|
| Adgangskontrol til porte Fra : Michael Zedeler |
Dato : 17-08-07 23:06 |
|
Hej.
Jeg roder med et projekt hvor jeg har brug for at kunne tildele udvalgte
brugere ret til at binde til nogle udvalgte porte. De to muligheder jeg
har i tankerne er at man muligvis kan med ipfw (et kig i manualen viser
at det er muligt at skrive regler som anvender navngivne brugere) eller
selinux (det ser også ud til at kunne lade sig gøre, men virker som
totalt overkill).
En vigtig hage er at disse rettigheder vil ændre sig dynamisk, så det
skal helst ikke være for krævende at indsætte eller fjerne regler og det
må under ingen omstændigheder medføre afbrudte forbindelser (andet end
hvad der kan opstå som direkte følge af ændringer i regelsættet).
Nogen indspark?
Mvh. Michael.
| |
Peter Mogensen (17-08-2007)
| Kommentar Fra : Peter Mogensen |
Dato : 17-08-07 23:29 |
|
Michael Zedeler wrote:
> Hej.
>
> Jeg roder med et projekt hvor jeg har brug for at kunne tildele udvalgte
> brugere ret til at binde til nogle udvalgte porte. De to muligheder jeg
> har i tankerne er at man muligvis kan med ipfw (et kig i manualen viser
> at det er muligt at skrive regler som anvender navngivne brugere) eller
> selinux (det ser også ud til at kunne lade sig gøre, men virker som
> totalt overkill).
>
> En vigtig hage er at disse rettigheder vil ændre sig dynamisk, så det
> skal helst ikke være for krævende at indsætte eller fjerne regler og det
> må under ingen omstændigheder medføre afbrudte forbindelser (andet end
> hvad der kan opstå som direkte følge af ændringer i regelsættet).
>
> Nogen indspark?
Nogen krav til hvordan brugerne skal authentikeres?
Nogen krav til hvilke klienter de skal bruge under hvilke forhold?
Nogen krav til netværks layout?
Jeg sag og prøvede at komme i tanke om alternativer til ovenstående og
sådan noget som SOCKS, slog mig som en mulighed.
Peter
| |
Michael Zedeler (17-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 17-08-07 23:56 |
|
Peter Mogensen wrote:
> Michael Zedeler wrote:
>> Hej.
>>
>> Jeg roder med et projekt hvor jeg har brug for at kunne tildele
>> udvalgte brugere ret til at binde til nogle udvalgte porte. De to
>> muligheder jeg har i tankerne er at man muligvis kan med ipfw (et kig
>> i manualen viser at det er muligt at skrive regler som anvender
>> navngivne brugere) eller selinux (det ser også ud til at kunne lade
>> sig gøre, men virker som totalt overkill).
>>
>> En vigtig hage er at disse rettigheder vil ændre sig dynamisk, så det
>> skal helst ikke være for krævende at indsætte eller fjerne regler og
>> det må under ingen omstændigheder medføre afbrudte forbindelser (andet
>> end hvad der kan opstå som direkte følge af ændringer i regelsættet).
>>
>> Nogen indspark?
>
> Nogen krav til hvordan brugerne skal authentikeres?
Det sker lokalt med pam.
> Nogen krav til hvilke klienter de skal bruge under hvilke forhold?
De logger på med ssh.
> Nogen krav til netværks layout?
Indtil videre foregår det hele på en enkelt maskine (som står bag en
firewall).
> Jeg sag og prøvede at komme i tanke om alternativer til ovenstående og
> sådan noget som SOCKS, slog mig som en mulighed.
Jeg har aldrig haft lejlighed til rigtig at sætte mig ind i socks, men
nu er måske et godt tidspunkt.
Mvh. Michael.
| |
Peter Mogensen (19-08-2007)
| Kommentar Fra : Peter Mogensen |
Dato : 19-08-07 09:08 |
|
Michael Zedeler wrote:
> Peter Mogensen wrote:
>> Michael Zedeler wrote:
>>> Hej.
>>>
>>> Jeg roder med et projekt hvor jeg har brug for at kunne tildele
>>> udvalgte brugere ret til at binde til nogle udvalgte porte. De to
>>> muligheder jeg har i tankerne er at man muligvis kan med ipfw (et kig
>>> i manualen viser at det er muligt at skrive regler som anvender
>>> navngivne brugere) eller selinux (det ser også ud til at kunne lade
>>> sig gøre, men virker som totalt overkill).
