Usando / usr / bin / passwd come shell di login

Naviga le tue risposte
3

Ho l'obbligo di impostare un tunnel SSH tra due host. Il server SSH viene eseguito su un host Linux e il client SSH (PuTTY) viene eseguito su un host Windows.

Ho impostato un account utente separato (ad esempio "tunnel") sulla macchina Linux per consentire ciò. Questo utente non dovrebbe eseguire alcun comando, ma manterrà la connessione SSH solo per il tunneling una volta effettuato l'accesso da PuTTY. Per quel particolare motivo, ho impostato /usr/bin/passwd come shell di login per questo utente.

La mia domanda è, È una buona pratica in termini di sicurezza quando si tratta di un tunnel SSH? Non sono riuscito a trovare molte informazioni su Internet su questa configurazione, ma ho letto che questa shell può essere utilizzata su un server di condivisione file.

    
posta Shaakunthala 29.03.2013 - 06:12
fonte

3 risposte

8

In generale, impostiamo la shell su /bin/false e forniamo l'opzione -N quando creiamo il tunnel, qualcosa del tipo; 

ssh -D 4444 -N -i ~/keys/user_id_rsa [email protected]

L'opzione -N dice a ssh di non eseguire alcun comando alla connessione, senza di essa la tua connessione si chiuderà immediatamente a causa della shell /bin/false .

potresti usare /bin/rbash per fornire alcune funzionalità di base, ma se vuoi solo poter eseguire il tunnel, ti sconsigliamo.

    
risposta data 29.03.2013 - 09:12
fonte
1

/ usr / bin / passwd serve a facilitare la modifica della password dell'utente. Se lo usi come shell dell'utente, l'utente non sarà in grado di accedere ma sarà in grado (o lo metterà più correttamente, sempre forzato a) cambiare la sua / hber password ad ogni tentativo di accesso.

ciò di cui hai bisogno è una sorta di shell ristretta, da cui l'unico comando che l'utente dovrebbe essere in grado di eseguire è exit command e potrebbe essere uno o due comandi aggiuntivi relativi al controllo dello stato del tunnel ecc., se necessario.

google il termine "linux restricted shell" e vedrai pochissime pagine, spiegando come impostarne uno

    
risposta data 29.03.2013 - 09:13
fonte
0

Questo tipo di situazione è perfetta per uno scenario di chroot. Dovresti configurare uno speciale account chroot e un'installazione tale da creare uno scenario di prigione piacevole. Penso che questa sia una soluzione molto migliore alla fine. Ecco alcuni link.

link link

    
risposta data 29.03.2013 - 15:13
fonte

Leggi altre domande sui tag

Perché le connessioni degli ospiti possono passare il firewall dell'host? In che modo il servizio nascosto di Tor è nascosto al pubblico?