|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Spartak Radchenko 2:5020/400 30 Oct 2007 20:59:23
To : Vadim Goncharov
Subject : Re: Как отключить проброс портов ssh ?
--------------------------------------------------------------------------------
Vadim Goncharov <vadimnuclight@tpu.ru> wrote:
VG>
PV>>>>> При логине на сервак через путтю появляется возможность у юзера
PV>>>>> подключаться с помощью мапинга портов через ssh-тунель к различным
PV>>>>> сервисам. Можно-ли как-то это дело регулировать, например что бы
PV>>>>> кроме рута ни у кого такой возможности не было?
SR>>>> У sshd есть опция - no-port-forwarding. Hо для всех сразу.
SR>>>> Кстати, я бы предпочёл, чтобы оно было по дефолту, а то
SR>>>> несекьюрно как-то.
VG>>>
VG>>> Hесекьюрно - это давать шеллы кому попало. А кому выдано - тем удобнее
VG>>> это таки иметь.
SR>> Есть такой shell - nologin. В паре с ним проброс портов нафиг
SR>> не сдался, однако ж работает. А nologin таки да, может быть
SR>> выдан, кому попало. Hу и scponly до кучи.
VG>
VG> Это вообще для любого шелла? У меня большинству юзеров в /etc/shells
VG> стоит /bin/false.
В том-то и проблема. Даже не нужно прописывать в /etc/shells,
всех пускает. Вот с /nonexistent - не пускает.
VG> Правда, у меня еще в ipfw есть правило:
VG> deny tcp from me to not локальная_сеть out setup { gid
VG> users or gid hosting } not uid vadim not uid ... //перечень кому можно
Hу и правильно.
--
Spartak Radchenko SVR1-RIPE
--- ifmail v.2.15dev5.4
* Origin: Arguments & Facts Weekly (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
