sslug-teknik team mailing list archive

[John Mørck Hansen <john@xxxxxxxxxx>]

On Tue, 06 May 2003 21:48:15 +0200
Troels Arvin <troels@xxxxxxxx> wrote:
> 
> Jeg antager, at du benytter nøglebaseret SSH-adgang, og du benytter
> OpenSSH på server-siden.

Ja, OpenSSH server-side.
Men, nøglebaseret adgang hmm. Med nedenstående kræver det jo at jeg
laver private/public key til alle brugere og på en eller anden sikker
måde får givet dem deres public-key. Det er nu heller ikke så svært
men... er det, det du mener.

 
> Der er flere måder at indskrænke folks muligheder i ovenstående
> situation:
> 
> 1. Ved indsættelse af "koder" i relevante linje i brugerens
>    authorized_keys fil, se manualsiden til "sshd". Eksempel: Hvis
>    brugerens authorized_keys før havde en linje, der lignede dette:
> 
>    ssh-rsa AAAAXrk.....k234=
> 
>    - så kan den nu sætte til følgende (én lang linje):
> 
>    no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding,
>    command="/usr/bin/cvs --allow-root=/var/cvs/repository server"
>    ssh-rsa AAAAXrk.....k234=
> 
> 2. Sørge for, at de ikke er del af nogle "magtfulde" grupper,
>    og at systemet kræver medlemsskab af en "magtfuld" gruppe førend
>    farlige kommandoer såsom "su" kan udføres.
> 
> 3. Give brugeren en shell, der er designet til minimalistiske
>    formål (men som dog kan en anelse mere end fx. "/bin/true"). På
>    freshmeat kan du sikkert finde nogle.

Ang. shell. Er det ikke nok at bruge 'no-pty' eller kan man sende
'ekstra' kommandoer som skal udføres efter 'command=...' ?



(John =;-)
-- 
Din sikre vej til en sikker backup løsning til dit netværk.
Hurtigt, nemt og bekvemt
http://www.adilock.dk/~john/albackup/
http://www.adilock.dk