>>>
>>> En vigtig hage er at disse rettigheder vil ændre sig dynamisk, så det
>>> skal helst ikke være for krævende at indsætte eller fjerne regler og
>>> det må under ingen omstændigheder medføre afbrudte forbindelser
>>> (andet end hvad der kan opstå som direkte følge af ændringer i
>>> regelsættet).
>>>
>>> Nogen indspark?
>>
>> Nogen krav til hvordan brugerne skal authentikeres?
>
> Det sker lokalt med pam.
Ahh... se jeg fik jo det indtryk at der var tale om brugere, der
forbandt TIL din maskine udefra.
Men nu får jeg indtryk af at der er tale om lokale brugere, som du blot
vil begrænse hvor kan forbinde HEN.
Er det porten på TCP-destination du vil begrænse for lokale brugere?
iptables kan jo klare det, men SOCKS er da stadig en mulighed, afhængig
af hvilke protokoller de skal snakke og hvilke klienter de skal bruge.
Du fik ikke svaret på hvilken protokol, der skulle snakkes over de
forbindelser du vil begrænse til udvalgte porte.
Peter
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 16:18 |
|
Peter Mogensen wrote:
> Michael Zedeler wrote:
>> Peter Mogensen wrote:
>>> Michael Zedeler wrote:
>>>> Hej.
>>>>
>>>> Jeg roder med et projekt hvor jeg har brug for at kunne tildele
>>>> udvalgte brugere ret til at binde til nogle udvalgte porte. De to
>>>> muligheder jeg har i tankerne er at man muligvis kan med ipfw (et
>>>> kig i manualen viser at det er muligt at skrive regler som anvender
>>>> navngivne brugere) eller selinux (det ser også ud til at kunne lade
>>>> sig gøre, men virker som totalt overkill).
>>>>
>>>> En vigtig hage er at disse rettigheder vil ændre sig dynamisk, så
>>>> det skal helst ikke være for krævende at indsætte eller fjerne
>>>> regler og det må under ingen omstændigheder medføre afbrudte
>>>> forbindelser (andet end hvad der kan opstå som direkte følge af
>>>> ændringer i regelsættet).
>>>>
>>>> Nogen indspark?
>>>
>>> Nogen krav til hvordan brugerne skal authentikeres?
>>
>> Det sker lokalt med pam.
>
> Ahh... se jeg fik jo det indtryk at der var tale om brugere, der
> forbandt TIL din maskine udefra.
>
> Men nu får jeg indtryk af at der er tale om lokale brugere, som du blot
> vil begrænse hvor kan forbinde HEN.
> Er det porten på TCP-destination du vil begrænse for lokale brugere?
Jeg beklager at jeg tilsyneladende slet ikke har fået formuleret
spørgsmålet præcist nok.
Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
(altså vha. systemkaldet accept())?
Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg mao.
interesseret i at forhindre dem i at starte programmer der binder til
andet end nogle udvalgte portnumre.
> iptables kan jo klare det, men SOCKS er da stadig en mulighed, afhængig
> af hvilke protokoller de skal snakke og hvilke klienter de skal bruge.
> Du fik ikke svaret på hvilken protokol, der skulle snakkes over de
> forbindelser du vil begrænse til udvalgte porte.
Det burde være muligt at lave en protokoluafhængig løsning.
Mvh. Michael.
| |
Peter Mogensen (19-08-2007)
| Kommentar Fra : Peter Mogensen |
Dato : 19-08-07 20:59 |
|
Michael Zedeler wrote:
> Jeg beklager at jeg tilsyneladende slet ikke har fået formuleret
> spørgsmålet præcist nok.
>
> Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
> lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
> (altså vha. systemkaldet accept())?
"lytte på" ??
Ok.. det havde jeg SLET ikke opfattet.
Jeg vil anbefale dig at bygge noget op omkring iptables "owner" modul.
>> iptables kan jo klare det, men SOCKS er da stadig en mulighed,
>> afhængig af hvilke protokoller de skal snakke og hvilke klienter de
>> skal bruge. Du fik ikke svaret på hvilken protokol, der skulle snakkes
>> over de forbindelser du vil begrænse til udvalgte porte.
