On 02/17/2011 12:54 PM, Camaleón wrote:
El Thu, 17 Feb 2011 08:38:34 +0100, carlopmart escribió:
On 02/16/2011 12:53 PM, carlopmart wrote:
On 02/16/2011 12:43 PM, Camaleón wrote:
(...)
Porque si lo que dices es posible entonces sería más sencillo
configurar ssh para que sólo permita conexiones salientes de "X" usuarios a los servidores predefinidos, sin necesidad de forzar el uso de claves o de desactivar el "reenvío". Pero en ese caso sigo pensando que estaríamos hablando de un usuario "muy capado".
Es que se trata de "capar" al usuario. Tambien tienes la opción de hacer un wrapper que llame al ssh con parámetros y que el binario ssh principal no pueda ser ejecutado por usuarios ... al estilo de rssh, creo que hay un paquete que se llama así.
Por cierto, un ejemplo de ssh un pelín capadito:
Hum... pues no veo ninguna indicación que sea un "ssh capado" sino una implementación "portátil", más bien ¿no? :-?
Por otra parte ¿qué se tiene que configurar en un servidor para que use un ssh u otro? ¿Cómo se "entrelazan/encadenan" ambas versiones de openSSH (una completa/estándar y otra limitada o con valores predefinidos o con funcionalidad capada) para forzar a los usuarios del sistema a usar uno u otro?
Saludos,
Si utilizas jails es sencillo: dentro del jail solo instalas el binario que te interese y configuras los parámetros que precise el programa (archivos de configuración ,daemons, etc ...) Por ejemplo: con el demonio ssh apuntas a la configuración del jail directamente y el usuario no podrá modificar nada. Para ejecutar el comando ssh, haces un softlink hacia el binario del dropbear por ejemplo (altamente modificable para quitarle las opciones de -R y -L, las más "peligrosas" por así decirlo), etc ... Si no puedes usar jails o chroot (o no quieres o no sabes configurarlo o por cualquier otro motivo) puedes hacerlo, en linux, a través de los linux containers o bien openvz. Así conseguirás entornos aislados. Si no puedes instalar jails, linux containers u openvz por el motivo que fuere, entonces deberás controlar muy mucho a los binarios que das acceso a los usuarios, que pueden modificar o que no, etc. En mi opinión un montón de trabajo el configurarlo y mantenerlo habiendo otras soluciones más cómodas. Al final, lo que cuenta es tener el entorno controlado al máximo posible. Y por supuesto activar todos los procesos de auditoria del sistema: si el usuario instala un binario, si modifca alguno, etc ... Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org