https://slinkov.ru/openforum/vsluhforumID1/89321.html Товарищи есть задача создать в системе юзера который сможет подключаться по ssh<br>и испоьзовать это подключения как туннель но никак не сможет залогиниться в систему.<br>Тоесть я хочу выпустить человека из-за прокси через ssh-тунель в инет через свой сервер, как правильно создать юзера чтобы он мог пользоваться только туннелем для прогона трафика и всё, а на сервер залезть не смог?<br>Достаточно ли будент например создать nologin юзера? или это не безопасно? что ещё нужно сделать?<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#10 Fri, 09 Jul 2010 07:54:02 GMT &gt;Выкладки работают. Главный вопрос звучит так: <br>&gt;"Достаточно ли будет например создать nologin юзера? или это не безопасно? что <br>&gt;ещё нужно сделать?" <br>&gt;Т.е. я не уверен в своих действиях. Неуверен что это всё и <br>&gt;больше ничего нигде затыкать не надо. Кто-то знает точно? <br><br>С не заданным паролем и nologin, имхо, боятся нечего. Через другие сетевые сервисы такой пользователь не залогинится.<br><br>Т.е. используйте в SSH авторизацию по ключу.<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#9 Fri, 09 Jul 2010 07:49:47 GMT Выкладки работают. Главный вопрос звучит так:<br>"Достаточно ли будет например создать nologin юзера? или это не безопасно? что ещё нужно сделать?"<br>Т.е. я не уверен в своих действиях. Неуверен что это всё и больше ничего нигде затыкать не надо. Кто-то знает точно?<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#8 Fri, 09 Jul 2010 07:22:46 GMT Так ведь Вы сами и ответили на свой вопрос:<br><br>&gt;На данный момент я просто завел юзера у которого нет домашнего каталога <br>&gt;(он не создан хоть и прописан юзеру) и в качестве шелла <br>&gt;у него nologin. Этого достаточно? <br><br>Выше этого поста:<br><br>&gt;Вы так уверенно говорите о том чего не пробовали. Да залогиниться я <br>&gt;не смогу, но оно мне и не надо, а вот подключиться <br>&gt;и авторизоваться запросто. В том то и фокус, что коннект будет, <br>&gt;а шелла не будет.<br><br>Или же Ваши выкладки не работают?<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#7 Thu, 08 Jul 2010 18:34:31 GMT &gt;&gt;а поподробнее? чем мне поможет chroot? куда его прописать и для какой <br>&gt;&gt;команды он должен по затее менять корневой каталог? короче, в чем <br>&gt;&gt;смысл и как применить? спасибо за участие <br>&gt;<br>&gt;Ну я просто предложил один из вариантов.. Опиши немного подробнее что именно <br>&gt;нужно, в деталях.. Постараюсь помочь.. <br>&gt;<br>&gt;З.Ы. А с nologin пользователь дейтситвельно не сможет по SSH зайти, это <br>&gt;специальный шелл, запрещающий логин в систему <br><br>Вы так уверенно говорите о том чего не пробовали. Да залогиниться я не смогу, но оно мне и не надо, а вот подключиться и авторизоваться запросто. В том то и фокус, что коннект будет, а шелла не будет. Это я так, для общего развития. Попробуйте ради интереса создать пользователя с шеллом нологин и поднимите туннель авторизовавшись по ключам...<br>Далее по сабжу. не очень понимаю смысл вашего предложения с chroot. Что за один из вариантов? Какой? из каких?<br>Знатоки спецы по секьюрити отзовитесь. как зарезать юзера шоб ему ничего кроме туннеля для проксирования было не дано. Тако https://slinkov.ru/openforum/vsluhforumID1/89321.html#6 Thu, 08 Jul 2010 16:35:52 GMT &gt;а поподробнее? чем мне поможет chroot? куда его прописать и для какой <br>&gt;команды он должен по затее менять корневой каталог? короче, в чем <br>&gt;смысл и как применить? спасибо за участие <br><br>Ну я просто предложил один из вариантов.. Опиши немного подробнее что именно нужно, в деталях.. Постараюсь помочь..<br><br>З.Ы. А с nologin пользователь дейтситвельно не сможет по SSH зайти, это специальный шелл, запрещающий логин в систему<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#5 Thu, 08 Jul 2010 12:01:34 GMT &gt;а поподробнее? чем мне поможет chroot? куда его прописать и для какой <br>&gt;команды он должен по затее менять корневой каталог? короче, в чем <br>&gt;смысл и как применить? спасибо за участие <br><br>м это я то троль? ))<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#4 Thu, 08 Jul 2010 05:38:05 GMT а поподробнее? чем мне поможет chroot? куда его прописать и для какой команды он должен по затее менять корневой каталог? короче, в чем смысл и как применить? спасибо за участие<br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#3 Thu, 08 Jul 2010 05:36:23 GMT &gt;а как он по ssh подключится с nologin ? :)) <br><br>толсто. идите троллить на лор...<br><br> https://slinkov.ru/openforum/vsluhforumID1/89321.html#2 Wed, 07 Jul 2010 14:24:05 GMT &gt;Товарищи есть задача создать в системе юзера который сможет подключаться по ssh <br>&gt;<br>&gt;и испоьзовать это подключения как туннель но никак не сможет залогиниться в <br>&gt;систему. <br>&gt;Тоесть я хочу выпустить человека из-за прокси через ssh-тунель в инет через <br>&gt;свой сервер, как правильно создать юзера чтобы он мог пользоваться только <br>&gt;туннелем для прогона трафика и всё, а на сервер залезть не <br>&gt;смог? <br>&gt;Достаточно ли будент например создать nologin юзера? или это не безопасно? что <br>&gt;ещё нужно сделать? <br><br>chroot?<br>