>
> Det burde være muligt at lave en protokoluafhængig løsning.
Ja... men SOCKS er slet ikke relevant til det jeg nu forstår er
formålet. Så glem SOCKS.
| |
Kent Friis (19-08-2007)
| Kommentar Fra : Kent Friis |
Dato : 19-08-07 21:34 |
|
Den Sun, 19 Aug 2007 21:58:49 +0200 skrev Peter Mogensen:
> Michael Zedeler wrote:
>> Jeg beklager at jeg tilsyneladende slet ikke har fået formuleret
>> spørgsmålet præcist nok.
>>
>> Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>> lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>> (altså vha. systemkaldet accept())?
>
> "lytte på" ??
> Ok.. det havde jeg SLET ikke opfattet.
> Jeg vil anbefale dig at bygge noget op omkring iptables "owner" modul.
Det forhindrer kun hvem der kan modtage. Hvis A lytter på den port
der er reserveret til B, vil A ikke modtage noget, men B kan stadig
ikke lytte, da porten er i brug.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 21:42 |
|
Kent Friis wrote:
> Den Sun, 19 Aug 2007 21:58:49 +0200 skrev Peter Mogensen:
>> Michael Zedeler wrote:
>>> Jeg beklager at jeg tilsyneladende slet ikke har fået formuleret
>>> spørgsmålet præcist nok.
>>>
>>> Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>>> lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>>> (altså vha. systemkaldet accept())?
>> "lytte på" ??
>> Ok.. det havde jeg SLET ikke opfattet.
>> Jeg vil anbefale dig at bygge noget op omkring iptables "owner" modul.
>
> Det forhindrer kun hvem der kan modtage. Hvis A lytter på den port
> der er reserveret til B, vil A ikke modtage noget, men B kan stadig
> ikke lytte, da porten er i brug.
Det lyder ikke godt. Så hvis jeg har forstået det korrekt, kan man ikke
afvise at nogen binder til en lokal port - kun at trafikken ikke når frem?
Dermed er iptables ikke en komplet løsning, da jeg så så er eksponeret
overfor denial of service-angreb.
Mvh. Michael.
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 21:43 |
|
Peter Mogensen wrote:
> Michael Zedeler wrote:
>> Jeg beklager at jeg tilsyneladende slet ikke har fået formuleret
>> spørgsmålet præcist nok.
>>
>> Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>> lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>> (altså vha. systemkaldet accept())?
>
> "lytte på" ??
> Ok.. det havde jeg SLET ikke opfattet.
> Jeg vil anbefale dig at bygge noget op omkring iptables "owner" modul.
Ja. Beklager at den første posting var så uklar. Som Kent skriver, kan
der være et problem i at nøjes med iptables, men det er da et skridt i
den rigtige retning.
Mvh. Michael.
| |
Thorbjørn Ravn Ander~ (19-08-2007)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 19-08-07 09:49 |
|
Michael Zedeler <michael@zedeler.dk> writes:
> Hej.
>
> Jeg roder med et projekt hvor jeg har brug for at kunne tildele
> udvalgte brugere ret til at binde til nogle udvalgte porte. De to
Lyder som noget Quality Of Service.
Hvilket scenario er det præcis du ønsker at afhjælpe? (Husk at ofte er
det en bedre ide med socialt pres istedet for tekniske hindringer).
--
Thorbjørn Ravn Andersen
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 16:20 |
|
Thorbjørn Ravn Andersen wrote:
> Michael Zedeler <michael@zedeler.dk> writes:
>
>> Jeg roder med et projekt hvor jeg har brug for at kunne tildele
>> udvalgte brugere ret til at binde til nogle udvalgte porte. De to
>
> Lyder som noget Quality Of Service.
>
> Hvilket scenario er det præcis du ønsker at afhjælpe? (Husk at ofte er
> det en bedre ide med socialt pres istedet for tekniske hindringer).
Jeg må se i øjnene at mit oprindelige spørgsmål er alt for upræcist til
at det kan bruge som et brugbart udgangspunkt for en diskussion. Her er
en præcisering af mit spørgsmål:
Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
(altså vha. systemkaldet accept())?
Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg mao.
interesseret i at forhindre dem i at starte programmer der binder til
andet end nogle udvalgte portnumre.
Mvh. Michael.
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 16:49 |
|
On Sun, 19 Aug 2007 17:19:42 +0200, Michael Zedeler
<michael@zedeler.dk> wrote:
>Jeg må se i øjnene at mit oprindelige spørgsmål er alt for upræcist til
>at det kan bruge som et brugbart udgangspunkt for en diskussion. Her er
>en præcisering af mit spørgsmål:
>
>Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>(altså vha. systemkaldet accept())?
>
>Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg mao.
>interesseret i at forhindre dem i at starte programmer der binder til
>andet end nogle udvalgte portnumre.
Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
superbrugeren, og programmer der lytter til disse 'trusted ports' skal
køre som 'root' ?!
Hvad er det helt præcis for porte du frygter brugerne skal (mis-)
bruge ?
<mlr>
| |
Kent Friis (19-08-2007)
| Kommentar Fra : Kent Friis |
Dato : 19-08-07 16:52 |
|
Den Sun, 19 Aug 2007 17:49:10 +0200 skrev Michael Rasmussen:
> On Sun, 19 Aug 2007 17:19:42 +0200, Michael Zedeler
> <michael@zedeler.dk> wrote:
>
>>Jeg må se i øjnene at mit oprindelige spørgsmål er alt for upræcist til
>>at det kan bruge som et brugbart udgangspunkt for en diskussion. Her er
>>en præcisering af mit spørgsmål:
>>
>>Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>>lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>>(altså vha. systemkaldet accept())?
>>
>>Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg mao.
>>interesseret i at forhindre dem i at starte programmer der binder til
>>andet end nogle udvalgte portnumre.
>
> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
0? NUL?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 17:01 |
|
On 19 Aug 2007 15:52:03 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
>
>0? NUL?
Jep, 0 er en officiel port. Selv om min gamle lasede TCP/IP håndbog
anfører om den:
Reserved; do not use (but is a permissible source port value if the
sending process does not expect messages in response)
<mlr>
| |
Kent Friis (19-08-2007)
| Kommentar Fra : Kent Friis |
Dato : 19-08-07 17:29 |
|
Den Sun, 19 Aug 2007 18:00:31 +0200 skrev Michael Rasmussen:
> On 19 Aug 2007 15:52:03 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
>>
>>0? NUL?
>
> Jep, 0 er en officiel port. Selv om min gamle lasede TCP/IP håndbog
> anfører om den:
>
> Reserved; do not use (but is a permissible source port value if the
> sending process does not expect messages in response)
Hvornår forventer man ikke noget "svar" på en listen/accept?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 18:21 |
|
On 19 Aug 2007 16:28:41 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Sun, 19 Aug 2007 18:00:31 +0200 skrev Michael Rasmussen:
>> On 19 Aug 2007 15:52:03 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
>>>
>>>0? NUL?
>>
>> Jep, 0 er en officiel port. Selv om min gamle lasede TCP/IP håndbog
>> anfører om den:
>>
>> Reserved; do not use (but is a permissible source port value if the
>> sending process does not expect messages in response)
>
>Hvornår forventer man ikke noget "svar" på en listen/accept?
Du 'vender den om'...
Anyway:
Jeg er hverken programmør eller ekspert i TCP/IP, men bare en luset
amatør der leger med en linux server og lidt netværk.
Men som jeg forstår det, er den væsentligste hindring for at anvende
port 0 at den oprindelige Berkeley Unix Socket grænseflade opfatter
port 0 som 'et wildcard', der overlader det til systemet at vælge en
passende port.
Men det skal rent faktisk være teknisk muligt via 'Raw Sockets' at få
en server til at lytte på port 0.
Mon ikke der er kloge mennesker her i gruppen der kan kommentere på
den ?
<mlr>
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 17:52 |
|
Michael Rasmussen wrote:
> On Sun, 19 Aug 2007 17:19:42 +0200, Michael Zedeler
> <michael@zedeler.dk> wrote:
>
>> Jeg må se i øjnene at mit oprindelige spørgsmål er alt for upræcist til
>> at det kan bruge som et brugbart udgangspunkt for en diskussion. Her er
>> en præcisering af mit spørgsmål:
>>
>> Spørgsmålet er om der er nogen måder man kan begrænse hvilke porte
>> lokale brugere på en unix-maskine (Linux eller netbsd) kan lytte på
>> (altså vha. systemkaldet accept())?
>>
>> Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg mao.
