|
| kun mulighed for SSH tunnel? Fra : Kasper Lund |
Dato : 21-08-09 09:16 |
|
Hej.
Jeg har en enkelt bruger der bruger en webapplikation på mit system.
Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
genvej på skrivebordet der åbner en tunnel og samtadig starter hans
webbrowser op og logger ind på den rigtige side.
Problemet er at han nu er logget på mit system og i realiteten kan
browse rundt og måske lave rod i noget han ikke skal.
Jeg ville derfor gerne have muligheden for at kunne give ham en shell
der ikke giver ham mulighed for noget som helst andet end at oprette en
tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
shelle til dette?
Mvh.
Kasper
| |
Allan Willems Joerge~ (21-08-2009)
| Kommentar Fra : Allan Willems Joerge~ |
Dato : 21-08-09 12:19 |
|
Kasper Lund <fake@usenet.dk> wrote:
> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
> der ikke giver ham mulighed for noget som helst andet end at oprette en
> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
> shelle til dette?
Så vidt jeg ved er der ikke en "lige-ud-af-boksen" løsning; men hvis du
Googler efter "ssh tunnel only shell" får du en del måder at
implementere det på.
--
Allan Willems Joergensen, OnDemand: http://www.nowhere.dk
"Does anybody here remember Vera Lynn?" -Floyd
| |
Kasper Lund (21-08-2009)
| Kommentar Fra : Kasper Lund |
Dato : 21-08-09 14:09 |
|
Allan Willems Joergensen wrote:
> Kasper Lund <fake@usenet.dk> wrote:
>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette en
>> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
>> shelle til dette?
>
> Så vidt jeg ved er der ikke en "lige-ud-af-boksen" løsning; men hvis du
> Googler efter "ssh tunnel only shell" får du en del måder at
> implementere det på.
>
Ja, det har jeg set. Jeg havde håbet på der var en nem standard løsning.
| |
Thorbjørn Ravn Ander~ (21-08-2009)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 21-08-09 12:34 |
|
Kasper Lund skrev den 21-08-2009 10:15:
> Hej.
>
> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>
> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
> webbrowser op og logger ind på den rigtige side.
>
> Problemet er at han nu er logget på mit system og i realiteten kan
> browse rundt og måske lave rod i noget han ikke skal.
>
> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
> der ikke giver ham mulighed for noget som helst andet end at oprette en
> tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en standard
> shelle til dette?
/bin/false er vist standardtricket til dét.
| |
Kasper Lund (21-08-2009)
| Kommentar Fra : Kasper Lund |
Dato : 21-08-09 14:08 |
|
Thorbjørn Ravn Andersen wrote:
> Kasper Lund skrev den 21-08-2009 10:15:
>> Hej.
>>
>> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>>
>> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
>> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
>> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
>> webbrowser op og logger ind på den rigtige side.
>>
>> Problemet er at han nu er logget på mit system og i realiteten kan
>> browse rundt og måske lave rod i noget han ikke skal.
>>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette
>> en tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en
>> standard shelle til dette?
>
> /bin/false er vist standardtricket til dét.
Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
brugeren skal stadig kunne oprette en forbindelse.
| |
Niels Baggesen (21-08-2009)
| Kommentar Fra : Niels Baggesen |
Dato : 21-08-09 16:33 |
|
Kasper Lund <fake@usenet.dk> wrote:
> Thorbjørn Ravn Andersen wrote:
> > /bin/false er vist standardtricket til dét.
> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
> brugeren skal stadig kunne oprette en forbindelse.
/bin/false vil smide forbindelsen med det samme, så der når din bruger
ikke at åbne tunnellen. Men man kunne måske lave en "shell" som bare
kaldte "sleep 30" så han kunne nå at oprette tunnellen, så vil SSH
forbindelsen holde sig åben indtil tunnellen lukkes.
/Niels
--
Niels Baggesen -- @home -- Århus -- Denmark -- niels@baggesen.net
The purpose of computing is insight, not numbers -- R W Hamming
| |
Thorbjørn Ravn Ander~ (21-08-2009)
| Kommentar Fra : Thorbjørn Ravn Ander~ |
Dato : 21-08-09 17:56 |
|
Kasper Lund skrev:
> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
> brugeren skal stadig kunne oprette en forbindelse.
Du kan godt etablere en tunnel uden at logge ind. Der er et flag til
ssh til formålet.
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
| |
Kasper Nordal Lund (21-08-2009)
| Kommentar Fra : Kasper Nordal Lund |
Dato : 21-08-09 20:12 |
|
Thorbjørn Ravn Andersen wrote:
> Kasper Lund skrev:
>
>> Det giver så vidt jeg kan læse mig til slet ikke mulighed for logon,
>> brugeren skal stadig kunne oprette en forbindelse.
>
> Du kan godt etablere en tunnel uden at logge ind. Der er et flag til
> ssh til formålet.
Et flag, mener du fra klienten? Jeg vil gerne have det lavet på server side.
Hvis det er på server siden kan du så løfte sløret for hvordan det skal
konfigureres for en enkelt bruger?
Mvh.
Kasper
| |
Kasper Lund (22-08-2009)
| Kommentar Fra : Kasper Lund |
Dato : 22-08-09 20:04 |
|
Thorbjørn Ravn Andersen skrev:
> Kasper Lund skrev den 21-08-2009 10:15:
>> Hej.
>>
>> Jeg har en enkelt bruger der bruger en webapplikation på mit system.
>>
>> Af sikerhedsmæssige årsager vil jeg kun give ham adgang via en ssh
>> tunnel, hvilket også virker perfekt med tunnelier. Her kan jeg lave en
>> genvej på skrivebordet der åbner en tunnel og samtadig starter hans
>> webbrowser op og logger ind på den rigtige side.
>>
>> Problemet er at han nu er logget på mit system og i realiteten kan
>> browse rundt og måske lave rod i noget han ikke skal.
>>
>> Jeg ville derfor gerne have muligheden for at kunne give ham en shell
>> der ikke giver ham mulighed for noget som helst andet end at oprette
>> en tunnel. Kan det lade sig gøre? Og findes der måske ligefrem en
>> standard shelle til dette?
>
> /bin/false er vist standardtricket til dét.
Ja, det var løsningen, jeg skulle bare have afprøvet med det samme.
Tunnelier understøtter pr. default denne option.
Tak for svaret.
Mvh.
Kasper
| |
Jacob Gaarde (21-08-2009)
| Kommentar Fra : Jacob Gaarde |
Dato : 21-08-09 19:01 |
|
On Fri, 21 Aug 2009 18:56:22 +0200
Thorbjørn Ravn Andersen <nospam0002@gmail.com> wrote:
> Du kan godt etablere en tunnel uden at logge ind.
Du mener forhåbentlig "uden at få en interaktiv shell"
Ellers kan gud-og-hvermand jo bruge en ssh-server som springbrædt
netværksmæssigt.
--
--
//Jacob Gaarde
//Dont reply to my (apparent) e-mail address. Instead Use
//e-mail : jgaarde <at> gmail <dot> com
< http://www.linkedin.com/in/jacobgaarde>
| |
|
|