Neuen Benutzer ohne Rechte anlgen.
Neuen Benutzer ohne Rechte anlgen.
Hallo Debian-Com.
Ich habe vor kurzem einen SSH Server aufgesetzt und dieser ist nun auch erreichbar.
Ich möchte zwecks der Sicherheit einen neuen Benutzer anlegen der, der einzige sein soll der sich per SSH einlogen kann.
Dieser soll keine rechte besitzten irgenendetwas zu tun ausser sich umzumelden per su oder sudo -i .
Wie könnte ich das realisieren ?
LG Icon3
Ich habe vor kurzem einen SSH Server aufgesetzt und dieser ist nun auch erreichbar.
Ich möchte zwecks der Sicherheit einen neuen Benutzer anlegen der, der einzige sein soll der sich per SSH einlogen kann.
Dieser soll keine rechte besitzten irgenendetwas zu tun ausser sich umzumelden per su oder sudo -i .
Wie könnte ich das realisieren ?
LG Icon3
Ich erkunde das Neuland!
-
- Beiträge: 2951
- Registriert: 24.12.2010 16:50:59
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rheinland
Re: Neuen Benutzer ohne Rechte anlgen.
Normalerweise gibt man einem Benutzer eine Bash. In dieser ist viele Moeglich... es gibt aber auch Shells, dessen Funktionsumfang man ueber eine Konfigurationsdatei bestimmen kann. Moeglicherweise ist eine solche Shell ( lshell, rush ) ein Weg fuer dich. Dein Vorhaben klingt wohlgemerkt ziemlich seltsam.
Re: Neuen Benutzer ohne Rechte anlgen.
Es geht mir darum:
ich möchte nur diesem Benutzer ich hab ihn "enterplug" genannt, erlauben sich per ssh auf meine maschine zu schalten.
Er soll nur das Kommando "su x" benutzen können um sich nur als ich authenifizieren zu können und dann erst als root.
Gehe ich richtig in der Annahme das ich für solch einen Benutzer Befehle wie "ls" oder "cd /" nicht sperren kann das würde nämlich alles darunter fallen.
ich möchte nur diesem Benutzer ich hab ihn "enterplug" genannt, erlauben sich per ssh auf meine maschine zu schalten.
Er soll nur das Kommando "su x" benutzen können um sich nur als ich authenifizieren zu können und dann erst als root.
Gehe ich richtig in der Annahme das ich für solch einen Benutzer Befehle wie "ls" oder "cd /" nicht sperren kann das würde nämlich alles darunter fallen.
Ich erkunde das Neuland!
-
- Beiträge: 2951
- Registriert: 24.12.2010 16:50:59
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rheinland
Re: Neuen Benutzer ohne Rechte anlgen.
Ich wiederhole einfach nochmal, was ich bereits geschrieben habe: Die *Bash* (Default-Shell auf vielen System) kann viele viele Befehle. Darunter auch "ls", "cd" uvm. Die oben genannten Shells kann man in der Befehlsvielfalt beschraenken. Folglich erlaubst du nur, dass der Befehl "su" eingegeben werden darf. Dann konfigurierst du fuer den Benutzer "enterplug" die Default-Shell mit dem limitierten Befehlsumfang und du hast erreicht, was du gerne moechtest.
Re: Neuen Benutzer ohne Rechte anlgen.
Und wohlgemerkt sperrst du dich damit aus, zumindest von remote.
Gruss Cae
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Neuen Benutzer ohne Rechte anlgen.
Aye, ich werd mich in das Thema mal gründlich einlesen vielen dank fürs erste
Ich erkunde das Neuland!
Re: Neuen Benutzer ohne Rechte anlgen.
Wenn ich mich richtig erinnere kann man auch die bash so konfigurieren, dass nur Befehle tun, auf die bestimmte regex passen. (Das hatten die bei uns an der UNI.)
Weiß aber nciht wie das gieng
Weiß aber nciht wie das gieng
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Neuen Benutzer ohne Rechte anlgen.
Zwei Ideen:
1.) Restricted Shell:
/usr/local/bin/shell
/etc/passwd:
(UID und GID anpassen)
2.) SSH authorized_keys:
Du kannst SSH-Public-Keys
/home/enterplug/.ssh/authorized_keys:
nutzen. Mit dem jeweiligen Key darf dann nur der genannte Befehl eingesetzt werden.
Persönlich gefällt mir die erste Lösung besser. Die zweite Lösung nutze ich für Clients welche einerseits einen SSH-Remote-Tunnel aufbauen sollen und gleichzeitig nur /bin/false bekommen sollen. Leider habe ich auf dem betroffenen System nur ein Benutzer mit /bin/bash, so dass ich das entsprechend so abfangen muss und es nicht in /etc/passwd setzen kann. Das ist aber alles ein anderes Thema
1.) Restricted Shell:
/usr/local/bin/shell
Code: Alles auswählen
#!/bin/bash
/bin/su <deine-kennung>
Code: Alles auswählen
chmod 755 /usr/local/bin/shell
Code: Alles auswählen
enterplug:x:1002:1002::/tmp:/usr/local/bin/shell
2.) SSH authorized_keys:
Du kannst SSH-Public-Keys
/home/enterplug/.ssh/authorized_keys:
Code: Alles auswählen
command="su <deine-kennung>" ssh-rsa AAA....
Persönlich gefällt mir die erste Lösung besser. Die zweite Lösung nutze ich für Clients welche einerseits einen SSH-Remote-Tunnel aufbauen sollen und gleichzeitig nur /bin/false bekommen sollen. Leider habe ich auf dem betroffenen System nur ein Benutzer mit /bin/bash, so dass ich das entsprechend so abfangen muss und es nicht in /etc/passwd setzen kann. Das ist aber alles ein anderes Thema