sslug-teknik team mailing list archive

Thread
Date

Re: CVS over SSH

To: sslug-teknik@xxxxxxxx
From: Troels Arvin <troels@xxxxxxxx>
Date: Tue, 06 May 2003 21:48:15 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Pan/0.13.95 (If you are going through hell, keep going.)

On Tue, 06 May 2003 14:07:52 +0200, John Mørck Hansen wrote:

> Der er lige en ting der nager mig. Når man gerne vil tillade adgang til
> CVS over SSH. Hvordan undgår jeg så at brugeren også kan få adgang
> til en shell.

Jeg antager, at du benytter nøglebaseret SSH-adgang, og du benytter
OpenSSH på server-siden.

Der er flere måder at indskrænke folks muligheder i ovenstående
situation:

1. Ved indsættelse af "koder" i relevante linje i brugerens
   authorized_keys fil, se manualsiden til "sshd". Eksempel: Hvis
   brugerens authorized_keys før havde en linje, der lignede dette:

   ssh-rsa AAAAXrk.....k234=

   - så kan den nu sætte til følgende (én lang linje):

   no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,
   command="/usr/bin/cvs --allow-root=/var/cvs/repository server" ssh-rsa
   AAAAXrk.....k234=

2. Sørge for, at de ikke er del af nogle "magtfulde" grupper,
   og at systemet kræver medlemsskab af en "magtfuld" gruppe førend
   farlige kommandoer såsom "su" kan udføres.

3. Give brugeren en shell, der er designet til minimalistiske
   formål (men som dog kan en anelse mere end fx. "/bin/true"). På
   freshmeat kan du sikkert finde nogle.

/Troels

Follow ups

Re: CVS over SSH
From: John Mørck Hansen, 2003-05-07
Re: CVS over SSH
From: John Mørck Hansen, 2003-05-07

References

CVS over SSH
From: John Mørck Hansen, 2003-05-06