je voudrais donner a des utilisateurs des acces ssh restreints sur mes
machines:
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell
ni sftp
- droit d'acces sftp (si possbile meme limite a leur /home) mais rien
d'autre
- utilisation scp et rien d'autre, etc
serveurs sshd: FreeBSD 4.8 et linux debian
Objectifs:
1 pour monter automatiquement des tunnels depuis des scripts, je dois
laisser mes clefs en clair, sans passphrase sur le disque. Je souhaite donc
le faire avec des comptes speciaux dont les droits sont limités.
2 donner a des tiers un acces restreint pour me deposer des fichiers par un
canal secure (scp ou sftp), etc.
Rien vu dans la doc sur ce sujet, si quelqu'un a des idees, je suis preneur.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Catteau
Pascal nous disait récement dans fr.comp.securite <news:3f7019fb$0$238$ :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
<FreeBSD> Pour sftp, il suffit de commenter la dernière ligne dans /etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne pas fonctionner avec /bin/noshell. </FreeBSD>
- droit d'acces sftp (si possbile meme limite a leur /home) mais rien d'autre
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories différents que tu veux ? Ce n'est pas très clair.
Objectifs: 1 pour monter automatiquement des tunnels depuis des scripts, je dois laisser mes clefs en clair, sans passphrase sur le disque. Je souhaite donc le faire avec des comptes speciaux dont les droits sont limités.
<FreeBSD> man login.conf
Attention, tout ce qui est limite de session n'est pas implémenté. Mais si tu veux j'ai un petit hack qui permet de faire fonctionner "sessionlimit".
Ne pas mettre ces comptes dans le groupe wheel </FreeBSD>
2 donner a des tiers un acces restreint pour me deposer des fichiers par un canal secure (scp ou sftp), etc.
Il suffit d'inclure leur clé publique dans le fichier qui va bien.
Rien vu dans la doc sur ce sujet, si quelqu'un a des idees, je suis preneur.
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux une réponse plus précise, il va falloir que tu expliques précisément ce que tu veux au cas par cas.
[1] Pour FreeBSD, pour la Débian je ne sais pas où il est. -- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Pascal nous disait récement dans fr.comp.securite
<news:3f7019fb$0$238$4d4eb98e@read.news.fr.uu.net> :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas
de shell ni sftp
<FreeBSD>
Pour sftp, il suffit de commenter la dernière ligne dans
/etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne
pas fonctionner avec /bin/noshell.
</FreeBSD>
- droit d'acces sftp (si possbile meme limite a leur /home) mais
rien d'autre
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories
différents que tu veux ? Ce n'est pas très clair.
Objectifs:
1 pour monter automatiquement des tunnels depuis des scripts, je
dois laisser mes clefs en clair, sans passphrase sur le disque. Je
souhaite donc le faire avec des comptes speciaux dont les droits
sont limités.
<FreeBSD>
man login.conf
Attention, tout ce qui est limite de session n'est pas implémenté.
Mais si tu veux j'ai un petit hack qui permet de faire fonctionner
"sessionlimit".
Ne pas mettre ces comptes dans le groupe wheel
</FreeBSD>
2 donner a des tiers un acces restreint pour me deposer des
fichiers par un canal secure (scp ou sftp), etc.
Il suffit d'inclure leur clé publique dans le fichier qui va bien.
Rien vu dans la doc sur ce sujet, si quelqu'un a des idees, je
suis preneur.
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux
une réponse plus précise, il va falloir que tu expliques précisément ce
que tu veux au cas par cas.
[1]
Pour FreeBSD, pour la Débian je ne sais pas où il est.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Pascal nous disait récement dans fr.comp.securite <news:3f7019fb$0$238$ :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
<FreeBSD> Pour sftp, il suffit de commenter la dernière ligne dans /etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne pas fonctionner avec /bin/noshell. </FreeBSD>
- droit d'acces sftp (si possbile meme limite a leur /home) mais rien d'autre
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories différents que tu veux ? Ce n'est pas très clair.
Objectifs: 1 pour monter automatiquement des tunnels depuis des scripts, je dois laisser mes clefs en clair, sans passphrase sur le disque. Je souhaite donc le faire avec des comptes speciaux dont les droits sont limités.
<FreeBSD> man login.conf
Attention, tout ce qui est limite de session n'est pas implémenté. Mais si tu veux j'ai un petit hack qui permet de faire fonctionner "sessionlimit".
Ne pas mettre ces comptes dans le groupe wheel </FreeBSD>
2 donner a des tiers un acces restreint pour me deposer des fichiers par un canal secure (scp ou sftp), etc.
Il suffit d'inclure leur clé publique dans le fichier qui va bien.
Rien vu dans la doc sur ce sujet, si quelqu'un a des idees, je suis preneur.
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux une réponse plus précise, il va falloir que tu expliques précisément ce que tu veux au cas par cas.
