Usuário Linux sem permissões de sistema de arquivos

3

Eu preciso criar um usuário Linux com o único propósito de um proxy SSH. Entre outras coisas, o usuário não deve ser capaz de explorar o sistema de arquivos ou mesmo acessar um shell realmente.

Obviamente, eu poderia apenas chmod remover todas as permissões de leitura / gravação / execução para tudo, mas isso é obviamente uma opção muito ruim e potencialmente demorada.

A única conexão usando esse usuário deve ser via ssh -D [email protected]

Estou usando o Debian 7.

    
por Alex 18.07.2016 / 08:27

2 respostas

5

Se o usuário fizer login, ele precisará ler alguns bits do sistema de arquivos. Você simplesmente não pode iniciar um shell interativo sem acesso a determinados arquivos.

Se tudo o que eles precisam fazer é autenticar o suficiente para encapsular outras conexões (incluindo, como neste caso, aproveitando o recurso de proxy SOCKS do ssh), é melhor negar ao usuário um shell interativo (por exemplo, usermod -s /sbin/nologin account ), em seguida, autentique-os sem interação ( ssh -N -D 23456 [email protected] ).

Não se esqueça de que ssh -D requer um número de porta para vincular o proxy SOCKS local, portanto, o exemplo em sua pergunta é sintaticamente inválido.

    
por 18.07.2016 / 10:12
0

Você poderia usar um usuário ou grupo ssh chrooted? Eu nunca o implementei, mas parece que isso pode ajudar: link

O tutorial é para Lenny, mas espero que isso não tenha mudado muito.

    
por 18.07.2016 / 10:02