On 02/15/2011 05:13 PM, Camaleón wrote:
El Tue, 15 Feb 2011 16:30:57 +0100, carlopmart escribió:
On 02/15/2011 03:55 PM, Camaleón wrote:
El manual (man sshd_config) dice:
*** AllowTcpForwarding Specifies whether TCP forwarding is permitted. The default is ''yes''. Note that disabling TCP forwarding does not improve security unless users are also denied shell access, as they can always install their own forwarders. ***
No parece muy alentador, salvo que se utilice para un entorno enjaulado.
Es lo que se suele hacer cuando se precisa restringir comandos "peligrosos" como el ssh: se enjaulan los entornos.
(...)
Pero no sólo hace falta una jaula sino eliminar el acceso a la shell, por lo que el ssh pierde su gracia, salvo que quieras configurar un SFTP chrooteado, como explicaba la página de la wiki de openSUSE que mandé ayer, ahí sí tendría sentido usar esa opción.
Saludos,
No lo veo así. Fíjate lo que dice el manual: "Note that disabling TCP forwarding does not improve security unless users are also denied shell access, as they can always install their own forwarders". Basta con que dentro de la jaula no permitas ciertas operaciones e instales solo ciertas librerias. O mejor aún, no instales el binario ssh, sino un wrapper que llame al binario con configuración específica. Para el caso que nos ocupa, nos bastaría por ejemplo con forzar la autenticación solo a través de claves privadas y no via passwords, ¿no?. Naturalmente la claves autorizadas las inserta el root y no el usuario de turno. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org