Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: meero 04 Prosince 2009, 13:57:37

Název: 2ha instance ssh, pod chroot, s minimalnimi pravy [vyřešeno]
Přispěvatel: meero 04 Prosince 2009, 13:57:37

Jak na to?

mam na ubuntu server na portu 22 prihlaseni pomoci klice.
chtel bych spustit 2 instanti ssh deamona na portu treba 222, v chroot prostredi,  
prihlaseni pomoci jmena a hesla, tak aby  klient mel v shellu co nejmensi prava, idealne zadne.
Jde mi jenom o vytvoreni spetneho tunelu, ze serveru na klient.

dik.

Název: Re: 2ha instance ssh, pod chroot, s minimalnimi pravy
Přispěvatel: Armus69 05 Prosince 2009, 08:55:37

urči danému uživateli omezený shell, třeba rbash, A a ideální  "žádná práva" je žádný shell. Hodil by se lepší nástin úmyslu co chceš tvořit.

Název: Re: 2ha instance ssh, pod chroot, s minimalnimi pravy
Přispěvatel: Thomas123 06 Prosince 2009, 11:09:51

Já bych to nehrotil na jiném portu. Normálně bych pomocí Match group nastavil, aby uživatel byl v chrootu, přihlášení pomocí hesla a je to. Uživatelovi dát nějaký odrbaný shell, dát ho do skupiny, kterou nastavíš v Match group a je to.

Název: Re: 2ha instance ssh, pod chroot, s minimalnimi pravy
Přispěvatel: meero 07 Prosince 2009, 12:56:25

Ok, jde o vytvoreni 2he instance SSH na jinem portu nez 22  protoze:

pres 22 se prihlasuji ja pomoci klicu (prihlaseni jmenem je zakazano), kvuli administraci.

na druhem portu treba 222, se bude prihlasovat(jmeno&heslo) putty klient z ruznych win masin, jde o vytvoreni spetneho tunelu ze serveru na klient (kvuli vnc, rdp), proto nechci aby ti co se pripoji meli nejake prava na serveru. A z hlediska bezpecnosti je dobre aby druhe ssh bezelo jako dalsi deamon.

dik za tip

Název: Re: 2ha instance ssh, pod chroot, s minimalnimi pravy
Přispěvatel: Thomas123 07 Prosince 2009, 15:38:10

Já jen píšu, že je mnohem jednodušší to udělat na jedné instanci při zachování toho, co potřebuješ.

V konfigu SSH serveru nastav, aby se nedalo přihlásit na účet root, aby se nedalo přihlásit pomocí hesla, aby se nedalo přihlásit pomocí klíče. Poté si udělej v tom stejném konfiguračním souboru "Match" na skupinu nebo uživatele (podle toho, jestli potřebuješ v této skupině více administračních uživatelů - 1 = uživatel, více než 1 = skupina). Všechny administrující uživatele přiřaď mimojiné také ke skupině, kterou uvedeš v tomto matchi. V tomto matchu nastav přihlašování pomocí klíčů, apod., co potřebuješ. Poté vytvoř druhý "Match" na skupinu, která bude sloužit pro zpětný tunel. Zde nastav přihlašování pomocí hesla, chrootdir, případně další věci. Uživatelům ve skupině pro zpětný tunel nastav nějaký bash, který uznáš za vhodné, který je dostatečně omezený/otevřený. Vytvářet zde nějaké další instance SSH, je dle mého zbytečné, takto to jde mnohem jednodušeji.

Název: Re: 2ha instance ssh, pod chroot, s minimalnimi pravy
Přispěvatel: meero 09 Prosince 2009, 08:26:59

Dik za radu, pomoci match to bylo prekvapive jednoduche:-)