Hi, bisher war ich der einzige, der von außen auf unseren (Datenbank-)Server zugriff. Das geht prima mit SSH/SCP. Jetzt sollen weitere Leute auf die Datenbank zugreifen. Ich könnte die auch mit SSH den Datenbank-Port raustunneln lassen, aber dann hätten die eine Shell und könnten überall hin, wo ich vergessen habe zuzunageln. =8-} Gibt es einfache Alternativen, wo die Externen dann nur den Datenbank-Port erreichen und kein lokaler Benutzer sein müssen? Server: SUSE 9.3 ohne feste IP Clients: Alles irgendwie Windows Gruß... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! Am 03.05.2007 um 23:11 schrieb Andreas:
Jetzt sollen weitere Leute auf die Datenbank zugreifen. Ich könnte die auch mit SSH den Datenbank-Port raustunneln lassen, aber dann hätten die eine Shell und könnten überall hin, wo ich vergessen habe zuzunageln. =8-}
Gibt es einfache Alternativen, wo die Externen dann nur den Datenbank-Port erreichen und kein lokaler Benutzer sein müssen?
Sie müssen schon Benutzer sein, aber du kannst sie durch eine "/bin/ false"-Shell davon abhalten sich einzuloggen. Außerdem kann man in sshd_config auch angeben zu welchen Ports Benutzer forwarden dürfen (siehe "Match" und "PermitOpen" in sshd_config). Wenn da nur der Datenbank-Port steht, dann sollten sie eigentlich nichts weiter machen können. Ich glaube auf der Windows-Seite gibt es mit Puttys plink ein Programm das auch ohne Login-Shell eine Forward-Verbindung aufbauen kann. Gruß Ralf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! ### Ralf Schuchardt, Freitag, 4. Mai 2007 00:41 ###
Ich glaube auf der Windows-Seite gibt es mit Puttys plink ein Programm das auch ohne Login-Shell eine Forward-Verbindung aufbauen kann.
An dem Trick wäre ich auch interessiert. Wir haben versucht mit apache Maven, das auch via plink auf eine SuSE-Box zugreift OHNE /bin/false auszukommen, kein Erfolg. Gruß Rolf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am 04.05.2007 um 06:41 schrieb Rolf Krüger:
### Ralf Schuchardt, Freitag, 4. Mai 2007 00:41 ###
Ich glaube auf der Windows-Seite gibt es mit Puttys plink ein Programm das auch ohne Login-Shell eine Forward-Verbindung aufbauen kann.
An dem Trick wäre ich auch interessiert. Wir haben versucht mit apache Maven, das auch via plink auf eine SuSE-Box zugreift OHNE /bin/false auszukommen, kein Erfolg.
Was meinst du mit "ohne /bin/false"? Der Parameter -N sorgt auch bei plink dafür, dass keine Shell angefordert wird. In diesem Fall spielt die für den Benutzer auf dem Server eingetragene Shell keine Rolle. Wenn er prinzipiell keine Shell bekommen können soll, ist /bin/ false die richtige Wahl. Viele Grüße Ralf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag 03 Mai 2007 23:11:11 schrieb Andreas:
Hi,
bisher war ich der einzige, der von außen auf unseren (Datenbank-)Server zugriff. Das geht prima mit SSH/SCP.
Jetzt sollen weitere Leute auf die Datenbank zugreifen. Ich könnte die auch mit SSH den Datenbank-Port raustunneln lassen, aber dann hätten die eine Shell und könnten überall hin, wo ich vergessen habe zuzunageln. =8-}
Gibt es einfache Alternativen, wo die Externen dann nur den Datenbank-Port erreichen und kein lokaler Benutzer sein müssen?
