---

Hejsa.

Jeg har en flok routere kørende med openwrt som jeg gerne vil ha sat til
automatisk at forwarde logfiler via scp til hinanden.

SCP/SSH mellem boksene kan let sættes til at ske via certifikat uden
passphrase så det kan gøres via cron.

For at begrænse risikoen vil jeg gerne ha begrænset scp via
certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
være muligt via det pågældende certifikat/login.

Hvordan kan det sættes op?

Serveren melder følgende:

   SSH-2.0-dropbear_0.47



--
MVH
Henning Wangerin / oz1lln

---

Henning Wangerin skrev:
> Jeg har en flok routere kørende med openwrt som jeg gerne vil ha sat til
> automatisk at forwarde logfiler via scp til hinanden.
>
> SCP/SSH mellem boksene kan let sættes til at ske via certifikat uden
> passphrase så det kan gøres via cron.
>
> For at begrænse risikoen vil jeg gerne ha begrænset scp via
> certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
> scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
> være muligt via det pågældende certifikat/login.

Du har brug for et chroot-jail. Jeg vil anbefale at ty til et tool
kaldet jailkit. Følgende artikel beskriver skridt for skridt hvordan det
gøres: "Jailkit howto - creating an sftp/scp-only shell in a chroot
jail" (http://olivier.sessink.nl/jailkit/howtos_sftp_scp_only.html)

/Kim

---

On Tue, 14 Nov 2006 08:04:04 +0100, Kim Jersin wrote:

> Du har brug for et chroot-jail. Jeg vil anbefale at ty til et tool kaldet
> jailkit. Følgende artikel beskriver skridt for skridt hvordan det
> gøres: "Jailkit howto - creating an sftp/scp-only shell in a chroot
> jail" (http://olivier.sessink.nl/jailkit/howtos_sftp_scp_only.html)

Se det ser straks rigtigt lovende ud. Den vil jeg kigge nærmere på.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg

---

On Mon, 2006-11-13 at 23:52 +0100, Henning Wangerin wrote:
> For at begrænse risikoen vil jeg gerne ha begrænset scp via
> certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
> scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
> være muligt via det pågældende certifikat/login.

Kan du ikke vende det rundt, således at filerne bliver hentet, istedet
for sendt?

---

On Tue, 14 Nov 2006 18:20:32 +0100, Christian E. Lysel wrote:

> On Mon, 2006-11-13 at 23:52 +0100, Henning Wangerin wrote:
>> For at begrænse risikoen vil jeg gerne ha begrænset scp via certifikatet
>> til kun at kunne skrive til et bestemt dir - allerhelst skal scp'en slet
>> ikke kunne læse noget som helst, og ligeledes ssh slet ikke være muligt
>> via det pågældende certifikat/login.
>
> Kan du ikke vende det rundt, således at filerne bliver hentet, istedet for
> sendt?

Desværre ikke.

Problemet er at jeg har haft bøvl med at kontakte et par af
boxene for at hente statistik-info, men delete af boxene (routing og
olsrd) virker fornuftigt nok.

Derfor overvejer jeg en løsning hvor statitsik info via en
store-and-forward løsning.

Ideen er at jeg afsætter en speciel "statistik-ip-adresse" via hna4 i
olsr-protokollen.
Den distribueres derefter automatisk ud i nettet via
olsr-protokollen, og alle noder skal derefter selv aflevere deres
statistik til den node som udvælges som gateway til statistik-ip'en.
Den næste router gør så det samme osv, indtil den havner ved selve
statistik-maskinen.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg

---

On Wed, 2006-11-15 at 21:38 +0100, Henning Wangerin wrote:
> > Kan du ikke vende det rundt, således at filerne bliver hentet, istedet for
> > sendt?
>
> Desværre ikke.

Ok.

"man sshd" har afsnittet "AUTHORIZED_KEYS FILE FORMAT" der bla beskriver
formatet for filen ~/.ssh/authorized_keys.

En mulighed er at specificere hvilken kommando der skal kaldes. scp
kalder faktisk scp på server siden med argumenter angående filer skal
hentes eller sendes, og kilde/destrinationen.
Muligheden hedder "command="command"" og jeg kan forstille mig følgende
kan bruges:

command="scp -t <filernes destination>"


Du kan nu oprette forskellige destinationer pr. RSA/DSA
authentifikation.



Det er ikke særligt godt dokumenteret, "man scp" fortæller således intet
om "-t". Men google finder denne:

http://www.hackinglinuxexposed.com/articles/20030109.html


Der vises en metode til at debug'e vha. variablen $SSH_ORIGINAL_COMMAND


--
Mvh.
Christian E. Lysel - http://christian.lysel.net/

---

On Thu, 16 Nov 2006 21:04:05 +0100, Christian E. Lysel wrote:

> "man sshd" har afsnittet "AUTHORIZED_KEYS FILE FORMAT" der bla beskriver
> formatet for filen ~/.ssh/authorized_keys.
>
> En mulighed er at specificere hvilken kommando der skal kaldes. scp kalder
> faktisk scp på server siden med argumenter angående filer skal hentes
> eller sendes, og kilde/destrinationen. Muligheden hedder
> "command="command"" og jeg kan forstille mig følgende kan bruges:
>
> command="scp -t <filernes destination>"

Det lyder som er mulighed Den tror jeg lige jeg vil kigge nærmere på.

Tak for tippet.

> Det er ikke særligt godt dokumenteret, "man scp" fortæller således intet
> om "-t". Men google finder denne:
>
> http://www.hackinglinuxexposed.com/articles/20030109.html
>
>
> Der vises en metode til at debug'e vha. variablen $SSH_ORIGINAL_COMMAND

Det lyder rigigt interesant. Det er vist noget der kan bruges til noget.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg