[solved] SSH Zugriff für bestimmte Benutzer einschränken
[solved] SSH Zugriff für bestimmte Benutzer einschränken
Hallo Leute,
Ich habe im Internet einen Root Server stehen, der auch so läuft, wie er laufen soll, nur stehe ich derzeit vor einem anderen Problem:
Ich benutze um von meinem Windows Client ins Internet zu kommen einen SSH Tunnel via Putty. Jetzt möchte ich auch anderen einen SSH Zugriff auf meinen Server bereitstellen, die dann darüber surfen können.
Jedoch möchte ich nicht, das diese Personen irgendwas anderes machen können, als diesen SSH Tunnel zum surfen zu nutzen. Also noch nicht einmal ein "cd" in ein anderes Verzeichnis. Nur einloggen und das wars
Könnt ihr mir da weiterhelfen?
Mfg Jared
Ich habe im Internet einen Root Server stehen, der auch so läuft, wie er laufen soll, nur stehe ich derzeit vor einem anderen Problem:
Ich benutze um von meinem Windows Client ins Internet zu kommen einen SSH Tunnel via Putty. Jetzt möchte ich auch anderen einen SSH Zugriff auf meinen Server bereitstellen, die dann darüber surfen können.
Jedoch möchte ich nicht, das diese Personen irgendwas anderes machen können, als diesen SSH Tunnel zum surfen zu nutzen. Also noch nicht einmal ein "cd" in ein anderes Verzeichnis. Nur einloggen und das wars
Könnt ihr mir da weiterhelfen?
Mfg Jared
Zuletzt geändert von jared566 am 17.04.2012 22:51:29, insgesamt 1-mal geändert.
Re: SSH Zugriff für bestimmte Benutzer einschränken
Wenn ich das richtig verstanden habe, willst du einen Proxy bereit stellen. Guck dir mal privoxy oder polipo an.
ssh ist aus Prinzip immer der Vollständige Zugriff (Der sendet einfach verschlüsselt befehle an den Rechner und dia ausgabe zurück). Du kannst aber Nutzer anlegen, die weniger dürfen. Aber wie gesagt, ich glaube nicht, dass du wirklich so eine Lösung suchst. Beschreib mal genauer warum da was wer machen soll.
ssh ist aus Prinzip immer der Vollständige Zugriff (Der sendet einfach verschlüsselt befehle an den Rechner und dia ausgabe zurück). Du kannst aber Nutzer anlegen, die weniger dürfen. Aber wie gesagt, ich glaube nicht, dass du wirklich so eine Lösung suchst. Beschreib mal genauer warum da was wer machen soll.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: SSH Zugriff für bestimmte Benutzer einschränken
Du suchst rbash, scponly oder /bin/true als Login-Shell.
Gruß Cae
--Edit: Quatsch, /bin/false als Login-Shell. /bin/true wär' zu positiv gedacht.
Gruß Cae
--Edit: Quatsch, /bin/false als Login-Shell. /bin/true wär' zu positiv gedacht.
Zuletzt geändert von Cae am 18.04.2012 09:52:59, insgesamt 1-mal geändert.
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: SSH Zugriff für bestimmte Benutzer einschränken
Also es geht um meine Berufsschule.
Dort gibt es zwar Internet aber mit Content Filter. Ein VPN Port ist leider nicht geöffnet - SSH aber schon. Ich verbinde mich mit Putty auf meinen Root Server und Putty stellt mir dann einen Socks (ich glaube 5) Proxy bereit der bei mir auf "localhost:12345" lauscht. Den Proxy im Firefox eingetragen und schon gibts freies Internet. Putty muss dabei geöffnet bleiben!
Jetzt möchte ich auch einem Kollegen diese Art des Internets zur Verfügung stellen, mit einem eigenen SSH Zugang.
Und ich möchte jetzt nicht hören "In der Schule sollst du lernen und nicht surfen" oder ähnliches. Wenn ich z.B. einen Preis für ein Produkt ermitteln soll, weil eine Aufgabenstellung dies Erfordert und dann feststellen muss, das die Preissuchmaschine geblockt wird, macht das keinen Spaß.
Zudem Verfolgt unser Lehrer die Philosophie "Wer es schafft am Content Filter vorbeizukommen, dem sei es gegönnt."
Also bitte nur konstrukive Lösungsvorschäge. Danke.
Mfg Jared
Dort gibt es zwar Internet aber mit Content Filter. Ein VPN Port ist leider nicht geöffnet - SSH aber schon. Ich verbinde mich mit Putty auf meinen Root Server und Putty stellt mir dann einen Socks (ich glaube 5) Proxy bereit der bei mir auf "localhost:12345" lauscht. Den Proxy im Firefox eingetragen und schon gibts freies Internet. Putty muss dabei geöffnet bleiben!
Jetzt möchte ich auch einem Kollegen diese Art des Internets zur Verfügung stellen, mit einem eigenen SSH Zugang.
Und ich möchte jetzt nicht hören "In der Schule sollst du lernen und nicht surfen" oder ähnliches. Wenn ich z.B. einen Preis für ein Produkt ermitteln soll, weil eine Aufgabenstellung dies Erfordert und dann feststellen muss, das die Preissuchmaschine geblockt wird, macht das keinen Spaß.
