como configurar uma conta ssh sem terminal mas com encaminhamento de porta?

4

Estou tentando configurar uma nova conta de usuário que posso fornecer aos amigos para que eles possam fazer SSH em meu computador de encaminhamento e permitir apenas o encaminhamento de determinadas portas.

Não quero que meus amigos tenham um shell ou consigam alterar as portas para onde podem encaminhar.

exemplo: joe (amigo) conecta-se usando o PuTTY (que eu pré-configurei, ele não é bom com computadores) para example.com (meu computador voltado para a Internet) encaminhando as portas 8080,1990,25565 para ele (com que portas de fim que ele quer, preferivelmente eles ficam os mesmos números) exemplo ssh comando para fazer similar (mas ele ainda pode mudar as portas no meu computador!)

ssh -N [email protected] -p443 -L8080:192.168.1.2:8080 -L1990:127.0.0.1:1990 -L25565:127.0.0.1:25565

então, a mesma história com outro amigo smith (mesmas portas, mesmo usuário mesmo) exceto que ele está usando o linux, então não pode usar putty.

é possível também deixar a funcionalidade SSH padrão para todos os outros usuários, exceto este?

Eu encontrei isto quando eu estava pesquisando no google, mas, infelizmente, eu não entendi bem o que estava sendo sugerido, e eu não acho que eles cobriam restringindo o encaminhamento de porta

    
por admalledd 29.01.2011 / 05:38

1 resposta

4

A maneira mais simples que me vem à mente é desabilitar o SFTP e alterar o shell para / usr / sbin / nologin ou algo parecido (um programa que simplesmente imprime "Esta conta não está disponível atualmente" e sai)

Se você não se preocupa com o armazenamento de arquivos em seu usuário em sua máquina, então você é um / etc / passwd longe de uma solução. Se você está preocupado com o preenchimento do seu disco rígido com lixo, posso sugerir a criação de cotas? ;)

Como para restringir as portas utilizáveis, o "permitopen" no sshd_config deve servir bem a esse propósito. Ele não fará exatamente o que você quer, já que ele só pode desaprovar todos, exceto um determinado conjunto de alvos de host para -L, mas pode ser viável executar um sshd separado especificamente para esses usuários, já que você tem essas necessidades específicas para sua restrição.

    
por 29.01.2011 / 06:20