>> interesseret i at forhindre dem i at starte programmer der binder til
>> andet end nogle udvalgte portnumre.
>
> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
> superbrugeren, og programmer der lytter til disse 'trusted ports' skal
> køre som 'root' ?!
Ja.
> Hvad er det helt præcis for porte du frygter brugerne skal (mis-)
> bruge ?
Det er til en applikation hvor nogle udvalgte porte er allokerede til
specifikke brugere.
Mvh. Michael.
| |
Thorbjørn Ravn Ander~ (19-08-2007)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 19-08-07 19:52 |
|
Michael Zedeler <michael@zedeler.dk> writes:
> Det er til en applikation hvor nogle udvalgte porte er allokerede til
> specifikke brugere.
Kan du ikke pakke applikationen ind i tcpwrappers? Så har du i
hvertfald frameworket på plads.
--
Thorbjørn Ravn Andersen
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 21:39 |
|
Thorbjørn Ravn Andersen wrote:
> Michael Zedeler <michael@zedeler.dk> writes:
>
>> Det er til en applikation hvor nogle udvalgte porte er allokerede til
>> specifikke brugere.
>
> Kan du ikke pakke applikationen ind i tcpwrappers? Så har du i
> hvertfald frameworket på plads.
tcpwrappers kan ikke bruges da problemet pt. gælder ssh-forwardede
porte. Dermed er der ingenting at wrappe.
Mvh. Michael.
| |
Thorbjørn Ravn Ander~ (19-08-2007)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 19-08-07 22:10 |
|
Michael Zedeler <michael@zedeler.dk> writes:
> tcpwrappers kan ikke bruges da problemet pt. gælder ssh-forwardede
> porte. Dermed er der ingenting at wrappe.
Du kan vel bare bede inetd om at sitte på alle portene du ikke vil
have nogen bruger - skulle det ikke kunne gøre det?
--
Thorbjørn Ravn Andersen
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 22:36 |
|
Thorbjørn Ravn Andersen wrote:
> Michael Zedeler <michael@zedeler.dk> writes:
>
>> tcpwrappers kan ikke bruges da problemet pt. gælder ssh-forwardede
>> porte. Dermed er der ingenting at wrappe.
>
> Du kan vel bare bede inetd om at sitte på alle portene du ikke vil
> have nogen bruger - skulle det ikke kunne gøre det?
Nej, for jeg vil netop gerne tildele specifikke porte til specifikke
brugere. Et eksempel:
Thorbjørn må gerne binde til port 8000.
Peter må gerne binde til port 8001.
ssh -R:8000:localhost:80 thorbjørn@min.server.et.sted.i.verden
Det skal gå godt.
ssh -R:2000:localhost:80 thorbjørn@min.server.et.sted.i.verden
Nixenbixen.
Men samtidig skal
ssh -R:8001:localhost:80 peter@min.server.et.sted.i.verden
gå godt imens
ssh -R:8001:localhost:80 thorbjørn@min.server.et.sted.i.verden
ikke er tilladt. Det er for så vidt underordnet hvordan ssh iøvrigt
reagerer, når man bliver forment adgang, så længe det ikke er muligt at
binde til porte, man ikke har adgang til.
Mvh. Michael.
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 22:59 |
|
On Sun, 19 Aug 2007 23:36:05 +0200, Michael Zedeler
<michael@zedeler.dk> wrote:
>Nej, for jeg vil netop gerne tildele specifikke porte til specifikke
>brugere. Et eksempel:
>
>Thorbjørn må gerne binde til port 8000.
>Peter må gerne binde til port 8001.
>
>ssh -R:8000:localhost:80 thorbjørn@min.server.et.sted.i.verden
>
>Det skal gå godt.
>
>ssh -R:2000:localhost:80 thorbjørn@min.server.et.sted.i.verden
>
>Nixenbixen.
>
>Men samtidig skal
>
>ssh -R:8001:localhost:80 peter@min.server.et.sted.i.verden
>
>gå godt imens
>
>ssh -R:8001:localhost:80 thorbjørn@min.server.et.sted.i.verden
>
>ikke er tilladt. Det er for så vidt underordnet hvordan ssh iøvrigt
>reagerer, når man bliver forment adgang, så længe det ikke er muligt at
>binde til porte, man ikke har adgang til.
