View previous topic :: View next topic |
Author |
Message |
Kuartzer Tux's lil' helper


Joined: 15 Jul 2003 Posts: 81 Location: in front of the keyboard @ Lx - PT
|
Posted: Wed Feb 25, 2004 8:47 am Post subject: Duvida: Desactivar SSH TCP port forw só para alguns users?? |
|
|
A minha dúvida é se é possível desactivar o redireccionamento de portas através de SSH num sistema de permissão por utilizador...
Tipo utilizador kuartzer tem acesso a redireccionamento
Utilizador alpha não tem...
sei que para desligar o redireccionamento na totalidade é só preciso editar o sshd_config e mudar a opção AllowTcpForwarding para no, no entanto gostava de saber se é possível controlar isso por utilizador.
Não me parece haver maneira de fazer isto directamente no daemon do SSH, mas existirá alguma maneira paralela de fazer isto???
Agradeço já todos os comentários, que são muito bem vindos ! _________________ "Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..." |
|
Back to top |
|
 |
r3pek Retired Dev

Joined: 17 Sep 2003 Posts: 568 Location: Lisbon - Portugal
|
Posted: Thu Feb 26, 2004 11:33 pm Post subject: |
|
|
que eu tenha conhecimento não é possível... mas ha por aí pessoal com + experiencia que eu, podem ser k saibam se é possível ou não.  |
|
Back to top |
|
 |
nuxman n00b


Joined: 04 Feb 2004 Posts: 17 Location: Porto Velho/Brasil
|
Posted: Fri Feb 27, 2004 12:02 am Post subject: MATCH OWNER |
|
|
Não me parece haver maneira de fazer isto directamente no daemon do SSH, mas existirá alguma maneira paralela de fazer isto???
Bom Kuartzer acredito que vc poderia utilizar o iptables com a opção :
--uid-owner ---> esta function baseia no ID do user...
ou
--gid-owner
iptables -A PREROUTING -p tcp --dport 22 -m owner --uid-owner 500 -j ACCEPT
um abraço [/b] |
|
Back to top |
|
 |
r3pek Retired Dev

Joined: 17 Sep 2003 Posts: 568 Location: Lisbon - Portugal
|
Posted: Fri Feb 27, 2004 1:37 am Post subject: |
|
|
pelo k percebi, ele nao ker blokear o acesso a um determinado user ou grupo, mas sim apenas desactivar o port forwarding. |
|
Back to top |
|
 |
nuxman n00b


Joined: 04 Feb 2004 Posts: 17 Location: Porto Velho/Brasil
|
|
Back to top |
|
 |
Kuartzer Tux's lil' helper


Joined: 15 Jul 2003 Posts: 81 Location: in front of the keyboard @ Lx - PT
|
Posted: Sat Feb 28, 2004 12:47 am Post subject: |
|
|
Antes demais, obrigado pelas vcs respostas!
Em relaçao ao post do iptables, na realidade nao kero impedir o acesso, apenas o redirecionamento de portas!
Em relação ao ultimo post, a directiva que permite fazer isso apenas funciona para o SSH2 (versão original e comercial do protocolo), eu por aqui uso openSSH, logo voltamos a estaca de partida.
Mais alguma ideia? _________________ "Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..." |
|
Back to top |
|
 |
humpback Retired Dev


Joined: 19 Oct 2002 Posts: 394 Location: Coimbra - Portugal
|
Posted: Sun Feb 29, 2004 11:46 pm Post subject: |
|
|
não é para puxar a brasa a minha sardinha. Mas e ebuild do ssh comercial foi feita por mim
Eu pessoalmente uso o ssh comercial principalmente depois dos bugs do openssh a coisa de 7 meses.
Atenção que ele é livre para uso não comercial, logo universidades e afins podem usar. (e é de codigo aberto (não livre, mas aberto)).
Existe uma outra hipotese mas que acaba por ser parecida com a da firewall que é usar grsec e usar as opções de deny client socket e server socket que podem ser controladas atraves do grupo. _________________ Gustavo Felisberto
Humpback @ #gentoo-pt
------------
It's most certainly GNU/Linux, not Linux. Read more at
http://www.gnu.org/gnu/why-gnu-linux.html .
------------- |
|
Back to top |
|
 |
Kuartzer Tux's lil' helper


Joined: 15 Jul 2003 Posts: 81 Location: in front of the keyboard @ Lx - PT
|
Posted: Mon Mar 01, 2004 4:05 am Post subject: |
|
|
brigado mais uma vez...
Em relaçao a licença do SSH por acaso conhecia pk uso o cliente deles para windows, nunca me passou foi que o server tb tivesse a mesma licença que o cliente... acho que vou exprimentar aki, é só mesmo para uso pessoal e para um grupo de amigos/developers de um projecto da universidade . _________________ "Não existe nada completamente errado no mundo, até mesmo um relógio parado consegue estar certo duas vezes por dia..." |
|
Back to top |
|
 |
|