The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Как отключить пользователю шелл, оставив логин по SSH "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от sergetv (?), 19-Мрт-20, 16:14 
Здравствуйте.
FreeBSD 12.1
Создал пользователя со входом по SSH с авторизацией по ключам для поднятия SSH туннеля для проброса портов к машинам в сети.
Теперь хочу отключить ему шелл, чтоб меньше было возможностей  лазить по системе.

В /etc/passwd прописал ему /usr/sbin/nologin

А никакого результата - все равно заходит с /sh

Куда копать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Аноним (1), 19-Мрт-20, 16:28 
vipw
или
pw mod user ЮЗЕР -s /usr/sbin/nologin
Ответить | Правка | Наверх | Cообщить модератору

2. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от sergetv (?), 19-Мрт-20, 16:57 
> vipw
> или
> pw mod user ЮЗЕР -s /usr/sbin/nologin

Спасибо! Получилось

Ответить | Правка | Наверх | Cообщить модератору

3. "Как отключить пользователю шелл, оставив логин по SSH "  –1 +/
Сообщение от BABUTemail (ok), 19-Мрт-20, 17:45 
> Куда копать?

наверное копать в сторону pwd_mkdb, но это неточно(я на опёнке)


Ответить | Правка | Наверх | Cообщить модератору

4. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Licha Morada (ok), 19-Мрт-20, 18:21 
> Создал пользователя со входом по SSH с авторизацией по ключам для поднятия
> SSH туннеля для проброса портов к машинам в сети.
> Теперь хочу отключить ему шелл, чтоб меньше было возможностей  лазить по
> системе.

Мы на Линуксе, но делаем так:

cat > /home/${NEWUSER}/nologin.sh << EOF
#!/bin/sh

echo "Port forwarding only account. ^C to exit."
cat > /dev/null
exit 0
EOF
chmod +x /home/${NEWUSER}/nologin.sh

cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" ssh-rsa AAAAB3...
EOF

Ответить | Правка | Наверх | Cообщить модератору

5. "Как отключить пользователю шелл, оставив логин по SSH "  –1 +/
Сообщение от BABUTemail (ok), 19-Мрт-20, 18:35 
>[оверквотинг удален]
> #!/bin/sh
> echo "Port forwarding only account. ^C to exit."
> cat > /dev/null
> exit 0
> EOF
> chmod +x /home/${NEWUSER}/nologin.sh
> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
> ssh-rsa AAAAB3...
> EOF

it's_a_magic.gif

Ответить | Правка | Наверх | Cообщить модератору

6. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Licha Morada (ok), 19-Мрт-20, 21:26 

> it's_a_magic.gif

Отнють, весьма прозрачно и конкретно. А это если не так, то пусть топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.
Лично мне интересно, насколько это решение крос-сплатформенно.

Ответить | Правка | Наверх | Cообщить модератору

7. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от BABUTemail (ok), 19-Мрт-20, 22:49 
> Отнють, весьма прозрачно и конкретно. А это если не так, то пусть
> топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.
> Лично мне интересно, насколько это решение крос-сплатформенно.

command не отрабатывает, хотя в мане openssh упомянута.
но, вообще, я уверен на 99.9%, дело-таки в том, что он не пересоздал базу pwd.db, чем, собственно, и занимается vipw в конце. непонятно, почему он редактировал passwd, а не master.passwd, но, возможно, это особенности фряхи. камрад ранее дал плохой ответ- вместо объяснения механизма происходящего, он просто указал какую кнопку нажать


Ответить | Правка | Наверх | Cообщить модератору

8. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Licha Morada (ok), 20-Мрт-20, 00:16 
> command не отрабатывает, хотя в мане openssh упомянута.

Спасибо за фидбэк.

Ответить | Правка | Наверх | Cообщить модератору

9. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от ыы (?), 20-Мрт-20, 08:03 
> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"

А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Licha Morada (ok), 20-Мрт-20, 18:45 
>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...

Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?

Ответить | Правка | Наверх | Cообщить модератору

11. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от ыы (?), 20-Мрт-20, 20:45 
>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
>> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
> Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?

Тем что создается смысловая каша из подразумевающегося назначения файлов.

Ответить | Правка | Наверх | Cообщить модератору

12. "Как отключить пользователю шелл, оставив логин по SSH "  +/
Сообщение от Licha Morada (ok), 20-Мрт-20, 21:26 
>>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>>>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
>>> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
>> Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?
> Тем что создается смысловая каша из подразумевающегося назначения файлов.

Соглашусь что смысловая каша это нежелательное явление.

Поделитесь, где, по вашему мнению, было бы уместно указывать, что можно и что нельзя делать клиентам SSH, подключающимся с определёнными ключами?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру