URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4026
[ Назад ]
Исходное сообщение
"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Serge , 24-Окт-08 15:16 
Защищаю сервер. Задача такая, чтобы не "светить портами" постоянно в Инет завожу пользователя SSH. В качестве шелла ставлю ему скрипт, который добавляет правила, разрешающие подсоединение на порты 80, 110, и тот, что редиректится на терминал "from IP"
Вопроса, собственно, два:
1. Я (user1) зашел по SSH. Как узнать IP, c которого я зашел, для того, чтоб указать его в правилах ipfw (при том что так же могут быть в это время подсоедены user2 и user3)?
2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать комментарий (например имя юзера) для правила, который будет виден по ipfw list?
Заранее благодарю.
Содержание
Сообщения в этом обсуждении
"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Square , 24-Окт-08 15:24 
>[оверквотинг удален]
>Вопроса, собственно, два:
>1. Я (user1) зашел по SSH. Как узнать IP, c которого я
>зашел, для того, чтоб указать его в правилах ipfw (при том
>что так же могут быть в это время подсоедены user2 и
>user3)?
>2. В случае обрыва канала у user1, естественно, при повторном подключении надо
>удалить старые правила для user1. Поєтому вопрос второй - можно ли
>в ipfw add ....... указать комментарий (например имя юзера) для правила,
>который будет виден по ipfw list?
>Заранее благодарю.

ви таки еще больший параноик чем я... я до такого бреда не додумался...

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Serge , 24-Окт-08 15:39 
>ви таки еще больший параноик чем я... я до такого бреда не
>додумался...

бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
А юникс системы тем и отличаются от винды, что админ делает то, что хочет и то, что ему надо, а не то, что позволяет система и навороты сторонних программ

жду предложения?


"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Square , 24-Окт-08 16:15 
>>ви таки еще больший параноик чем я... я до такого бреда не
>>додумался...
>
>бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
>А юникс системы тем и отличаются от винды, что админ делает то,
>что хочет и то, что ему надо, а не то, что
>позволяет система и навороты сторонних программ
>
>жду предложения?

Бред ничего никуда не двигает. Он носит деструктивный характер, разрушает те ценности что уже есть и дает ложное направления для дальнейшей работы.

предложение же такое: ликвидировать системную ошибку в ваших рассуждениях.

в настоящий момент описанная вами схема предполагает получение доступа к серверу по защищенному каналу через ssh, и "включение" незащищенных портов для указанного адреса.. который может находится за  проксей например... То есть создавать уязвимость в рамках вашей концепции. С другой стороны, человек уже зашедший по ssh может воспользоватся всем комплексом сервисов (80, 110 и любые иные) через проброс портов по уже  установленному каналу. то есть налицо системное недомыслие.. или попросту глупость.

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Serge , 24-Окт-08 16:54 
Позвольте с Вами не согласиться.

Когда-то считалась бредом мысль о том, что Земля вращается вокруг Солнца
Когда-то считалась бредом мысль о том, что Земля не плоская
Теорию относительности Эйнштейна тоже когда-то считали бредом шизофреника
и .т.п.

Любая мысль, идея, или теория имеет право на существование.
Ну это так, лир. отступление.

А задача такая - есть сервер, на котором крутится почта для локалки, сквид, и в локалке терминальный сервер. Задача - с нотиков, подключенных к инету через мобильник или диалап обеспечить юзерам работу максимально приближенную к условиям локалки и максимально простым методом. Включение портов происходит на время работы клиента, по его выходу все будет отключаться либо им вручную, либо автоматически по счетчику, который считает потоки с IP-шника юзера  раз в 10 минут и отлавливает момент, когда за 2 минуты не переслано ни одного байта.

Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить" нескольких. Или Вы предлагаете терминал, например,  открыть в мир?

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Square , 24-Окт-08 16:59 
>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить"
>нескольких. Или Вы предлагаете терминал, например,  открыть в мир?

подключившись по ssh через putty например, пользователь может получить по этому каналу доступ ко всем все необходимым портам.
называется проброс портов.. или форвард портов (с удаленной машины на локальную)

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Serge , 24-Окт-08 17:09 

>подключившись по ssh через putty например, пользователь может получить по этому каналу
>доступ ко всем все необходимым портам.
>называется проброс портов.. или форвард портов (с удаленной машины на локальную)

Спасибо за идею, я попробую это тоже реализовать.
Все познается в сравнении.

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено sergetv , 25-Окт-08 12:53 

>>подключившись по ssh через putty например, пользователь может получить по этому каналу
>>доступ ко всем все необходимым портам.
>>называется проброс портов.. или форвард портов (с удаленной машины на локальную)

Я, честно говоря, не знал о такой возможности SSH. Поистине, любую задачу можно решить разными путями, и Unix мне снова и снова нравится все больше.
Попробую разобраться с  пробросом портов для SSH-сессии.

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено GAb , 24-Окт-08 19:10 
Конечно, ИП + ЛОГИН ПАРОЛЬ. Не совсем понятно "максимально приближенную к условиям локалки и максимально" может им просто нужно дать доступ к файлам? Поднимите VPN.
"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Keeper , 26-Окт-08 12:39 
>Для одного пользователя это уже давно мной сделано. Задача стала как "разрулить"
>нескольких.

Разве VPN не для этого был придуман?

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено maxdukov , 24-Окт-08 17:31 
>>ви таки еще больший параноик чем я... я до такого бреда не
>>додумался...
>
>бред, между прочим, двигает прогресс и не дает застояться мозгам :-)
>А юникс системы тем и отличаются от винды, что админ делает то,
>что хочет и то, что ему надо, а не то, что
>позволяет система и навороты сторонних программ
>
>жду предложения?

дык - в переменных окружения посмотреть.
IP клиента точно там есть.

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Pahanivo , 26-Окт-08 13:59 
> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list?

Можно. Читаем маны.
А вообще все это бред собачий!


"как узнать  IP пользователя, зашедшего по SSH"
Отправлено maxdukov , 27-Окт-08 09:11 
>> 2. В случае обрыва канала у user1, естественно, при повторном подключении надо удалить > старые правила для user1. Поєтому вопрос второй - можно ли в ipfw add ....... указать > > комментарий (например имя юзера) для правила, который будет виден по ipfw list?
>
>Можно. Читаем маны.
>А вообще все это бред собачий!

Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном исполнении заставляют и ломающую сторону наморщить мозг - просто в силу отстутсвия готового решения.

Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть та-же.

"как узнать  IP пользователя, зашедшего по SSH"
Отправлено Serge , 27-Окт-08 17:09 
>Ну почему сразу "бред". Экзотические решения тем и хороши, что при продуманном
>исполнении заставляют и ломающую сторону наморщить мозг - просто в силу
>отстутсвия готового решения.
>
>Ну а по теме могу посоветовать посмотреть в сторону port knock. Суть
>та-же.

Спасибо за понимание...