On 02/16/2011 12:43 PM, Camaleón wrote:
El Tue, 15 Feb 2011 18:22:32 +0100, carlopmart escribió:
On 02/15/2011 06:14 PM, Camaleón wrote:
Pero eso no se puede hacer con un usuario del sistema, sólo para un usuario que sea externo y que tengas muy limitado, pero no creo que sea el caso. Además, ten en cuenta que desactivar esa valor afectaría a todos los usos de ssh (supongo que es una configuración global) ¿no?, no creo que sea conveniente.
No. Precisamente la gracia de los jails en FreeBSD (y si no me equivoco en cualquier entorno enjaulado) es que los valores solo se aplican a los usuarios del jail, no son modificados en los del sistema.
Pero no me refería a eso sino a que cambiando ese parámetro ("AllowTcpForwarding=no") en el archivo de configuración de la parte servidora ("/etc/ssh/sshd_config") afectaría a todos los usuarios del sistema.
Pues eso. Esa configuración la insertas dentro del jail. Por lo tanto solo tiene repercusión dentro del jail y no en el resto del sistema. La configuración del sistema no precisa modificarse.
Para el caso que nos ocupa, nos bastaría por ejemplo con forzar la autenticación solo a través de claves privadas y no via passwords, ¿no?.
Esto no lo veo claro. No se trata de un problema de autenficiación (tener las credenciales para acceder al sistema) sino de autorización (poder ejecutar ssh y abrir el túnel inverso).
Difiero en una cosa: si el usuario root ha configurado tanto al daemon sshd como al comando ssh para que únicamente puedan utilizar claves privadas como sistema de autencticación,y no passwords, y además ha configurado hardcoded esas claves, solo podrás conectar con servidores preestablecidos.
El usuario "cachondo" podría usar claves para conectarse a su equipo remoto ¿no?
No, porque para eso el root asigna un archivo de claves de intercambio en modo solo lectura para él y el daemon (440). El usuario no tiene forma de ejecutar el comando en modo "ssh -R ..." ya que el proceso servidor no autorizará la conexión. Porque si lo que dices es posible entonces sería más sencillo
configurar ssh para que sólo permita conexiones salientes de "X" usuarios a los servidores predefinidos, sin necesidad de forzar el uso de claves o de desactivar el "reenvío". Pero en ese caso sigo pensando que estaríamos hablando de un usuario "muy capado".
Es que se trata de "capar" al usuario. Tambien tienes la opción de hacer un wrapper que llame al ssh con parámetros y que el binario ssh principal no pueda ser ejecutado por usuarios ... al estilo de rssh, creo que hay un paquete que se llama así. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org