Mailinglist Archive: opensuse-es (403 mails)

< Previous Next >
Re: [opensuse-es] Re: sabeis que es esto?
On 02/15/2011 06:14 PM, Camaleón wrote:
El Tue, 15 Feb 2011 17:28:23 +0100, carlopmart escribió:

On 02/15/2011 05:13 PM, Camaleón wrote:

Pero no sólo hace falta una jaula sino eliminar el acceso a la shell,
por lo que el ssh pierde su gracia, salvo que quieras configurar un
SFTP chrooteado, como explicaba la página de la wiki de openSUSE que
mandé ayer, ahí sí tendría sentido usar esa opción.



No lo veo así. Fíjate lo que dice el manual: "Note that disabling TCP
forwarding does not improve security unless users are also denied shell
access, as they can always install their own forwarders". Basta con que
dentro de la jaula no permitas ciertas operaciones e instales solo
ciertas librerias. O mejor aún, no instales el binario ssh, sino un
wrapper que llame al binario con configuración específica.

Pero eso no se puede hacer con un usuario del sistema, sólo para un
usuario que sea externo y que tengas muy limitado, pero no creo que sea
el caso. Además, ten en cuenta que desactivar esa valor afectaría a todos
los usos de ssh (supongo que es una configuración global) ¿no?, no creo
que sea conveniente.

No. Precisamente la gracia de los jails en FreeBSD (y si no me equivoco en cualquier entorno enjaulado) es que los valores solo se aplican a los usuarios del jail, no son modificados en los del sistema.


Para el caso que nos ocupa, nos bastaría por ejemplo con forzar la
autenticación solo a través de claves privadas y no via passwords, ¿no?.

Esto no lo veo claro. No se trata de un problema de autenficiación (tener
las credenciales para acceder al sistema) sino de autorización (poder
ejecutar ssh y abrir el túnel inverso).

Difiero en una cosa: si el usuario root ha configurado tanto al daemon sshd como al comando ssh para que únicamente puedan utilizar claves privadas como sistema de autencticación,y no passwords, y además ha configurado hardcoded esas claves, solo podrás conectar con servidores preestablecidos.


Naturalmente la claves autorizadas las inserta el root y no el usuario
de turno.

Para el caso que nos ocupa si el usuario es mañoso (y parece que lo es) y
tiene una cuenta estándar en el sistema, puede seguir la recomendación
del manual e instalarse una aplicación que se encargue del reenvío por lo
que desactivar esa variable para el servicio ssh creo que no tiene mucho
sentido.


Uhmm ... tendría que mirarlo, pero creo que dentro de un jail no podría hacerlo, al menos en un jail de FreeBSD ...

Saludos.

--
CL Martinez
carlopmart {at} gmail {d0t} com
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups