znaczacy > comp.os.* > comp.os.linux

BH (10.09.2003, 12:43)
Witam
Jak pozostawic dostep do serwera przez ssh tylko
dla jednego okreslonego usera ?

POzdrawiam

Bogdan
Pawej (10.09.2003, 13:29)
w etc/passwd wpisac zamiast /bin/bash
/bin/false i zostawic tylko bash jednemu userowi

Uzytkownik "BH" <bh> napisal w wiadomosci
news:ad21
[..]
Rafał 'bufi' Lorbiecki (10.09.2003, 13:48)
_Osobnik_ *Pawej* _nastukał_ :

> w etc/passwd wpisac zamiast /bin/bash
> /bin/false i zostawic tylko bash jednemu userowi


A jak ma w sytemie 1000 albo i więcej użyszkodników??

ps. pisz pod postem.

_Pozdrawiam_
_bufi_
Piotr Gasidlo (10.09.2003, 14:02)
In article <slrn.pl.blu4ag.c0q.bufi>, Rafał 'bufi' Lorbiecki wrote:
> _Osobnik_ *Pawej* _nastukał_ :
>> w etc/passwd wpisac zamiast /bin/bash
>> /bin/false i zostawic tylko bash jednemu userowi

> A jak ma w sytemie 1000 albo i więcej użyszkodników??


W czym problem? awk/sed/perl przestały działać?
Zawsze można też skonfigurować hosts.allow/hosts.deny.
Rafał 'bufi' Lorbiecki (10.09.2003, 14:03)
_Osobnik_ *Piotr Gasidlo* _nastukał_ :

>>> w etc/passwd wpisac zamiast /bin/bash
>>> /bin/false i zostawic tylko bash jednemu userowi

>> A jak ma w sytemie 1000 albo i więcej użyszkodników??


> W czym problem? awk/sed/perl przestały działać?


Można i tak...
Jest jakiś prostszy sposób???

> Zawsze można też skonfigurować hosts.allow/hosts.deny.


Ale to jak sama nazwa wskazuje, odcina dostęp po hostach
a nie po userach...

_Pozdrawiam_
_bufi_
Rafał 'bufi' Lorbiecki (10.09.2003, 14:07)
>> Zawsze można też skonfigurować hosts.allow/hosts.deny.

> Ale to jak sama nazwa wskazuje, odcina dostęp po hostach
> a nie po userach...


A nie! Jednak można! Nie doczytałem :/

_Pozdrawiam_
_bufi_
Jacek Krzyzanowski (10.09.2003, 14:22)
Rafał 'bufi' Lorbiecki <bufi> napisali:
> Można i tak...
> Jest jakiś prostszy sposób???


Prosty i bezpieczny to DSA, authorized_keys w ~
i PasswordAuthentication no w sshd_config.
Rafał 'bufi' Lorbiecki (10.09.2003, 14:37)
_Osobnik_ *Jacek Krzyzanowski* _nastukał_ :

>> Można i tak...
>> Jest jakiś prostszy sposób???


> Prosty i bezpieczny to DSA, authorized_keys w ~
> i PasswordAuthentication no w sshd_config.


O!! I to jest właściwa koncepcja ;>

Można również blokować w /etc/security/blacklist.sshd
ale to jest na podobnej zasadzie co zabieranie shella
w /etc/passwd

_Pozdrawiam_
_bufi_
Jacek Krzyzanowski (10.09.2003, 14:50)
BH <bh> napisali:
>> Prosty i bezpieczny to DSA, authorized_keys w ~
>> i PasswordAuthentication no w sshd_config.

> Blagam Cie - jasniej , dla laika :-)


Chodzi o wygenerowanie pary kluczy (ssh-keygen).
Na serwerze, do ktorego chcesz miec dostep, w katalogu domowym umieszczasz
klucze publiczne osob, ktore maja miec dostep do danego konta
(w pliku $HOME/.ssh/authorized_keys - klucz miesci sie w jednej linii)
Wtedy zaloguje sie jedynie uzytkownik, ktory u siebie ma klucz prywatny,
a jego klucz publiczny znajduje sie w ww pliku. No i zna tajne haslo :)
Domyslnym zachowaniem ssh jest sprawdzenie czy istnieje klucz prywatny.
Jak nie ma, to probuje standardowym login/pass. sshd na to pozwala, stad
potrzebne ustawienie PasswordAuthentication no, zeby nie pozwalal.
Metoda jest naprawde wygodna i bezpieczna (cos dla paranoikow:))
szczegolnie, jesli np. na domowym kompie bedziesz uzywal ssh-agent.
Musisz cos wygooglac na temat ssh, mana poczytac, bo to jest za duzo
pisania na grupie...
Japicar - News (10.09.2003, 15:16)
Uzytkownik "BH" <bh> napisal w wiadomosci
news:ad21
> Witam
> Jak pozostawic dostep do serwera przez ssh tylko
> dla jednego okreslonego usera ?


Ja to zrobilem tak ze zainstalowalem sshd2 i tam jest w confie taka opcja
A stare dobre sshd poszlo do kosza.

Jap
Bartosz 'briest' Stepien (10.09.2003, 21:32)
Mistrz BH rzekł:
> Kuba wrote:
> A jezeli tylko jeden klient ma miec dostep ?
> Nie da sie:
> AllowUser user1


pam_listfile?
BH (11.09.2003, 17:56)
Japicar - News wrote:
> Ja to zrobilem tak ze zainstalowalem sshd2 i tam jest w confie taka
> opcja A stare dobre sshd poszlo do kosza. Rozumiem, ze dziala to ze starymi klientami ssh ?


Bogdan
BH (19.09.2003, 12:54)
Bartosz 'briest' Stepien wrote:
> dobrze pójdzie, zdążysz to zatrzymać. Głupią literówką możesz się
> sam pozbawić dostępu do maszyny -- to w końcu grzebanie właśnie w
> tym mechanizmie...
> *) pisane 'z niczego, czyli z głowy', więc nie gwarantuję niczego,
> bla, bla... Serdecznie Ci dziekuje :-)


Bogdan
Podobne wątki