Hallo!!

Ich muss unter Linux einen neuen User anlegen, der sich ausschließlich per SSH an dem Server anmelden darf, mehr aber auch nicht. Er soll sich noch nicht mal den Verzeichnisbaum anschauen können :) ... Das Einzige was er darf ist den Befehl "exit" ausführen, wenn er die Verbindung trennen will. Dieser User wird nur benötigt, um einen SSH-Tunnel zu einem PC im Netzwerk aufzubauen.
Wie lege ich den User am Besten an, sodass er so gut wie keine Rechte hat?

Thx a lot und frohe Ostern!
Kaimane

User mit Gruppe nogrp anlegen und in /bin oder /usr/bin eine geeignete Shell auswählen, die nur das einloggen und ausloggen erlaubt.

...und in /bin oder /usr/bin eine geeignete Shell auswählen, die nur das einloggen und ausloggen erlaubt.

Und welche Shell ist das, die ausschließlich das Ein- und Ausloggen erlaubt?

Danke für deine Hilfe @nocheiniggy
Kaimane

kannste nicht einfach null als shell angeben? - sollte doch gehen, berichtigt mich wenn das nicht stimmt

Also wenn ich den neuen User der Gruppe "nogroup" und der Shell /dev/null zuordne, kann ich mich nicht einloggen. Es kommt immer der Fehler "Access denied". Demnach ist die Shell "null" nicht richtig.

ja der soll sich doch auch nicht einloggen können sondern nur als tunnel genutzt werden... :| oder muss der sich dafür auf auf einer shell einloggen können ?? ach ka

mfg der|heini

ja der soll sich doch auch nicht einloggen können sondern nur als tunnel genutzt werden... :| oder muss der sich dafür auf auf einer shell einloggen können ?? ach ka

mfg der|heini

VPN mit OpenSwan und Ipsec?
Wär doch viel praktischer und sicherer?

@Kaimane
Wozu das ganze?
Genügt es wenn einfach eine Verbindung aufgebaut wird, die sofort wieder getrennt wird, oder soll der User das selbst entscheiden wann er die Verbindung kappen will?
Wenn sie nur aufgebaut werden soll, nimm /bin/false

Vielleicht muss man aber auch in der SSH-Config was ändern.
Ich geh sie mal bei mir ein bisschen durch.

Es reicht, wenn die Verbindung aufgebaut wird und der Tunnel steht. Nur mit /bin/false klappt es nicht, da die Verbindung von Putty direkt wieder beendet wird. Deswegen suche ich ja nach einer geeigneten Shell die es ermöglicht, sich ein- und auszuloggen aber trotzdem keine Veränderung am System (Dateien anschauen, verändern, ...) erlaubt.
Wenn das nicht klappt, was gibt es denn noch für einfache! Methoden, um eine verschlüsselte Verbindung über den Linux-Router zum W2k-Server aufzubauen?

Danke für eure Hilfe!

VPN!

Da wäre zum Einen VPN mit OpenSwan.
Zugegeben, mit ein paar Startschwierigkeiten muss man da auch rechnen.
Zum anderen VPN mit pptpd.
Habs zwar noch nicht selbst konfiguriert, aber einfacher als OpenSwan mit Sicherheit(aber etwas weniger Netzwerksicherheit)

SuSE 9.2 liefert das Paket mit.
Die meisten anderen Distributionen sicher auch.
SuSE RPM Beschreibung:
pptpd - PoPToP - PPTP Daemon, Linux as Microsoft VPN Server

das heißt, du kannst dich über die von Microsoft mitgelieferte pptp-Software mit dem Linux-Server verbinden.
Zugang über Benutzername, Passwort und IP.

Funktioniert eigentlich wie ISDN-Einwahl, nur über eine bestehende Internetverbindung.

Egal für welches Paket du dich entscheidest, es wird vermutlich auch noch sicherer sein als die ssh-Lösung.(Sicheres Passwort vorausgesetzt ;-) )


PS.: Ich hab das mit /bin/false nur deshalb in Erwägung gezogen, weil ich ja nicht wusste, was du damit anfangen willst.
Hätte ja auch sein können, dass du es nur für Protokollierungs-(wann hat sich der User verbunden) oder Testzwecke(ist überhaupt eine Verbindung möglich) nutzen willst.

Also für die Frage zu SSH hat hier wohl leider keiner eine Lösung parat, hmm ...

Wie schaut das denn genau mit dem VPN aus?
Es soll eine Verbindung übers Inet zum Linux-Router (der an DSL hängt) aufgebaut werden und wenn User und Pass richtig sind den User zum W2k-Server (im gleichen lokalen Netz) zum Port 3389 weiterleiten.
Klappt das denn mit VPN und wenn ja, wie macht man das? Was genau muss installiert werden? Habt ihr zufällig ein Link zu 'nem Tutorial zur Hand?

Danke!
Kaimane

Mit VPN kannst du agieren, als wäre der Client ein lokaler PC.
dH Routen, Port-Forwarden oder aufs ganze Netzwerk zugreifen.
Es kommt nur drauf an, wie du die Pakete Serverseitig entgegennimmst.

Guckst du hier:
http://www.google.at/linux?hl=de&q=pptpd&btnG=Google-Suche&meta=
und hier:
http://www.unixer.de/~htor/linux/vpn/doc/pptp-Winxx-praktische_Anleitung/node2.html

PS.: Sie haben Private Post.

So, VPN ist aufm Linux-Rechner installiert. Nur beim Überprüfen von User und Pass lässt er mich nicht rein, obwohl ich die chap-secret eingerichtet hab ...
In der options hab ich auth auskommentiert. Hat das damit was zu tun?

Der Vollständigkeit halber: http://www.jmcresearch.com/projects/jail/ und http://user-mode-linux.sourceforge.net/