/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
kun mulighed for SSH tunnel?
Fra : Kasper Lund


Dato : 21-08-09 09:16

Hej.

Jeg har en enkelt bruger der bruger en webapplikation på mit system.

Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
genvej på skrivebordet der åbner en tunnel og samtadig starter hans
webbrowser op og logger ind på den rigtige side.

Problemet er at han nu er logget på mit system og i realiteten kan
browse rundt og måske lave rod i noget han ikke skal.

Jeg ville derfor gerne have muligheden for at kunne give ham en shell
der ikke giver ham mulighed for noget som helst andet end at oprette en
tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
shelle til dette?

Mvh.

Kasper

 
 
Allan Willems Joerge~ (21-08-2009)
Kommentar
Fra : Allan Willems Joerge~


Dato : 21-08-09 12:19

Kasper Lund <fake@usenet.dk> wrote:

> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
> der ikke giver ham mulighed for noget som helst andet end at oprette en
> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
> shelle til dette?

Så vidt jeg ved er der ikke en "lige-ud-af-boksen" løsning; men hvis du
Googler efter "ssh tunnel only shell" får du en del måder at
implementere det på.

--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk

"Does anybody here remember Vera Lynn?" -Floyd

Kasper Lund (21-08-2009)
Kommentar
Fra : Kasper Lund


Dato : 21-08-09 14:09

Allan Willems Joergensen wrote:
> Kasper Lund <fake@usenet.dk> wrote:
>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette en
>> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
>> shelle til dette?
>
> Så vidt jeg ved er der ikke en "lige-ud-af-boksen" løsning; men hvis du
> Googler efter "ssh tunnel only shell" får du en del måder at
> implementere det på.
>

Ja, det har jeg set. Jeg havde håbet på der var en nem standard løsning.

Thorbjørn Ravn Ander~ (21-08-2009)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 21-08-09 12:34

Kasper Lund skrev den 21-08-2009 10:15:
> Hej.
>
> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>
> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
> webbrowser op og logger ind på den rigtige side.
>
> Problemet er at han nu er logget på mit system og i realiteten kan
> browse rundt og måske lave rod i noget han ikke skal.
>
> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
> der ikke giver ham mulighed for noget som helst andet end at oprette en
> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
> shelle til dette?

/bin/false er vist standardtricket til dét.

Kasper Lund (21-08-2009)
Kommentar
Fra : Kasper Lund


Dato : 21-08-09 14:08

Thorbjørn Ravn Andersen wrote:
> Kasper Lund skrev den 21-08-2009 10:15:
>> Hej.
>>
>> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>>
>> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
>> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
>> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
>> webbrowser op og logger ind på den rigtige side.
>>
>> Problemet er at han nu er logget på mit system og i realiteten kan
>> browse rundt og måske lave rod i noget han ikke skal.
>>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette
>> en tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en
>> standard shelle til dette?
>
> /bin/false er vist standardtricket til dét.

Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
brugeren skal stadig kunne oprette en forbindelse.

Niels Baggesen (21-08-2009)
Kommentar
Fra : Niels Baggesen


Dato : 21-08-09 16:33

Kasper Lund <fake@usenet.dk> wrote:
> Thorbjørn Ravn Andersen wrote:
> > /bin/false er vist standardtricket til dét.

> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
> brugeren skal stadig kunne oprette en forbindelse.

/bin/false vil smide forbindelsen med det samme, så der når din bruger
ikke at åbne tunnellen. Men man kunne måske lave en "shell" som bare
kaldte "sleep 30" så han kunne nå at oprette tunnellen, så vil SSH
forbindelsen holde sig åben indtil tunnellen lukkes.

/Niels

--
Niels Baggesen -- @home -- Århus -- Denmark -- niels@baggesen.net
The purpose of computing is insight, not numbers -- R W Hamming

Thorbjørn Ravn Ander~ (21-08-2009)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 21-08-09 17:56

Kasper Lund skrev:

> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
> brugeren skal stadig kunne oprette en forbindelse.

Du kan godt etablere en tunnel uden at logge ind. Der er et flag til
ssh til formålet.
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"

Kasper Nordal Lund (21-08-2009)
Kommentar
Fra : Kasper Nordal Lund


Dato : 21-08-09 20:12

Thorbjørn Ravn Andersen wrote:
> Kasper Lund skrev:
>
>> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
>> brugeren skal stadig kunne oprette en forbindelse.
>
> Du kan godt etablere en tunnel uden at logge ind. Der er et flag til
> ssh til formålet.

Et flag, mener du fra klienten? Jeg vil gerne have det lavet på server side.

Hvis det er på server siden kan du så løfte sløret for hvordan det skal
konfigureres for en enkelt bruger?

Mvh.

Kasper

Kasper Lund (22-08-2009)
Kommentar
Fra : Kasper Lund


Dato : 22-08-09 20:04

Thorbjørn Ravn Andersen skrev:
> Kasper Lund skrev den 21-08-2009 10:15:
>> Hej.
>>
>> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>>
>> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
>> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
>> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
>> webbrowser op og logger ind på den rigtige side.
>>
>> Problemet er at han nu er logget på mit system og i realiteten kan
>> browse rundt og måske lave rod i noget han ikke skal.
>>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette
>> en tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en
>> standard shelle til dette?
>
> /bin/false er vist standardtricket til dét.

Ja, det var løsningen, jeg skulle bare have afprøvet med det samme.
Tunnelier understøtter pr. default denne option.

Tak for svaret.

Mvh.

Kasper

Jacob Gaarde (21-08-2009)
Kommentar
Fra : Jacob Gaarde


Dato : 21-08-09 19:01

On Fri, 21 Aug 2009 18:56:22 +0200
Thorbjørn Ravn Andersen <nospam0002@gmail.com> wrote:


> Du kan godt etablere en tunnel uden at logge ind.

Du mener forhåbentlig "uden at få en interaktiv shell"

Ellers kan gud-og-hvermand jo bruge en ssh-server som springbrædt
netværksmæssigt.



--
--
//Jacob Gaarde
//Dont reply to my (apparent) e-mail address. Instead Use
//e-mail : jgaarde <at> gmail <dot> com
<http://www.linkedin.com/in/jacobgaarde>


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste