sslug-teknik team mailing list archive

Thread
Date

Re: Remote execution fra script

To: sslug-teknik@xxxxxxxx
From: Peter Maersk-Moller <peter@xxxxxxxxxxxxxxxxx>
Date: Fri, 05 Nov 2004 11:16:37 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <pan.2004.11.05.10.01.12.999568@arvin.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Organization: Se TV over Internettet <http://www.streamtv.dk/?p=test>
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.4) Gecko/20030624

Hej Troels

Troels Arvin wrote:

On Fri, 05 Nov 2004 10:08:57 +0100, Peter Maersk-Moller wrote:

Skal jeg lave noget med keygen til ssh

Det synes jeg lyder som en god idé. Bemærk, at et sådant setup kan
sikres på forskellig vis. Dels kan man stramme sine sshd'er op ved fx.
kun at tillade ssh2 protokollen, kun at tillade visse grupper at logge
ind, osv.


God ide.

Desuden kan man på de fjerne hosts tilknytte forskellige begrænsninger
til individuelle linjer i .ssh/authorized_keys


Lyder også rigtigt.

Følgende eksempel (der skal ses som én linje):

command="/usr/bin/svnserve
-t",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,from="123.123.123.123"
ssh-rsa AAA....YE=


Hmm, hvad er svnserve ? Ikke del af min Slackware. det må jeg lige
Google på.

Ovenstående begrænser, hvad man må gøre ved login baseret på
pågælende nøgle. Kun én bestemt kommando må udføres, der må kun
forbindes fra ét bestemt IP-nummer osv. Se "AUTHORIZED_KEYS FILE FORMAT"
afsnittet af sshd-mansiden.


Tak.

Mine webserver kører jo scripts som nobody og det at give nobody root access
GENERELT på de remote hosts er jo heller ikke så sjovt.

I den situation må sudo eller lign. komme til hjælp: nobody-brugeren
(eller hvad web-serveren nu kører som) får adgang til at udføre
udvalgte kommandoer som en anden bruger.


Sudo er ikke så godt, da den kræver password interactively.

Jeg kan godt leve med, at en kompromiteret webserver kan
eksekverer forudbestemt kommandoer på mine remote hosts
(remote hosts rummer bla. databaser.).

Jeg kan også godt leve med, at en kompromiteret web-server
fylder ukorrekt data i min database, skønt det gør ondt,
men jeg kan ikke acceptere at en kompromiteret front-end
(webserver) giver root access til at pille ved logfiler
og databasebackups på remote hosts /backend servers.

ssh med begænset adgang til eksekvering af få kommandoer
synes som vejen frem.

Tak.

--PMM
+----------------------------------------------------------+
| Se TV over Internettet -- http://www.streamtv.dk/?p=test |
+----------------------------------------------------------+

Follow ups

Re: Remote execution fra script
From: Claus Alboege, 2004-11-05

References

Remote execution fra script
From: Peter Maersk-Moller, 2004-11-05
Re: Remote execution fra script
From: Troels Arvin, 2004-11-05