PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : verschlüsselte Verbindung mittels SSH



OdinD
10.11.03, 20:12
ich dachte mir SSH ist mir schöner um verschlüsselte Verbindung aufzubauen:

hier nun meine Anleitung:


erst einmal Benutzer 'ssh_anon' anlegen mittels YAST
bash auf rbash ändern --> 'chsh'
chmod +g+o=-r-w+x /home/ssh_anon

so nun hat der Benutzer ssh_anon keine Rechte ausser Verbindung aufbauen

http://www.chiark.greenend.org.uk/~sgtatham/putty/ Putty runterladen

in das Windowsverzeichnis %systemroot%/system32 kopieren
(%systemroot% kann so eingetippt werden ist eine Variable)

dann schnell Batch geschrieben fertig


@echo off
start putty -ssh ssh_anon@ssh.rudi.lan -C -pw ssh_anon -L 83:www.rudi.lan:80


so hier wird, der lokale Port 83 (Windows-Rechner) auf den lokalen Port 80 (Server) umgeleitet. Jeder Port sollte mittels der IP 127.0.0.1 erreichbar sein.

so hoffe noch jemandem hilft dies.

P.S. es wurde von mir darauf Wert gelegt, dass der Benutzer nur die Rechte für einen Verbindungsaufbau hat ansonsten in seinem Verzeichnis eingesperrt ist !

Jasper
10.11.03, 23:54
Original geschrieben von OdinD

P.S. es wurde von mir darauf Wert gelegt, dass der Benutzer nur die Rechte für einen Verbindungsaufbau hat ansonsten in seinem Verzeichnis eingesperrt ist !

anhand deiner beschreibung ist der user in nullkommanix aus der rbash raus:

# su - test1
$ cd ..
-rbash: cd: restricted
$ ftp
ftp> !
$ cd ..
$

bei rbash muss man sehr gut aufpassen, welche programme man dem user zur verfügung stellt.


-j

OdinD
11.11.03, 06:57
su

ist nicht verboten, wenn er ja doch ein anderer Nutzer ist, ist ok.

Nicht sicherheitsgefährdend.

Mit FTP ist das so 'ne Sache, ok gebe ich zu. Aber da der Benutzer nichts runterladen kann, ist es auch hinfällig !

Jorge
11.11.03, 08:40
Was war die Intention dieser 'Anleitung'? Wieso Port 83 bzw. 80? :confused:

Jasper
11.11.03, 09:28
Original geschrieben von OdinD
su

ist nicht verboten, wenn er ja doch ein anderer Nutzer ist, ist ok.

Nicht sicherheitsgefährdend.

Mit FTP ist das so 'ne Sache, ok gebe ich zu. Aber da der Benutzer nichts runterladen kann, ist es auch hinfällig !

du hast nicht verstanden, was das problem ist. wenn ich programme ausführen kann, die mir eine shell zur verfügung stellen (ftp, vi, etc. pp.) ist deine rbash null und nichtig. damit ist der benutzer aus seinem verzeichnis raus und sämtliche restriktionen der rbash greifen nicht mehr. und gerade darauf hast du ja wert gelegt.

wenn man sicherheitsrelevante bauanleitungen postet, sollte man sehr darauf achten, dass sie korrekt und sicher sind. stell dir mal vor, das macht jemand nach und verlässt sich darauf, dass das ganze sicher ist.

-j

OdinD
11.11.03, 09:43
du sagst er kann das und kann dies.

ok ich verstehe dich. um dir entgegen zu kommen:

sollte man, habe ich bei mir jetzt auch noch gemacht in die '.bash_rc'
ein 'export PATH=' eintragen um die Pfade zu löschen und somit die von dir

aufgewiesenen Lücken zu schließen !

besser ?

P.S. Hatte ich schon mal drin, aber nachher vergessen.

OdinD
11.11.03, 09:50
Was war die Intention dieser 'Anleitung'? Wieso Port 83 bzw. 80?

ist eine Portweiterleitung

83 weil meist nicht benutzt und 80 weil lokaler Webserver auf 80 läuft

ok ?

Jasper
11.11.03, 14:20
Original geschrieben von OdinD

sollte man, habe ich bei mir jetzt auch noch gemacht in die '.bash_rc'
ein 'export PATH=' eintragen um die Pfade zu löschen und somit die von dir

aufgewiesenen Lücken zu schließen !

besser ?


besser, aber nicht gut.

in einer restricted shell kann der user keine programme mit angabe von pfaden starten, d.h. alle programme, die der user ausführen darf müssen per $PATH erreichbar sein. wenn du $PATH löschst, kann der user effektiv keine programme mehr ausführen.
legt am besten ein verzeichnis an, in das du alle erlaubten tools reinkopierst. dieses verzeichnis gibst du dann in $PATH an. der user darf natürlich keine schreibrechte auf das verzeichnis haben. somit kannst du leicht kontrollieren, was der user aufrufen darf und was nicht. ein chroot oder jail wäre zwar sicherer, aber für deine zwecke ist eine derart konfigurierte rbash ausreichend sicher.

-j

OdinD
11.11.03, 15:38
es soll nur eine einfache Alternative für verschlüsselte Verbindungen sein, gegenüber VPN und SSL.

Versteht ihr mich ? Deswegen auch die Portweiterleitungen !