El Tue, 15 Feb 2011 17:28:23 +0100, carlopmart escribió:
On 02/15/2011 05:13 PM, Camaleón wrote:
Pero no sólo hace falta una jaula sino eliminar el acceso a la shell, por lo que el ssh pierde su gracia, salvo que quieras configurar un SFTP chrooteado, como explicaba la página de la wiki de openSUSE que mandé ayer, ahí sí tendría sentido usar esa opción.
No lo veo así. Fíjate lo que dice el manual: "Note that disabling TCP forwarding does not improve security unless users are also denied shell access, as they can always install their own forwarders". Basta con que dentro de la jaula no permitas ciertas operaciones e instales solo ciertas librerias. O mejor aún, no instales el binario ssh, sino un wrapper que llame al binario con configuración específica.
Pero eso no se puede hacer con un usuario del sistema, sólo para un usuario que sea externo y que tengas muy limitado, pero no creo que sea el caso. Además, ten en cuenta que desactivar esa valor afectaría a todos los usos de ssh (supongo que es una configuración global) ¿no?, no creo que sea conveniente.
Para el caso que nos ocupa, nos bastaría por ejemplo con forzar la autenticación solo a través de claves privadas y no via passwords, ¿no?.
Esto no lo veo claro. No se trata de un problema de autenficiación (tener las credenciales para acceder al sistema) sino de autorización (poder ejecutar ssh y abrir el túnel inverso).
Naturalmente la claves autorizadas las inserta el root y no el usuario de turno.
Para el caso que nos ocupa si el usuario es mañoso (y parece que lo es) y tiene una cuenta estándar en el sistema, puede seguir la recomendación del manual e instalarse una aplicación que se encargue del reenvío por lo que desactivar esa variable para el servicio ssh creo que no tiene mucho sentido. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org