Товарищи есть задача создать в системе юзера который сможет подключаться по ssh
и испоьзовать это подключения как туннель но никак не сможет залогиниться в систему.
Тоесть я хочу выпустить человека из-за прокси через ssh-тунель в инет через свой сервер, как правильно создать юзера чтобы он мог пользоваться только туннелем для прогона трафика и всё, а на сервер залезть не смог?
Достаточно ли будент например создать nologin юзера? или это не безопасно? что ещё нужно сделать?

• создание анонимного пользователя в системе,Pahanivo, 18:16 , 07-Июл-10
  • создание анонимного пользователя в системе,zilia, 09:36 , 08-Июл-10
• создание анонимного пользователя в системе,Vitaly_loki, 18:24 , 07-Июл-10
  • создание анонимного пользователя в системе,zilia, 09:38 , 08-Июл-10
    • создание анонимного пользователя в системе,Pahanivo, 16:01 , 08-Июл-10
    • создание анонимного пользователя в системе,Vitaly_loki, 20:35 , 08-Июл-10
      • создание анонимного пользователя в системе,zilia, 22:34 , 08-Июл-10
        • создание анонимного пользователя в системе,zeiter, 11:22 , 09-Июл-10
          • создание анонимного пользователя в системе,zilia, 11:49 , 09-Июл-10
            • создание анонимного пользователя в системе,zeiter, 11:54 , 09-Июл-10

>Товарищи есть задача создать в системе юзера который сможет подключаться по ssh
>
>и испоьзовать это подключения как туннель но никак не сможет залогиниться в
>систему.
>Тоесть я хочу выпустить человека из-за прокси через ssh-тунель в инет через
>свой сервер, как правильно создать юзера чтобы он мог пользоваться только
>туннелем для прогона трафика и всё, а на сервер залезть не
>смог?
>Достаточно ли будент например создать nologin юзера? или это не безопасно? что
>ещё нужно сделать?

а как он по ssh подключится с nologin ? :))

>а как он по ssh подключится с nologin ? :))

толсто. идите троллить на лор...

>Товарищи есть задача создать в системе юзера который сможет подключаться по ssh
>
>и испоьзовать это подключения как туннель но никак не сможет залогиниться в
>систему.
>Тоесть я хочу выпустить человека из-за прокси через ssh-тунель в инет через
>свой сервер, как правильно создать юзера чтобы он мог пользоваться только
>туннелем для прогона трафика и всё, а на сервер залезть не
>смог?
>Достаточно ли будент например создать nologin юзера? или это не безопасно? что
>ещё нужно сделать?

chroot?

а поподробнее? чем мне поможет chroot? куда его прописать и для какой команды он должен по затее менять корневой каталог? короче, в чем смысл и как применить? спасибо за участие

>а поподробнее? чем мне поможет chroot? куда его прописать и для какой
>команды он должен по затее менять корневой каталог? короче, в чем
>смысл и как применить? спасибо за участие

м это я то троль? ))

>а поподробнее? чем мне поможет chroot? куда его прописать и для какой
>команды он должен по затее менять корневой каталог? короче, в чем
>смысл и как применить? спасибо за участие

Ну я просто предложил один из вариантов.. Опиши немного подробнее что именно нужно, в деталях.. Постараюсь помочь..

З.Ы. А с nologin пользователь дейтситвельно не сможет по SSH зайти, это специальный шелл, запрещающий логин в систему

>>а поподробнее? чем мне поможет chroot? куда его прописать и для какой
>>команды он должен по затее менять корневой каталог? короче, в чем
>>смысл и как применить? спасибо за участие
>
>Ну я просто предложил один из вариантов.. Опиши немного подробнее что именно
>нужно, в деталях.. Постараюсь помочь..
>
>З.Ы. А с nologin пользователь дейтситвельно не сможет по SSH зайти, это
>специальный шелл, запрещающий логин в систему

Вы так уверенно говорите о том чего не пробовали. Да залогиниться я не смогу, но оно мне и не надо, а вот подключиться и авторизоваться запросто. В том то и фокус, что коннект будет, а шелла не будет. Это я так, для общего развития. Попробуйте ради интереса создать пользователя с шеллом нологин и поднимите туннель авторизовавшись по ключам...
Далее по сабжу. не очень понимаю смысл вашего предложения с chroot. Что за один из вариантов? Какой? из каких?
Знатоки спецы по секьюрити отзовитесь. как зарезать юзера шоб ему ничего кроме туннеля для проксирования было не дано. Такой какбы анонимный ssh exit node хочу поднять в идеале.
Может я зря тут воду мучу и всё уже и так хорошо? Тогда успокойте меня чтоли.
На данный момент я просто завел юзера у которого нет домашнего каталога (он не создан хоть и прописан юзеру) и в качестве шелла у него nologin. Этого достаточно?

Так ведь Вы сами и ответили на свой вопрос:

>На данный момент я просто завел юзера у которого нет домашнего каталога
>(он не создан хоть и прописан юзеру) и в качестве шелла
>у него nologin. Этого достаточно?

Выше этого поста:

>Вы так уверенно говорите о том чего не пробовали. Да залогиниться я
>не смогу, но оно мне и не надо, а вот подключиться
>и авторизоваться запросто. В том то и фокус, что коннект будет,
>а шелла не будет.

Или же Ваши выкладки не работают?

Выкладки работают. Главный вопрос звучит так:
"Достаточно ли будет например создать nologin юзера? или это не безопасно? что ещё нужно сделать?"
Т.е. я не уверен в своих действиях. Неуверен что это всё и больше ничего нигде затыкать не надо. Кто-то знает точно?

>Выкладки работают. Главный вопрос звучит так:
>"Достаточно ли будет например создать nologin юзера? или это не безопасно? что
>ещё нужно сделать?"
>Т.е. я не уверен в своих действиях. Неуверен что это всё и
>больше ничего нигде затыкать не надо. Кто-то знает точно?

С не заданным паролем и nologin, имхо, боятся нечего. Через другие сетевые сервисы такой пользователь не залогинится.

Т.е. используйте в SSH авторизацию по ключу.