/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Begrænsning af SCP til et enkelt dir?
Fra : Henning Wangerin


Dato : 13-11-06 23:53

Hejsa.

Jeg har en flok routere kørende med openwrt som jeg gerne vil ha sat til
automatisk at forwarde logfiler via scp til hinanden.

SCP/SSH mellem boksene kan let sættes til at ske via certifikat uden
passphrase så det kan gøres via cron.

For at begrænse risikoen vil jeg gerne ha begrænset scp via
certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
være muligt via det pågældende certifikat/login.

Hvordan kan det sættes op?

Serveren melder følgende:

   SSH-2.0-dropbear_0.47



--
MVH
Henning Wangerin / oz1lln


 
 
Kim Jersin (14-11-2006)
Kommentar
Fra : Kim Jersin


Dato : 14-11-06 08:04

Henning Wangerin skrev:
> Jeg har en flok routere kørende med openwrt som jeg gerne vil ha sat til
> automatisk at forwarde logfiler via scp til hinanden.
>
> SCP/SSH mellem boksene kan let sættes til at ske via certifikat uden
> passphrase så det kan gøres via cron.
>
> For at begrænse risikoen vil jeg gerne ha begrænset scp via
> certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
> scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
> være muligt via det pågældende certifikat/login.

Du har brug for et chroot-jail. Jeg vil anbefale at ty til et tool
kaldet jailkit. Følgende artikel beskriver skridt for skridt hvordan det
gøres: "Jailkit howto - creating an sftp/scp-only shell in a chroot
jail" (http://olivier.sessink.nl/jailkit/howtos_sftp_scp_only.html)

/Kim


Henning Wangerin (15-11-2006)
Kommentar
Fra : Henning Wangerin


Dato : 15-11-06 21:40

On Tue, 14 Nov 2006 08:04:04 +0100, Kim Jersin wrote:

> Du har brug for et chroot-jail. Jeg vil anbefale at ty til et tool kaldet
> jailkit. Følgende artikel beskriver skridt for skridt hvordan det
> gøres: "Jailkit howto - creating an sftp/scp-only shell in a chroot
> jail" (http://olivier.sessink.nl/jailkit/howtos_sftp_scp_only.html)

Se det ser straks rigtigt lovende ud. Den vil jeg kigge nærmere på.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg


Christian E. Lysel (14-11-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 14-11-06 18:21

On Mon, 2006-11-13 at 23:52 +0100, Henning Wangerin wrote:
> For at begrænse risikoen vil jeg gerne ha begrænset scp via
> certifikatet til kun at kunne skrive til et bestemt dir - allerhelst skal
> scp'en slet ikke kunne læse noget som helst, og ligeledes ssh slet ikke
> være muligt via det pågældende certifikat/login.

Kan du ikke vende det rundt, således at filerne bliver hentet, istedet
for sendt?


Henning Wangerin (15-11-2006)
Kommentar
Fra : Henning Wangerin


Dato : 15-11-06 21:39

On Tue, 14 Nov 2006 18:20:32 +0100, Christian E. Lysel wrote:

> On Mon, 2006-11-13 at 23:52 +0100, Henning Wangerin wrote:
>> For at begrænse risikoen vil jeg gerne ha begrænset scp via certifikatet
>> til kun at kunne skrive til et bestemt dir - allerhelst skal scp'en slet
>> ikke kunne læse noget som helst, og ligeledes ssh slet ikke være muligt
>> via det pågældende certifikat/login.
>
> Kan du ikke vende det rundt, således at filerne bliver hentet, istedet for
> sendt?

Desværre ikke.

Problemet er at jeg har haft bøvl med at kontakte et par af
boxene for at hente statistik-info, men delete af boxene (routing og
olsrd) virker fornuftigt nok.

Derfor overvejer jeg en løsning hvor statitsik info via en
store-and-forward løsning.

Ideen er at jeg afsætter en speciel "statistik-ip-adresse" via hna4 i
olsr-protokollen.
Den distribueres derefter automatisk ud i nettet via
olsr-protokollen, og alle noder skal derefter selv aflevere deres
statistik til den node som udvælges som gateway til statistik-ip'en.
Den næste router gør så det samme osv, indtil den havner ved selve
statistik-maskinen.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg


Christian E. Lysel (16-11-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 16-11-06 21:04

On Wed, 2006-11-15 at 21:38 +0100, Henning Wangerin wrote:
> > Kan du ikke vende det rundt, således at filerne bliver hentet, istedet for
> > sendt?
>
> Desværre ikke.

Ok.

"man sshd" har afsnittet "AUTHORIZED_KEYS FILE FORMAT" der bla beskriver
formatet for filen ~/.ssh/authorized_keys.

En mulighed er at specificere hvilken kommando der skal kaldes. scp
kalder faktisk scp på server siden med argumenter angående filer skal
hentes eller sendes, og kilde/destrinationen.
Muligheden hedder "command="command"" og jeg kan forstille mig følgende
kan bruges:

command="scp -t <filernes destination>"


Du kan nu oprette forskellige destinationer pr. RSA/DSA
authentifikation.



Det er ikke særligt godt dokumenteret, "man scp" fortæller således intet
om "-t". Men google finder denne:

http://www.hackinglinuxexposed.com/articles/20030109.html


Der vises en metode til at debug'e vha. variablen $SSH_ORIGINAL_COMMAND


--
Mvh.
Christian E. Lysel - http://christian.lysel.net/


Henning Wangerin (16-11-2006)
Kommentar
Fra : Henning Wangerin


Dato : 16-11-06 22:35

On Thu, 16 Nov 2006 21:04:05 +0100, Christian E. Lysel wrote:

> "man sshd" har afsnittet "AUTHORIZED_KEYS FILE FORMAT" der bla beskriver
> formatet for filen ~/.ssh/authorized_keys.
>
> En mulighed er at specificere hvilken kommando der skal kaldes. scp kalder
> faktisk scp på server siden med argumenter angående filer skal hentes
> eller sendes, og kilde/destrinationen. Muligheden hedder
> "command="command"" og jeg kan forstille mig følgende kan bruges:
>
> command="scp -t <filernes destination>"

Det lyder som er mulighed Den tror jeg lige jeg vil kigge nærmere på.

Tak for tippet.

> Det er ikke særligt godt dokumenteret, "man scp" fortæller således intet
> om "-t". Men google finder denne:
>
> http://www.hackinglinuxexposed.com/articles/20030109.html
>
>
> Der vises en metode til at debug'e vha. variablen $SSH_ORIGINAL_COMMAND

Det lyder rigigt interesant. Det er vist noget der kan bruges til noget.

--
MVH
Henning Wangerin / oz1lln
Jeg har et par LinkSys wap54g til salg


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste