[solved] SSH Zugriff für bestimmte Benutzer einschränken

[jared566]

Hallo Leute,

Ich habe im Internet einen Root Server stehen, der auch so läuft, wie er laufen soll, nur stehe ich derzeit vor einem anderen Problem:

Ich benutze um von meinem Windows Client ins Internet zu kommen einen SSH Tunnel via Putty. Jetzt möchte ich auch anderen einen SSH Zugriff auf meinen Server bereitstellen, die dann darüber surfen können.

Jedoch möchte ich nicht, das diese Personen irgendwas anderes machen können, als diesen SSH Tunnel zum surfen zu nutzen. Also noch nicht einmal ein "cd" in ein anderes Verzeichnis. Nur einloggen und das wars

Könnt ihr mir da weiterhelfen?

Mfg Jared

[wanne]

Wenn ich das richtig verstanden habe, willst du einen Proxy bereit stellen. Guck dir mal privoxy oder polipo an.

ssh ist aus Prinzip immer der Vollständige Zugriff (Der sendet einfach verschlüsselt befehle an den Rechner und dia ausgabe zurück). Du kannst aber Nutzer anlegen, die weniger dürfen. Aber wie gesagt, ich glaube nicht, dass du wirklich so eine Lösung suchst. Beschreib mal genauer warum da was wer machen soll.

[Cae]

Du suchst rbash, scponly oder /bin/true als Login-Shell.

Gruß Cae

--Edit: Quatsch, /bin/false als Login-Shell. /bin/true wär' zu positiv gedacht.

[jared566]

Also es geht um meine Berufsschule.

Dort gibt es zwar Internet aber mit Content Filter. Ein VPN Port ist leider nicht geöffnet - SSH aber schon. Ich verbinde mich mit Putty auf meinen Root Server und Putty stellt mir dann einen Socks (ich glaube 5) Proxy bereit der bei mir auf "localhost:12345" lauscht. Den Proxy im Firefox eingetragen und schon gibts freies Internet. Putty muss dabei geöffnet bleiben!

Jetzt möchte ich auch einem Kollegen diese Art des Internets zur Verfügung stellen, mit einem eigenen SSH Zugang.

Und ich möchte jetzt nicht hören "In der Schule sollst du lernen und nicht surfen" oder ähnliches. Wenn ich z.B. einen Preis für ein Produkt ermitteln soll, weil eine Aufgabenstellung dies Erfordert und dann feststellen muss, das die Preissuchmaschine geblockt wird, macht das keinen Spaß.
Zudem Verfolgt unser Lehrer die Philosophie "Wer es schafft am Content Filter vorbeizukommen, dem sei es gegönnt."

Also bitte nur konstrukive Lösungsvorschäge. Danke.

Mfg Jared

[wanne]

privoxy oder polipo sind dann eindeutig die richtigen Lösungen für dich. Die sind extra für solche Zwecke entwickelt worden.

[jared566]

privoxy ist sogar mehr als ich gesucht habe jetzt brauch ich nicht immer das Putty Fenster offen haben und kann den HTTP Proxy auch für mein Online Radio nutzen

Vielen Dank

[wanne]

privoxy ist sogar mehr als ich gesucht habe

polipo ist der etwas kleinere.
Der hätte sich dann auch recht schnell konfiguriert (4 Zeilen):

Code: Alles auswählen

 proxyAddress = "::0"        # both IPv4 and IPv6
 proxyAddress = "0.0.0.0"    # IPv4 only
 proxyPort = 80


# If you are enabling 'proxyAddress' above, then you want to enable the
# 'allowedClients' variable to the address of your network, e.g.
# allowedClients = 127.0.0.1, 192.168.42.0/24
 authCredentials = user:password
 allowedClients = 123.70.9.0/24

Den IP-Block musst du natürlcih auf deine Schule anpassen.
Anmerkung das PW kann jeder abhhören... Wie sinnvoll das ist ist fraglich...
Aber wenn du mit privoxy zufrieden bist nimm den.

[uname]

Wäre es nicht sinnvoller den Benutzern auf dem Server eine Shell

Code: Alles auswählen

/bin/false

zu geben. Dann lässt du einen Proxy auf dem Server (localhost) laufen, z.B. tinyproxy

Nutzen kann man den dann z.B. per

Code: Alles auswählen

plink.exe -N -L 8080:localhost:8080 user@server

Mit der Option -N wird keine Shell geöffnet. Ist ja auch nicht möglich da die Shell ja /bin/false ist
plink.exe gehört zum Putty-Paket. Mag auch sein, dass man bei Putty direkt irgendwie verhindern kann, dass eine Shell geöffnet wird (wohl SSH -> don't start a shell or command at all). Wichtig ist jedoch weiterhin die Shell /bin/false in /etc/passwd auf deinem Server für die Bekannten.

PS.: Vielleicht habe ich auch alles falsch verstanden. Habe es nur grob überflogen.

[wanne]

Wäre es nicht sinnvoller den Benutzern auf dem Server eine Shell

Code: Alles auswählen

/bin/false

zu geben. Dann lässt du einen Proxy auf dem Server (localhost) laufen, z.B. tinyproxy

Nutzen kann man den dann z.B. per

Code: Alles auswählen

plink.exe -N -L 8080:localhost:8080 user@server

Mit der Option -N wird keine Shell geöffnet. Ist ja auch nicht möglich da die Shell ja /bin/false ist
plink.exe gehört zum Putty-Paket. Mag auch sein, dass man bei Putty direkt irgendwie verhindern kann, dass eine Shell geöffnet wird (wohl SSH -> don't start a shell or command at all). Wichtig ist jedoch weiterhin die Shell /bin/false in /etc/passwd auf deinem Server für die Bekannten.

PS.: Vielleicht habe ich auch alles falsch verstanden. Habe es nur grob überflogen.

Warum? Wenn er tinyproxy am laufen hat kann doch sowiso schon jedr im vollen Web surfen warum dann der ganze aufstand danach, der nur Höhere Latenz und mhr Aufwand bringt?

[Cae]

Wenn er tinyproxy am laufen hat kann doch sowiso schon jedr im vollen Web surfen warum dann der ganze aufstand danach, der nur Höhere Latenz und mhr Aufwand bringt?

Zum Beispiel wenn die Firewall jeglichen HTTP-Stream auf den Proxy umleitet. Oder wenn man verschleiern will, dass man überhaupt surft. Ein normaler HTTP-Proxy verschlüsselt schließlich nicht.

Gruß Cae