Zudem Verfolgt unser Lehrer die Philosophie "Wer es schafft am Content Filter vorbeizukommen, dem sei es gegönnt."
Also bitte nur konstrukive Lösungsvorschäge. Danke.
Mfg Jared
Re: SSH Zugriff für bestimmte Benutzer einschränken
privoxy oder polipo sind dann eindeutig die richtigen Lösungen für dich. Die sind extra für solche Zwecke entwickelt worden.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: SSH Zugriff für bestimmte Benutzer einschränken
privoxy ist sogar mehr als ich gesucht habe jetzt brauch ich nicht immer das Putty Fenster offen haben und kann den HTTP Proxy auch für mein Online Radio nutzen
Vielen Dank
Vielen Dank
Re: SSH Zugriff für bestimmte Benutzer einschränken
polipo ist der etwas kleinere.jared566 hat geschrieben:privoxy ist sogar mehr als ich gesucht habe
Der hätte sich dann auch recht schnell konfiguriert (4 Zeilen):
Code: Alles auswählen
proxyAddress = "::0" # both IPv4 and IPv6
proxyAddress = "0.0.0.0" # IPv4 only
proxyPort = 80
# If you are enabling 'proxyAddress' above, then you want to enable the
# 'allowedClients' variable to the address of your network, e.g.
# allowedClients = 127.0.0.1, 192.168.42.0/24
authCredentials = user:password
allowedClients = 123.70.9.0/24
Anmerkung das PW kann jeder abhhören... Wie sinnvoll das ist ist fraglich...
Aber wenn du mit privoxy zufrieden bist nimm den.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: [solved] SSH Zugriff für bestimmte Benutzer einschränken
Wäre es nicht sinnvoller den Benutzern auf dem Server eine Shell
zu geben. Dann lässt du einen Proxy auf dem Server (localhost) laufen, z.B. tinyproxy
Nutzen kann man den dann z.B. per
Mit der Option -N wird keine Shell geöffnet. Ist ja auch nicht möglich da die Shell ja /bin/false ist
plink.exe gehört zum Putty-Paket. Mag auch sein, dass man bei Putty direkt irgendwie verhindern kann, dass eine Shell geöffnet wird (wohl SSH -> don't start a shell or command at all). Wichtig ist jedoch weiterhin die Shell /bin/false in /etc/passwd auf deinem Server für die Bekannten.
PS.: Vielleicht habe ich auch alles falsch verstanden. Habe es nur grob überflogen.
Code: Alles auswählen
/bin/false
Nutzen kann man den dann z.B. per
Code: Alles auswählen
plink.exe -N -L 8080:localhost:8080 user@server
Mit der Option -N wird keine Shell geöffnet. Ist ja auch nicht möglich da die Shell ja /bin/false ist
plink.exe gehört zum Putty-Paket. Mag auch sein, dass man bei Putty direkt irgendwie verhindern kann, dass eine Shell geöffnet wird (wohl SSH -> don't start a shell or command at all). Wichtig ist jedoch weiterhin die Shell /bin/false in /etc/passwd auf deinem Server für die Bekannten.
PS.: Vielleicht habe ich auch alles falsch verstanden. Habe es nur grob überflogen.
Re: [solved] SSH Zugriff für bestimmte Benutzer einschränken
Warum? Wenn er tinyproxy am laufen hat kann doch sowiso schon jedr im vollen Web surfen warum dann der ganze aufstand danach, der nur Höhere Latenz und mhr Aufwand bringt?uname hat geschrieben:Wäre es nicht sinnvoller den Benutzern auf dem Server eine Shellzu geben. Dann lässt du einen Proxy auf dem Server (localhost) laufen, z.B. tinyproxyCode: Alles auswählen
/bin/false
Nutzen kann man den dann z.B. perCode: Alles auswählen
plink.exe -N -L 8080:localhost:8080 user@server
Mit der Option -N wird keine Shell geöffnet. Ist ja auch nicht möglich da die Shell ja /bin/false ist
plink.exe gehört zum Putty-Paket. Mag auch sein, dass man bei Putty direkt irgendwie verhindern kann, dass eine Shell geöffnet wird (wohl SSH -> don't start a shell or command at all). Wichtig ist jedoch weiterhin die Shell /bin/false in /etc/passwd auf deinem Server für die Bekannten.
PS.: Vielleicht habe ich auch alles falsch verstanden. Habe es nur grob überflogen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: [solved] SSH Zugriff für bestimmte Benutzer einschränken
Zum Beispiel wenn die Firewall jeglichen HTTP-Stream auf den Proxy umleitet. Oder wenn man verschleiern will, dass man überhaupt surft. Ein normaler HTTP-Proxy verschlüsselt schließlich nicht.wanne hat geschrieben:Wenn er tinyproxy am laufen hat kann doch sowiso schon jedr im vollen Web surfen warum dann der ganze aufstand danach, der nur Höhere Latenz und mhr Aufwand bringt?
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier