El Tue, 15 Feb 2011 18:22:32 +0100, carlopmart escribió:
On 02/15/2011 06:14 PM, Camaleón wrote:
Pero eso no se puede hacer con un usuario del sistema, sólo para un usuario que sea externo y que tengas muy limitado, pero no creo que sea el caso. Además, ten en cuenta que desactivar esa valor afectaría a todos los usos de ssh (supongo que es una configuración global) ¿no?, no creo que sea conveniente.
No. Precisamente la gracia de los jails en FreeBSD (y si no me equivoco en cualquier entorno enjaulado) es que los valores solo se aplican a los usuarios del jail, no son modificados en los del sistema.
Pero no me refería a eso sino a que cambiando ese parámetro ("AllowTcpForwarding=no") en el archivo de configuración de la parte servidora ("/etc/ssh/sshd_config") afectaría a todos los usuarios del sistema.
Para el caso que nos ocupa, nos bastaría por ejemplo con forzar la autenticación solo a través de claves privadas y no via passwords, ¿no?.
Esto no lo veo claro. No se trata de un problema de autenficiación (tener las credenciales para acceder al sistema) sino de autorización (poder ejecutar ssh y abrir el túnel inverso).
Difiero en una cosa: si el usuario root ha configurado tanto al daemon sshd como al comando ssh para que únicamente puedan utilizar claves privadas como sistema de autencticación,y no passwords, y además ha configurado hardcoded esas claves, solo podrás conectar con servidores preestablecidos.
El usuario "cachondo" podría usar claves para conectarse a su equipo remoto ¿no? Porque si lo que dices es posible entonces sería más sencillo configurar ssh para que sólo permita conexiones salientes de "X" usuarios a los servidores predefinidos, sin necesidad de forzar el uso de claves o de desactivar el "reenvío". Pero en ese caso sigo pensando que estaríamos hablando de un usuario "muy capado". Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org