Du könntest den Benutzern als Shell /bin/false geben, so dass Einlogen nicht möglich ist. Port-Forwards über ssh müssten mit dem Parameter '-N' trotzdem funktionieren. Alternativ: Portforwards auf den Router oder besser gleich VPN in Kombination mit entsprechender Firewall-Regeln. HIH ....Volker -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas, Gegenfrage an die Liste: Sollte ein SuSE "out-of-the-box" nicht so sicher sein, daß ein normaler User nur in seinem home schreiben kann, und sonst in keinem anderen directory ändern kann ? Die Tipps von den anderen mit der /bin/false-"shell" erscheinen mir aber gut. Kann man nicht noch zusätzlich/alternativ durch ein * oder ! in /etc/shadow (da wo normalerweise der hash-Wert vom Passwort steht), einen Login unmöglich machen ? Schönes WE. Bernd -----Original Message----- From: Andreas [mailto:maps.on@gmx.net] Sent: Thursday, May 03, 2007 11:11 PM To: Subject: Tunnels ohne Shell ? Hi, bisher war ich der einzige, der von außen auf unseren (Datenbank-)Server zugriff. Das geht prima mit SSH/SCP. Jetzt sollen weitere Leute auf die Datenbank zugreifen. Ich könnte die auch mit SSH den Datenbank-Port raustunneln lassen, aber dann hätten die eine Shell und könnten überall hin, wo ich vergessen habe zuzunageln. =8-} Gibt es einfache Alternativen, wo die Externen dann nur den Datenbank-Port erreichen und kein lokaler Benutzer sein müssen? Server: SUSE 9.3 ohne feste IP Clients: Alles irgendwie Windows Gruß... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo!
On Fri, 4 May 2007 17:30:47 +0200
"Lentes, Bernd"
Gegenfrage an die Liste: Sollte ein SuSE "out-of-the-box" nicht so sicher sein, daß ein normaler User nur in seinem home schreiben kann, und sonst in keinem anderen directory ändern kann ?
Das stimmt schon, aber vielleicht sollen sie bestimmte Sachen nicht mal lesen können.
Die Tipps von den anderen mit der /bin/false-"shell" erscheinen mir aber gut. Kann man nicht noch zusätzlich/alternativ durch ein * oder ! in /etc/shadow (da wo normalerweise der hash-Wert vom Passwort steht), einen Login unmöglich machen ?
Aber wie soll dann ein Benutzer identifiziert werden? Hier ist ja das Ziel ausgewählten Benutzern Zugriff auf Dienste hinter einer Firewall zu gewähren, ohne die Firewall für diese Ports zu öffnen. Viele Grüße Ralf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 4 May 2007 17:30:47 +0200
"Lentes, Bernd"
Die Tipps von den anderen mit der /bin/false-"shell" erscheinen mir aber gut. Kann man nicht noch zusätzlich/alternativ durch ein * oder ! in /etc/shadow (da wo normalerweise der hash-Wert vom Passwort steht), einen Login unmöglich machen ?
Entschuldigung, ich weiss jetzt worauf du hinaus willst: ssh mit generierten Schlüsseln, oder? Das ist natürlich noch eine Möglichkeit das einen Tick sicherer zu machen. Viele Grüße Ralf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Ralf, Nein, meinte ich eigentlich nicht. Das kann man zwar auch machen, das ersetzt aber nur den keyboard-interractive login. Auf der Windowsseite gibt's mit puutygen glaub ich ein Tool dafür. Was ich meinte, ist wirklich den login, durch ein * oder ! in /etc/shadow zu unterbinden (ich glaube das geht damit). Beispiel aus einer /etc/shadow: root:NQTCM18HMhQVM:11518:0:10000:::: bin:*:8902:0:10000:::: daemon:*:8902:0:10000:::: lp:*:9473:0:10000:::: mail:*:8902:0:10000:::: Die Dienstkonten können so nicht zum login genutzt werden.
Entschuldigung, ich weiss jetzt worauf du hinaus willst: ssh mit generierten Schlüsseln, oder? Das ist natürlich noch eine >Möglichkeit das einen Tick sicherer zu machen.
Viele Grüße Ralf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andreas -
Lentes, Bernd -
Ralf Schuchardt -
Rolf Krüger -
Volker Poplawski