URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83897
[ Назад ]

Исходное сообщение
"запретить SSH одному из пользователей"

Отправлено Wave_is , 31-Янв-09 12:44 
Подскажите, Как запретить SSH доступ учетке TEST на сервере?
нужно чтобы пользователь мог подключаться только по FTP
без телнета и SSH

Содержание

Сообщения в этом обсуждении
"запретить SSH одному из пользователей"
Отправлено Аноним , 31-Янв-09 13:08 
>Подскажите, Как запретить SSH доступ учетке TEST на сервере?
>нужно чтобы пользователь мог подключаться только по FTP
>без телнета и SSH

в /etc/ssh/sshd_config
прописывайте тех кому можно входить на сервер посредством ssh через директиву AllowUsers
кто тан не указан доступа к серверу по ssh иметь не будут


"запретить SSH одному из пользователей"
Отправлено scrooge , 31-Янв-09 21:38 
>>Подскажите, Как запретить SSH доступ учетке TEST на сервере?
>>нужно чтобы пользователь мог подключаться только по FTP
>>без телнета и SSH
>
>в /etc/ssh/sshd_config
>прописывайте тех кому можно входить на сервер посредством ssh через директиву AllowUsers
>
>кто тан не указан доступа к серверу по ssh иметь не будут
>

А DenyUsers в том же самом sshd_config уже испробован?


"запретить SSH одному из пользователей"
Отправлено Keeper , 31-Янв-09 15:25 
Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.

"запретить SSH одному из пользователей"
Отправлено Wave_is , 31-Янв-09 15:52 
>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.

тогда ftp не работает



"запретить SSH одному из пользователей"
Отправлено Hammer , 31-Янв-09 16:05 
>>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.
>
>тогда ftp не работает

Что за ftp?


"запретить SSH одному из пользователей"
Отправлено Wave_is , 02-Фев-09 10:30 
>>>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.
>>
>>тогда ftp не работает
>
>Что за ftp?

родной ФТП, без доп настроек


"запретить SSH одному из пользователей"
Отправлено Pahanivo , 31-Янв-09 16:08 
>>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.
>
>тогда ftp не работает

а виртуализировать ftp не пробовал? ПОМОГАЕТ!
системных пользователей использовать для авторизации всех подряд сервисов это идиотизм


"запретить SSH одному из пользователей"
Отправлено Keeper , 31-Янв-09 17:41 
>а виртуализировать ftp не пробовал? ПОМОГАЕТ!
>системных пользователей использовать для авторизации всех подряд сервисов это идиотизм

Фанатик виртуализации detected.


"запретить SSH одному из пользователей"
Отправлено Pahanivo , 31-Янв-09 22:01 
>>а виртуализировать ftp не пробовал? ПОМОГАЕТ!
>>системных пользователей использовать для авторизации всех подряд сервисов это идиотизм
>
>Фанатик виртуализации detected.

у тебя тоже видимо один пас на все сервисы


"запретить SSH одному из пользователей"
Отправлено Keeper , 31-Янв-09 23:38 
>у тебя тоже видимо один пас на все сервисы

В чем сакральный смысл назначать одному и тому же пользователю разные пароли на разные сервисы? Изменится ли от этого область доступа? Одни и те же файлы можно изменять как по FTP, так и по SSH. В моем случае (веб-хостинг) файлы, загруженные по FTP, можно запустить на исполнение и без SSH. Вывод - FTP и SSH эквивалентны. Два разных пароля для них - лишняя сущность. Возражения?


"запретить SSH одному из пользователей"
Отправлено Pahanivo , 31-Янв-09 23:44 
>>у тебя тоже видимо один пас на все сервисы
>
>В чем сакральный смысл назначать одному и тому же пользователю разные пароли
>на разные сервисы? Изменится ли от этого область доступа? Одни и
>те же файлы можно изменять как по FTP, так и по
>SSH. В моем случае (веб-хостинг) файлы, загруженные по FTP, можно запустить
>на исполнение и без SSH. Вывод - FTP и SSH эквивалентны.
>Два разных пароля для них - лишняя сущность. Возражения?

те фтп еще и не чрутится? ))
да флаг вам в руки )) стучите дальше в грудь своем сокральность ))
я всетаки больше параноик чем разъебай и вы вы видимо никогда не слышали о вирусне выгребающей пароли из фтп клиентов, любезно сохраненные ламерастами-пользователями
остановимся хотябы на этом


"запретить SSH одному из пользователей"
Отправлено Keeper , 31-Янв-09 23:52 
> вы видимо никогда не
>слышали о вирусне выгребающей пароли из фтп клиентов, любезно сохраненные ламерастами-пользователями

Утечка паролей со стороны пользователей - не моя зона ответственности.
"Проблемы индейцев шерифа не интересуют".


"запретить SSH одному из пользователей"
Отправлено Pahanivo , 01-Фев-09 21:51 
>> вы видимо никогда не
>>слышали о вирусне выгребающей пароли из фтп клиентов, любезно сохраненные ламерастами-пользователями
>
>Утечка паролей со стороны пользователей - не моя зона ответственности.
>"Проблемы индейцев шерифа не интересуют".

подход просто супер


"запретить SSH одному из пользователей"
Отправлено Keeper , 02-Фев-09 09:53 
>>Утечка паролей со стороны пользователей - не моя зона ответственности.
>>"Проблемы индейцев шерифа не интересуют".
>
>подход просто супер

К сожалению, всех проблем пользователей мне всё равно не решить.

В порядке паранойи я вводил, например, обязательный FTPS с проверками клиентских сертификатов. Для тех пользователей, которые осознавали необходимость таких мер и были готовы терпеть связанные с этим неудобства. Однако, от утечки секретов со стороны пользователей это всё равно не спасает. Если раньше надо было спереть только логин и пароль, то теперь ещё надо спереть сертификат и ключ. Утечка всё равно возможна.


"запретить SSH одному из пользователей"
Отправлено sda , 02-Фев-09 11:32 
>>> вы видимо никогда не
>>>слышали о вирусне выгребающей пароли из фтп клиентов, любезно сохраненные ламерастами-пользователями
>
>подход просто супер

А за что, извините, платят тому системному администратору, который должен следить за антивирусами в этой конторе, у которой украли фтп-пароль? Лично я не готов вешать проблемы других, которым им деньги платят, на себя. А если системный администратор не квалифицированный специалист, то пусть наймут других. Вас так послушать - можно за всех их проблемы решать.


"запретить SSH одному из пользователей"
Отправлено angra , 31-Янв-09 16:31 
Это зависит от типа и настроек ftp сервера, можно вообще сделать чтобы только таких и пускало :)

"запретить SSH одному из пользователей"
Отправлено Keeper , 31-Янв-09 17:39 
Возможно, ftp-сервер проверяет, перечислен ли назначенный шелл в /etc/shells. В таком случае, можно отключить такую проверку в ftp-сервере или дописать нужные шеллы в /etc/shells.

"запретить SSH одному из пользователей"
Отправлено Vaso Petrovich , 31-Янв-09 16:57 
>>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.
>
>тогда ftp не работает

в смысле не работает? как выглядит что он не работает

ЗЫ: телепаты как обычно в отпуске, так что либо выдаешь инфу либо в лес путешествуешь...


"запретить SSH одному из пользователей"
Отправлено Wave_is , 02-Фев-09 10:33 
>>>Также можно этому пользователю в качестве шелла назначить /bin/false или /sbin/nologin.
>>
>>тогда ftp не работает
>
>в смысле не работает? как выглядит что он не работает
>
>ЗЫ: телепаты как обычно в отпуске, так что либо выдаешь инфу либо
>в лес путешествуешь...

фтп клиент выдает надпись что доступ запрещен, а опера просто подвисает на белом окне


"запретить SSH одному из пользователей"
Отправлено sda , 02-Фев-09 11:34 
>[оверквотинг удален]
>>>
>>>тогда ftp не работает
>>
>>в смысле не работает? как выглядит что он не работает
>>
>>ЗЫ: телепаты как обычно в отпуске, так что либо выдаешь инфу либо
>>в лес путешествуешь...
>
>фтп клиент выдает надпись что доступ запрещен, а опера просто подвисает на
>белом окне

поставь какой нить легкий vsftpd - он это умеет. Без шела пускать по ftp


"запретить SSH одному из пользователей"
Отправлено AdVv , 02-Фев-09 13:05 
>[оверквотинг удален]
>>>в смысле не работает? как выглядит что он не работает
>>>
>>>ЗЫ: телепаты как обычно в отпуске, так что либо выдаешь инфу либо
>>>в лес путешествуешь...
>>
>>фтп клиент выдает надпись что доступ запрещен, а опера просто подвисает на
>>белом окне
>
>поставь какой нить легкий vsftpd - он это умеет. Без шела пускать
>по ftp

Легкий это и есть стандартный, а никак не vsftpd. И он тоже "это" умеет. Как подсказали выше достаточно добавить в список шеллов nologin. Либо разрулить доступ средствами ssh, что более правильно.


"запретить SSH одному из пользователей"
Отправлено sda , 02-Фев-09 15:39 
>Легкий это и есть стандартный, а никак не vsftpd. И он тоже
>"это" умеет. Как подсказали выше достаточно добавить в список шеллов nologin.
>Либо разрулить доступ средствами ssh, что более правильно.

На вкус и цвет...