Prøv at kigge lidt på opsætningen af sshd_config
Mon ikke PermitOpen er den funktion du søger...
<mlr>
| |
Michael Zedeler (19-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 19-08-07 23:18 |
|
Michael Rasmussen wrote:
> On Sun, 19 Aug 2007 23:36:05 +0200, Michael Zedeler
> <michael@zedeler.dk> wrote:
>
>> Nej, for jeg vil netop gerne tildele specifikke porte til specifikke
>> brugere. Et eksempel:
>>
>> Thorbjørn må gerne binde til port 8000.
>> Peter må gerne binde til port 8001.
>>
>> ssh -R:8000:localhost:80 thorbjørn@min.server.et.sted.i.verden
>>
>> Det skal gå godt.
>>
>> ssh -R:2000:localhost:80 thorbjørn@min.server.et.sted.i.verden
>>
>> Nixenbixen. [...]
>
> Prøv at kigge lidt på opsætningen af sshd_config
>
> Mon ikke PermitOpen er den funktion du søger...
Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
PermitOpen (den er åbenbart for ny til at være kommet med i debians
nyeste), men så vidt jeg kan se (efter at have læst man-siden på
nettet), er der ingen mulighed for at give tilladelser der
afhænger af hvilken lokal bruger, man logger ind som.
Mvh. Michael.
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 23:29 |
|
On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
<michael@zedeler.dk> wrote:
>Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
>PermitOpen (den er åbenbart for ny til at være kommet med i debians
>nyeste), men så vidt jeg kan se (efter at have læst man-siden på
>nettet), er der ingen mulighed for at give tilladelser der
>afhænger af hvilken lokal bruger, man logger ind som.
Jo da...
Med Match User xx kan du lave betingede blokke med individueller
PermitOpen, Banner etc for hver enkelt bruger på systemet..
Kig på sshd_config manual siden her:
http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
Det må simpelthen være svaret på alle dine bønner..
<mlr>
| |
Michael Zedeler (20-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 20-08-07 12:14 |
|
Michael Rasmussen wrote:
> On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
> <michael@zedeler.dk> wrote:
>
>> Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
>> PermitOpen (den er åbenbart for ny til at være kommet med i debians
>> nyeste), men så vidt jeg kan se (efter at have læst man-siden på
>> nettet), er der ingen mulighed for at give tilladelser der
>> afhænger af hvilken lokal bruger, man logger ind som.
>
> Jo da...
>
> Med Match User xx kan du lave betingede blokke med individueller
> PermitOpen, Banner etc for hver enkelt bruger på systemet..
>
> Kig på sshd_config manual siden her:
>
> http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
>
> Det må simpelthen være svaret på alle dine bønner..
Det løser mit problem lige nu og her, da brugerne alligevel ikke får
adgang til nogle kommandoer, der kan binde til lokale porte.
Tilsyneladende er Match-direktivet også så nyt at det ikke er med i
vores debian-installation (som er ret ny), men det kan der jo rådes bod
på...
Tak for hjælpen.
Mvh. Michael.
| |
Michael Zedeler (21-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 21-08-07 14:48 |
|
On Aug 20, 1:14 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
> Michael Rasmussen wrote:
> > On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
> > <mich...@zedeler.dk> wrote:
>
> >> Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
> >> PermitOpen (den er åbenbart for ny til at være kommet med i debians
> >> nyeste), men så vidt jeg kan se (efter at have læst man-siden på
> >> nettet), er der ingen mulighed for at give tilladelser der
> >> afhænger af hvilken lokal bruger, man logger ind som.
>
> > Jo da...
>
> > Med Match User xx kan du lave betingede blokke med individueller
> > PermitOpen, Banner etc for hver enkelt bruger på systemet..
>
> > Kig på sshd_config manual siden her:
>
> > http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
>
> > Det må simpelthen være svaret på alle dine bønner..
>
> Det løser mit problem lige nu og her, da brugerne alligevel ikke får
> adgang til nogle kommandoer, der kan binde til lokale porte.
Duh. Nu har jeg kigget lidt på PermitOpen og den virker kun på porte
forwardet lokalt fra klienten (ssh -L<minport>:<enserver>:<densport>)
ikke lokale porte forwardet fra serveren (ssh -R
<serverensport>:<minlokaleserver>:<densport>).
