sslug-teknik team mailing list archive

[Troels Arvin <troels@xxxxxxxx>]

On Fri, 05 Nov 2004 10:08:57 +0100, Peter Maersk-Moller wrote:

> Skal jeg lave noget med keygen til ssh

Det synes jeg lyder som en god idé. Bemærk, at et sådant setup kan
sikres på forskellig vis. Dels kan man stramme sine sshd'er op ved fx.
kun at tillade ssh2 protokollen, kun at tillade visse grupper at logge
ind, osv.

Desuden kan man på de fjerne hosts tilknytte forskellige begrænsninger
til individuelle linjer i .ssh/authorized_keys

Følgende eksempel (der skal ses som én linje):

command="/usr/bin/svnserve
-t",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,from="123.123.123.123"
ssh-rsa AAA....YE=

Ovenstående begrænser, hvad man må gøre ved login baseret på
pågælende nøgle. Kun én bestemt kommando må udføres, der må kun
forbindes fra ét bestemt IP-nummer osv. Se "AUTHORIZED_KEYS FILE FORMAT"
afsnittet af sshd-mansiden.

> Mine webserver kører jo scripts som nobody og det at give nobody root access
> GENERELT på de remote hosts er jo heller ikke så sjovt.

I den situation må sudo eller lign. komme til hjælp: nobody-brugeren
(eller hvad web-serveren nu kører som) får adgang til at udføre
udvalgte kommandoer som en anden bruger.

-- 
Greetings from Troels Arvin, Copenhagen, Denmark