47 votes

Mocky avatar

Ssh tunneling seulement accès

Demandé el 20 de Août, 2009
Quand la question a-t-elle été
32852 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-il possible de configurer ssh (sous Linux) pour autoriser uniquement l'accès au tunneling ? C'est-à-dire que l'utilisateur peut configurer des tunnels mais ne peut pas obtenir un shell/accéder aux fichiers ?

Demandé el 20 de Août, 2009 par Mocky

Réponses

Trop de publicités?

65voto

coobird avatar
coobird Points 70356

Oui, il suffit d'utiliser /bin/false comme shell et d'instruire l'utilisateur de démarrer le processus de tunnel SSH sans exécuter de commande à distance (c'est-à-dire le drapeau -N pour OpenSSH) :

ssh -N -L 1234:cible-hôte:5678 hôte-ssh
Répondu el 20 de Août, 2009 par coobird (70356 Points )

13voto

cjc avatar
cjc Points 24265

Dans le fichier .ssh/authorized_keys de l'utilisateur, mettez quelque chose comme ce qui suit:

permitopen="192.168.1.10:3306",permitopen="10.0.0.16:80",no-pty ssh-rsa AAAAB3N...

Donc, en gros, les contrôles seraient devant la clé publique SSH de l'utilisateur séparés par un espace. Dans l'exemple, les connexions utilisant la clé publique spécifique seront autorisées à effectuer uniquement un transfert de port SSH vers le serveur MySQL de 192.168.1.10 et le serveur web de 10.0.0.16, et ne se verront pas attribuer de shell (no-pty). Vous vous renseignez spécifiquement sur l'option "no-pty", mais les autres peuvent également être utiles si l'utilisateur est censé se connecter uniquement à des serveurs spécifiques.

Consultez la page de manuel de sshd pour plus d'options pour le fichier authorized_keys.

Remarquez que l'expérience de l'utilisateur peut sembler un peu étrange : lorsqu'il se connecte en SSH, il semblera que la session est suspendue (car il n'obtient pas de pty). C'est normal. Si l'utilisateur a spécifié un transfert de port avec, par exemple, "-L3306:192.168.1.10:3306", le transfert de port sera toujours en vigueur.

En tout cas, essayez-le.

Répondu el 22 de Novembre, 2011 par cjc (24265 Points )

3voto

Tinkerbell avatar
Tinkerbell Points 47

Donnez à l'utilisateur un shell qui ne lui permet que de se déconnecter comme par exemple /bin/press_to_exit.sh

#!/bin/bash
read -n 1 -p "Appuyez sur une touche pour sortir" touche

De cette façon, il peut rester connecté aussi longtemps qu'il le souhaite, avec des tunnels actifs, mais sans exécuter de commandes. Ctrl-c ferme la connexion.

Répondu el 3 de Décembre, 2012 par Tinkerbell (47 Points )

2voto

IaCoder avatar
IaCoder Points 2449

Attribuez un shell qui n'autorise pas l'utilisateur à se connecter.

par exemple

#!/bin/sh
echo "Aucune connexion interactive disponible."
sleep 60
exit 0

les empêcherait d'obtenir un invite de commande shell, et leur donnerait un délai de 60 secondes - s'il n'y a pas de connexion active pendant 60 secondes, il se fermera et les déconnectera complètement (augmentez ce nombre selon les besoins).

Ils ne peuvent pas non plus exécuter de commande à distance, car ce shell ne le leur permettra pas.

Répondu el 20 de Août, 2009 par IaCoder (2449 Points )

2voto

Aviv Lo avatar
Aviv Lo Points 287 
##Créer un nouvel utilisateur

sudo useradd -m [user]

##Modifier /etc/ssh/sshd_config

Match User [user]
   #AllowTcpForwarding yes
   #X11Forwarding no
   #PermitTunnel no
   GatewayPorts yes ##Activer l'écoute sur 0.0.0.0
   AllowAgentForwarding no
   PermitOpen localhost:2888 ##spécifier le port
   ForceCommand echo 'Cet compte ne peut être utilisé que pour le tunneling'
Répondu el 20 de Avril, 2020 par Aviv Lo (287 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X