Se også mit eksempel i news:bJ2yi.43$Ab3.42@news.get2net.dk
Mvh. Michael.
| |
Kent Friis (21-08-2007)
| Kommentar Fra : Kent Friis |
Dato : 21-08-07 16:13 |
|
Den Tue, 21 Aug 2007 06:47:53 -0700 skrev Michael Zedeler:
> On Aug 20, 1:14 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
>> Michael Rasmussen wrote:
>> > On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
>> > <mich...@zedeler.dk> wrote:
>>
>> >> Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
>> >> PermitOpen (den er åbenbart for ny til at være kommet med i debians
>> >> nyeste), men så vidt jeg kan se (efter at have læst man-siden på
>> >> nettet), er der ingen mulighed for at give tilladelser der
>> >> afhænger af hvilken lokal bruger, man logger ind som.
>>
>> > Jo da...
>>
>> > Med Match User xx kan du lave betingede blokke med individueller
>> > PermitOpen, Banner etc for hver enkelt bruger på systemet..
>>
>> > Kig på sshd_config manual siden her:
>>
>> > http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
>>
>> > Det må simpelthen være svaret på alle dine bønner..
>>
>> Det løser mit problem lige nu og her, da brugerne alligevel ikke får
>> adgang til nogle kommandoer, der kan binde til lokale porte.
>
> Duh. Nu har jeg kigget lidt på PermitOpen og den virker kun på porte
> forwardet lokalt fra klienten (ssh -L<minport>:<enserver>:<densport>)
> ikke lokale porte forwardet fra serveren (ssh -R
> <serverensport>:<minlokaleserver>:<densport>).
Du har ikke taget fejl af ssh_config og sshd_config? Serveren bør
ikke have nogen indflydelse på hvilke porte klienten kan
forwarde (medmindre vi snakker om hvilke porte på serveren som
klienten kan forware til).
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Zedeler (21-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 21-08-07 20:28 |
|
Kent Friis wrote:
> Den Tue, 21 Aug 2007 06:47:53 -0700 skrev Michael Zedeler:
>> On Aug 20, 1:14 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
>>> Michael Rasmussen wrote:
>>>> On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
>>>> <mich...@zedeler.dk> wrote:
>>>>> Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
>>>>> PermitOpen (den er åbenbart for ny til at være kommet med i debians
>>>>> nyeste), men så vidt jeg kan se (efter at have læst man-siden på
>>>>> nettet), er der ingen mulighed for at give tilladelser der
>>>>> afhænger af hvilken lokal bruger, man logger ind som.
>>>> Jo da...
>>>> Med Match User xx kan du lave betingede blokke med individueller
>>>> PermitOpen, Banner etc for hver enkelt bruger på systemet..
>>>> Kig på sshd_config manual siden her:
>>>> http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
>>>> Det må simpelthen være svaret på alle dine bønner..
>>> Det løser mit problem lige nu og her, da brugerne alligevel ikke får
>>> adgang til nogle kommandoer, der kan binde til lokale porte.
>> Duh. Nu har jeg kigget lidt på PermitOpen og den virker kun på porte
>> forwardet lokalt fra klienten (ssh -L<minport>:<enserver>:<densport>)
>> ikke lokale porte forwardet fra serveren (ssh -R
>> <serverensport>:<minlokaleserver>:<densport>).
>
> Du har ikke taget fejl af ssh_config og sshd_config? Serveren bør
> ikke have nogen indflydelse på hvilke porte klienten kan
> forwarde (medmindre vi snakker om hvilke porte på serveren som
> klienten kan forware til).
Jeg er ret sikker på at jeg har kigget i sshd_config. PermitOpen
begræsner hvilke par af <fjern server>:<dens port> man kan forwarde til
fra en lokal port. Det jeg har brug for er at begrænse hvilke porte man
kan binde til på den fjerne server mhp. at forwarde dem til noget i
klientens ende.
