ограничить окружение ssh сессии

Bedazzled · Сообщение **Bedazzled** » 01.09.2017 04:44

привет

есть сервер linux с белым ip адресом . на нём запущен ssh server . Он используется только для ssh туннелей.
Подскажите как мне ограничить одного пользователя в ssh сессии так чтобы у него работали только ssh туннели и больше ничего.(под ничего подразумевается чтобы даже mc запустить в сессии нельзя было

)

lone_wolf · Сообщение **lone_wolf** » 01.09.2017 09:03

Bedazzled писал(а): ↑
01.09.2017 04:44
привет

есть сервер linux с белым ip адресом . на нём запущен ssh server . Он используется только для ssh туннелей.
Подскажите как мне ограничить одного пользователя в ssh сессии так чтобы у него работали только ssh туннели и больше ничего.(под ничего подразумевается чтобы даже mc запустить в сессии нельзя было )

поставь ему шел /sbin/nologin вместо /bin/bash это делается в файле /etc/passwd
или вот такой командой:

Код: Выделить всё

usermod -s /sbin/nologin username

или

Код: Выделить всё

chsh -s /sbin/nologin username

Сообщение **Bizdelnick** » 01.09.2017 09:22

lone_wolf писал(а): ↑
01.09.2017 09:03
это делается в файле /etc/passwd

Во-первых не надо руками лезть в /etc/passwd, надо использовать chsh. Во-вторых, сдаётся мне, что в результате и туннель поднять не получится.

lone_wolf · Сообщение **lone_wolf** » 01.09.2017 10:17

Bizdelnick писал(а): ↑
01.09.2017 09:22
lone_wolf писал(а): ↑
01.09.2017 09:03
это делается в файле /etc/passwd

Во-первых не надо руками лезть в /etc/passwd, надо использовать chsh. Во-вторых, сдаётся мне, что в результате и туннель поднять не получится.

Насчет руками лезть согласен.
И да туннель поднимется я так понимал уже в своё время.

Bedazzled · Сообщение **Bedazzled** » 01.09.2017 10:38

да, если делать

Код: Выделить всё

chsh -s /sbin/nologin username

туннель не подымается

Institut · Сообщение **Institut** » 01.09.2017 10:55

так чтобы у него работали только ssh туннели и больше ничего

А если создать пользователя без домашнего католага? (Как вариант)

lone_wolf · Сообщение **lone_wolf** » 01.09.2017 11:16

Я ошибся признаю, я такое делал с пробросом портов для почты и rdp соединения. Но тут ведь чистый тунель. В общем попробуйте следующее:
Меняем обратно на ноhмальный шел:
chsh -s /bin/bash username
Добавьте в /etc/ssh/sshd_config
ForceCommand echo 'This account can only be used for tunneling'; cat
Затем перезагрузите service sshd restart или systemctl restart sshd

Параметр ForceCommand заставляет пользователя автоматически выполнять команду «echo 'This account can only be used for tunneling'; cat» сразу после подключения. Это не даст пользователю использовать консоль нормальным образом, т.к., если убить процесс cat нажатием Ctrl+C, SSH-соединение будет разорвано. (Источник)

З.ы. Эх но это костыль. Может кто знает более правильный метод?

Сообщение **Bizdelnick** » 01.09.2017 12:19

lone_wolf писал(а): ↑
01.09.2017 11:16
Добавьте в /etc/ssh/sshd_config

Вот туда точно не надо ничего добавлять. Хотите, чтобы ТС лишился удалённого доступа вообще?
Как вариант, можно попробовать использовать в качестве шелла rssh. Хотя я и в этом случае не уверен, что удастся поднять туннель.

lone_wolf · Сообщение **lone_wolf** » 01.09.2017 15:43

Bizdelnick писал(а): ↑
01.09.2017 12:19
lone_wolf писал(а): ↑
01.09.2017 11:16
Добавьте в /etc/ssh/sshd_config

Вот туда точно не надо ничего добавлять. Хотите, чтобы ТС лишился удалённого доступа вообще?
Как вариант, можно попробовать использовать в качестве шелла rssh. Хотя я и в этом случае не уверен, что удастся поднять туннель.

Нет не хочу. И по сему пожалуй само устранюсь ибо получается я даю только вредные советы.
А по поводу rssh у неё заявлена поддержка scp, sftp, rsync, cvs, rdist

Сообщение **Bizdelnick** » 01.09.2017 15:52

Bizdelnick писал(а): ↑
01.09.2017 09:22
сдаётся мне, что в результате и туннель поднять не получится.

Впрочем, должно получиться, если использовать опцию -N.

lone_wolf · Сообщение **lone_wolf** » 01.09.2017 16:00

Эм по поводу редактирования /etc/sshd_config я выложил не полную настройку:
Она дожна выглядеть так:

Код: Выделить всё

Match User name_user_ssh_tunnel
        X11Forwarding no
        AllowTcpForwarding yes
        AllowAgentForwarding no
        GatewayPorts no
        ForceCommand echo 'This account can only be used for tunneling'; cat

Источник тыц

вот тоже самое только ForceCommand /sbin/nologin с лора

Код: Выделить всё

Match User name_user_ssh_tunnel
        X11Forwarding yes
        AllowTcpForwarding yes
        ForceCommand /sbin/nologin

Bedazzled · Сообщение **Bedazzled** » 04.09.2017 08:19

Спасибо через файл /etc/sshd_config получилось.

lone_wolf · Сообщение **lone_wolf** » 04.09.2017 21:35

Bedazzled писал(а): ↑
04.09.2017 08:19
Спасибо через файл /etc/sshd_config получилось.

какой из 2-х вариантов?

Bedazzled · Сообщение **Bedazzled** » 06.09.2017 10:49

с сайта https://voxlink.ru/kb/linux/ispolzovanie-ss...lej-s-open-ssh/

Для ввода описанных ограничений нужно добавить в конец файла настроек OpenSSH-сервера (/etc/ssh/sshd_config) указанные ниже строки и перезагрузить OpenSSH-сервер (service sshd restart)

Код: Выделить всё

Match User ssh_tunnel
X11Forwarding no
AllowTcpForwarding yes
AllowAgentForwarding no
GatewayPorts no
ForceCommand echo 'This account can only be used for tunneling'; cat

второй вариант не проверял

unixforum.org

ограничить окружение ssh сессии

ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии

Re: ограничить окружение ssh сессии