Archiv verlassen und diese Seite im Standarddesign anzeigen : verschlüsselte Verbindung mittels SSH
ich dachte mir SSH ist mir schöner um verschlüsselte Verbindung aufzubauen:
hier nun meine Anleitung:
erst einmal Benutzer 'ssh_anon' anlegen mittels YAST
bash auf rbash ändern --> 'chsh'
chmod +g+o=-r-w+x /home/ssh_anon
so nun hat der Benutzer ssh_anon keine Rechte ausser Verbindung aufbauen
http://www.chiark.greenend.org.uk/~sgtatham/putty/ Putty runterladen
in das Windowsverzeichnis %systemroot%/system32 kopieren
(%systemroot% kann so eingetippt werden ist eine Variable)
dann schnell Batch geschrieben fertig
@echo off
start putty -ssh ssh_anon@ssh.rudi.lan -C -pw ssh_anon -L 83:www.rudi.lan:80
so hier wird, der lokale Port 83 (Windows-Rechner) auf den lokalen Port 80 (Server) umgeleitet. Jeder Port sollte mittels der IP 127.0.0.1 erreichbar sein.
so hoffe noch jemandem hilft dies.
P.S. es wurde von mir darauf Wert gelegt, dass der Benutzer nur die Rechte für einen Verbindungsaufbau hat ansonsten in seinem Verzeichnis eingesperrt ist !
Original geschrieben von OdinD
P.S. es wurde von mir darauf Wert gelegt, dass der Benutzer nur die Rechte für einen Verbindungsaufbau hat ansonsten in seinem Verzeichnis eingesperrt ist !
anhand deiner beschreibung ist der user in nullkommanix aus der rbash raus:
# su - test1
$ cd ..
-rbash: cd: restricted
$ ftp
ftp> !
$ cd ..
$
bei rbash muss man sehr gut aufpassen, welche programme man dem user zur verfügung stellt.
-j
su
ist nicht verboten, wenn er ja doch ein anderer Nutzer ist, ist ok.
Nicht sicherheitsgefährdend.
Mit FTP ist das so 'ne Sache, ok gebe ich zu. Aber da der Benutzer nichts runterladen kann, ist es auch hinfällig !
Was war die Intention dieser 'Anleitung'? Wieso Port 83 bzw. 80? :confused:
Original geschrieben von OdinD
su
ist nicht verboten, wenn er ja doch ein anderer Nutzer ist, ist ok.
Nicht sicherheitsgefährdend.
Mit FTP ist das so 'ne Sache, ok gebe ich zu. Aber da der Benutzer nichts runterladen kann, ist es auch hinfällig !
du hast nicht verstanden, was das problem ist. wenn ich programme ausführen kann, die mir eine shell zur verfügung stellen (ftp, vi, etc. pp.) ist deine rbash null und nichtig. damit ist der benutzer aus seinem verzeichnis raus und sämtliche restriktionen der rbash greifen nicht mehr. und gerade darauf hast du ja wert gelegt.
wenn man sicherheitsrelevante bauanleitungen postet, sollte man sehr darauf achten, dass sie korrekt und sicher sind. stell dir mal vor, das macht jemand nach und verlässt sich darauf, dass das ganze sicher ist.
-j
du sagst er kann das und kann dies.
ok ich verstehe dich. um dir entgegen zu kommen:
sollte man, habe ich bei mir jetzt auch noch gemacht in die '.bash_rc'
ein 'export PATH=' eintragen um die Pfade zu löschen und somit die von dir
aufgewiesenen Lücken zu schließen !
besser ?
P.S. Hatte ich schon mal drin, aber nachher vergessen.
Was war die Intention dieser 'Anleitung'? Wieso Port 83 bzw. 80?
ist eine Portweiterleitung
83 weil meist nicht benutzt und 80 weil lokaler Webserver auf 80 läuft
ok ?
Original geschrieben von OdinD
sollte man, habe ich bei mir jetzt auch noch gemacht in die '.bash_rc'
ein 'export PATH=' eintragen um die Pfade zu löschen und somit die von dir
aufgewiesenen Lücken zu schließen !
besser ?
besser, aber nicht gut.
in einer restricted shell kann der user keine programme mit angabe von pfaden starten, d.h. alle programme, die der user ausführen darf müssen per $PATH erreichbar sein. wenn du $PATH löschst, kann der user effektiv keine programme mehr ausführen.
legt am besten ein verzeichnis an, in das du alle erlaubten tools reinkopierst. dieses verzeichnis gibst du dann in $PATH an. der user darf natürlich keine schreibrechte auf das verzeichnis haben. somit kannst du leicht kontrollieren, was der user aufrufen darf und was nicht. ein chroot oder jail wäre zwar sicherer, aber für deine zwecke ist eine derart konfigurierte rbash ausreichend sicher.
-j
es soll nur eine einfache Alternative für verschlüsselte Verbindungen sein, gegenüber VPN und SSL.
Versteht ihr mich ? Deswegen auch die Portweiterleitungen !
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.