Mvh. Michael.
| |
Kent Friis (21-08-2007)
| Kommentar Fra : Kent Friis |
Dato : 21-08-07 21:44 |
|
Den Tue, 21 Aug 2007 21:27:50 +0200 skrev Michael Zedeler:
> Kent Friis wrote:
>> Den Tue, 21 Aug 2007 06:47:53 -0700 skrev Michael Zedeler:
>>> On Aug 20, 1:14 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
>>>> Michael Rasmussen wrote:
>>>>> On Mon, 20 Aug 2007 00:18:06 +0200, Michael Zedeler
>>>>> <mich...@zedeler.dk> wrote:
>>>>>> Jeg har kigget i manualen til sshd_config og fandt godt nok ikke
>>>>>> PermitOpen (den er åbenbart for ny til at være kommet med i debians
>>>>>> nyeste), men så vidt jeg kan se (efter at have læst man-siden på
>>>>>> nettet), er der ingen mulighed for at give tilladelser der
>>>>>> afhænger af hvilken lokal bruger, man logger ind som.
>>>>> Jo da...
>>>>> Med Match User xx kan du lave betingede blokke med individueller
>>>>> PermitOpen, Banner etc for hver enkelt bruger på systemet..
>>>>> Kig på sshd_config manual siden her:
>>>>> http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
>>>>> Det må simpelthen være svaret på alle dine bønner..
>>>> Det løser mit problem lige nu og her, da brugerne alligevel ikke får
>>>> adgang til nogle kommandoer, der kan binde til lokale porte.
>>> Duh. Nu har jeg kigget lidt på PermitOpen og den virker kun på porte
>>> forwardet lokalt fra klienten (ssh -L<minport>:<enserver>:<densport>)
>>> ikke lokale porte forwardet fra serveren (ssh -R
>>> <serverensport>:<minlokaleserver>:<densport>).
>>
>> Du har ikke taget fejl af ssh_config og sshd_config? Serveren bør
>> ikke have nogen indflydelse på hvilke porte klienten kan
>> forwarde (medmindre vi snakker om hvilke porte på serveren som
>> klienten kan forware til).
>
> Jeg er ret sikker på at jeg har kigget i sshd_config. PermitOpen
> begræsner hvilke par af <fjern server>:<dens port> man kan forwarde til
> fra en lokal port.
Ok, på den måde. Det var ikke klart i det du skrev, det lød som om du
snakkede om klienten.
Det ser ud til at du har ret.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Zedeler (21-08-2007)
| Kommentar Fra : Michael Zedeler |
Dato : 21-08-07 23:03 |
|
Kent Friis wrote:
> Den Tue, 21 Aug 2007 21:27:50 +0200 skrev Michael Zedeler:
>> Kent Friis wrote:
>>> Den Tue, 21 Aug 2007 06:47:53 -0700 skrev Michael Zedeler:
>> Jeg er ret sikker på at jeg har kigget i sshd_config. PermitOpen
>> begræsner hvilke par af <fjern server>:<dens port> man kan forwarde til
>> fra en lokal port.
>
> Ok, på den måde. Det var ikke klart i det du skrev, det lød som om du
> snakkede om klienten.
Ja. Jeg er åbenbart ved at udvikle mig til noget af en sprogspasser. Af
samme grund skrev jeg også eksemplerne i en anden del af tråden.
....men jeg vil lede videre. Det ender nok med at jeg må skrive en kernel
probe eller hacke i libc (og compile sshd så den bruger den dynamiske
version af libc).
Mvh. Michael.
| |
Peter Mogensen (19-08-2007)
| Kommentar Fra : Peter Mogensen |
Dato : 19-08-07 21:01 |
|
Michael Zedeler wrote:
> Michael Rasmussen wrote:
>>
>> Du er vel klar over at de første porte fra 0 - 1023 er forbeholdt
>> superbrugeren, og programmer der lytter til disse 'trusted ports' skal
>> køre som 'root' ?!
>
> Ja.
Det kan man da så vidt jeg ved slå fra, hvis man ønsker.
| |
Thorbjørn Ravn Ander~ (19-08-2007)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 19-08-07 19:51 |
|
Michael Zedeler <michael@zedeler.dk> writes:
> Hvis jeg har en flok brugere som logger ind i et unix-miljø, er jeg
> mao. interesseret i at forhindre dem i at starte programmer der binder
> til andet end nogle udvalgte portnumre.
Ikke så vidt jeg ved, men min viden er heller ikke dugfrisk.
Men bare for en god ordens skyld, hvad er det du gerne vil undgå.
--
Thorbjørn Ravn Andersen
| |
Michael Rasmussen (19-08-2007)
| Kommentar Fra : Michael Rasmussen |
Dato : 19-08-07 21:48 |
| | |
|
|