гарантией не получит доступа к моей системе?
Заранее спасибо за понимание!
Решено:"транзитный" пользователь
Модератор: SLEDopit
Re: Решено:"транзитный" пользователь
посавь в качестве шелла /bin/false (: это гораздо более хорошо.
а тот тип пусть через port forwarding лезет.
а тот тип пусть через port forwarding лезет.
слава роботам!
- esvaf
- Бывший модератор
- Сообщения: 844
- Статус: экс- LinuxForum.Ru team
- ОС: CentOS 5.3
- Контактная информация:
Re: Решено:"транзитный" пользователь
А как этот форвардинг сделать?
ЗЫ: вообще-то этот комп не только для этой цели используется - это мой основной и пока единственный(не считая моего сервака сановского)
ЗЫ: вообще-то этот комп не только для этой цели используется - это мой основной и пока единственный(не считая моего сервака сановского)
- esvaf
- Бывший модератор
- Сообщения: 844
- Статус: экс- LinuxForum.Ru team
- ОС: CentOS 5.3
- Контактная информация:
Re: Решено:"транзитный" пользователь
Добавлю, что тут не обязательно делать "100% правильно" т.к. если быть точным то это будет использоваться админом сервака с выделенкой для админивания его через мой модем в случае дауна хорошего инета(а завтра будет именно так). Так что мне срочно надо нормальное рабочее решение, пусть неправильное идеологически, главное чтоб ему доступ на сервак был и небыло ни к чему на моей системе
Re: Решено:"транзитный" пользователь
ну вот с /bin/false не будет ему доступа ни к чему на твоей машине. к другим машинам - будет.
ибо любой "достаточно грамотный админ" знает ответ: man ssh .
не думаю, что "достаточно грамотный админ никсов" будет задаваться подобным вопросом.А как этот форвардинг сделать?
ибо любой "достаточно грамотный админ" знает ответ: man ssh .
слава роботам!
- esvaf
- Бывший модератор
- Сообщения: 844
- Статус: экс- LinuxForum.Ru team
- ОС: CentOS 5.3
- Контактная информация:
Re: Решено:"транзитный" пользователь
а как будет доступ на другие реализован?
Просто я идею не очень понимаю
Просто я идею не очень понимаю
Re: Решено:"транзитный" пользователь
ну потом админ сделает у себя
ssh -N -L9999:внутренний_хост:22 user@твоя_тачка
и его порт 9999 пробросится через твою машину на 22 порт цели.
а потом он сделает ssh -p9999 user@localhost и окажется на ней.
ssh -N -L9999:внутренний_хост:22 user@твоя_тачка
и его порт 9999 пробросится через твою машину на 22 порт цели.
а потом он сделает ssh -p9999 user@localhost и окажется на ней.
слава роботам!
Re: Решено:"транзитный" пользователь
можно еще и так сделать, чтобы совсем уж не пускать на свой комп:
тогда грамотный админ должен будет делать:
и будет коннектится к 22-му порту внутреннего компа.
Код: Выделить всё
# iptables -t nat -A PREROUTING -i <ВНЕШНИЙ ИНТЕРФЕЙС> -p tcp --dport 12322 -j DNAT --to-destination <ВНУТРЕННИЙ ХОСТ>:22
Код: Выделить всё
ssh -p 12322 <user_на внутреннем_хосте>@<твой хост>
Re: Решено:"транзитный" пользователь
stannum писал(а): ↑01.02.2007 11:59можно еще и так сделать, чтобы совсем уж не пускать на свой комп:
тогда грамотный админ должен будет делать:Код: Выделить всё
# iptables -t nat -A PREROUTING -i <ВНЕШНИЙ ИНТЕРФЕЙС> -p tcp --dport 12322 -j DNAT --to-destination <ВНУТРЕННИЙ ХОСТ>:22
и будет коннектится к 22-му порту внутреннего компа.Код: Выделить всё
ssh -p 12322 <user_на внутреннем_хосте>@<твой хост>
Тоже самое хотел предложить, опередили.
Самое грамотное решение.
Даже пользователя создавать не надо, просто редирект и усе.
"Work PC" E6750/2GB/Asus P5B Deluxe/2x250GB/6600GT 128/Slackware Current (Win 2003 in VmWare)
New Work: E6400/3GB/Arch
Home Book: Asus W6k00A/Arch, Asus 701/Arch
New Work: E6400/3GB/Arch
Home Book: Asus W6k00A/Arch, Asus 701/Arch
- esvaf
- Бывший модератор
- Сообщения: 844
- Статус: экс- LinuxForum.Ru team
- ОС: CentOS 5.3
- Контактная информация:
Re: Решено:"транзитный" пользователь
огромное спасибо!
Пока сделал через пользователя с левым шелом, но седня переделаю так
Пока сделал через пользователя с левым шелом, но седня переделаю так