[1] Pour FreeBSD, pour la Débian je ne sais pas où il est. -- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
luc wastiaux
On Tue, 23 Sep 2003 16:06:50 +0000, Stephane Catteau wrote:
Pascal nous disait récement dans fr.comp.securite <news:3f7019fb$0$238$ :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
<FreeBSD> Pour sftp, il suffit de commenter la dernière ligne dans /etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne pas fonctionner avec /bin/noshell. </FreeBSD>
il existe un shell scp-only, il faut chercher, j'en avais entendu parler.
On Tue, 23 Sep 2003 16:06:50 +0000, Stephane Catteau wrote:
Pascal nous disait récement dans fr.comp.securite
<news:3f7019fb$0$238$4d4eb98e@read.news.fr.uu.net> :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas
de shell ni sftp
<FreeBSD>
Pour sftp, il suffit de commenter la dernière ligne dans
/etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne
pas fonctionner avec /bin/noshell.
</FreeBSD>
il existe un shell scp-only, il faut chercher, j'en avais entendu parler.
On Tue, 23 Sep 2003 16:06:50 +0000, Stephane Catteau wrote:
Pascal nous disait récement dans fr.comp.securite <news:3f7019fb$0$238$ :
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
<FreeBSD> Pour sftp, il suffit de commenter la dernière ligne dans /etc/ssh/sshd_config. Pour le shell ça va être plus dur, scp semble ne pas fonctionner avec /bin/noshell. </FreeBSD>
il existe un shell scp-only, il faut chercher, j'en avais entendu parler.
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories différents que tu veux ? Ce n'est pas très clair.
Desole, je reprends : oui, je voudrais des categories d'utilisateurs differents pour se connecter sur le meme serveur avec des droits differents:
- moi, j'administre le serveur en distant par ssh : j'accede normalement avec ma clef publique dans mon "authorizedkeys" et des droits complets (shell, scp, sftp), jusque là, pas de probleme!
- je voudrais creer un utilisateur, utile uniquement pour mes scripts, pour mettre en place des tunnels (ssh -N) avec des droits restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers par scp ou sftp avec des droits tres restreints (pas de shell, acces uniquement a un repertoire)
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux une réponse plus précise, il va falloir que tu expliques précisément ce que tu veux au cas par cas.
Euh :( je vais les reprendre en details, y compris man login.conf, mais jusque la, je n'ai rien vu qui reponde vraiment a mon probleme. mal regarde? bcp pourtant! :)
en fait, je n'ai rien vu qui permette de differencier les authorisations et le comportement des commandes sftp, ssh, et scp (sinon pour sftp la possiblite de l'activer ou non, mais sur une base "tout ou rien" ou plutot "pour tout le monde ou personne")
Pascal
-- Black-ink.net ...les ecrits restent !
Stephane Catteau wrote:
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories
différents que tu veux ? Ce n'est pas très clair.
Desole, je reprends : oui, je voudrais des categories d'utilisateurs
differents pour se connecter sur le meme serveur avec des droits
differents:
- moi, j'administre le serveur en distant par ssh : j'accede normalement
avec ma clef publique dans mon "authorizedkeys" et des droits complets
(shell, scp, sftp), jusque là, pas de probleme!
- je voudrais creer un utilisateur, utile uniquement pour mes scripts, pour
mettre en place des tunnels (ssh -N) avec des droits restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers par scp ou
sftp avec des droits tres restreints (pas de shell, acces uniquement a un
repertoire)
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux
une réponse plus précise, il va falloir que tu expliques précisément ce
que tu veux au cas par cas.
Euh :( je vais les reprendre en details, y compris man login.conf, mais
jusque la, je n'ai rien vu qui reponde vraiment a mon probleme. mal
regarde? bcp pourtant! :)
en fait, je n'ai rien vu qui permette de differencier les authorisations et
le comportement des commandes sftp, ssh, et scp (sinon pour sftp la
possiblite de l'activer ou non, mais sur une base "tout ou rien" ou plutot
"pour tout le monde ou personne")
:-/ Ils ont droit à sftp ou non ? Ou alors ce sont trois catégories différents que tu veux ? Ce n'est pas très clair.
Desole, je reprends : oui, je voudrais des categories d'utilisateurs differents pour se connecter sur le meme serveur avec des droits differents:
- moi, j'administre le serveur en distant par ssh : j'accede normalement avec ma clef publique dans mon "authorizedkeys" et des droits complets (shell, scp, sftp), jusque là, pas de probleme!
- je voudrais creer un utilisateur, utile uniquement pour mes scripts, pour mettre en place des tunnels (ssh -N) avec des droits restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers par scp ou sftp avec des droits tres restreints (pas de shell, acces uniquement a un repertoire)
Euh :-/ Les pages man sont suffisement claires pourtant. Si tu veux une réponse plus précise, il va falloir que tu expliques précisément ce que tu veux au cas par cas.
Euh :( je vais les reprendre en details, y compris man login.conf, mais jusque la, je n'ai rien vu qui reponde vraiment a mon probleme. mal regarde? bcp pourtant! :)
en fait, je n'ai rien vu qui permette de differencier les authorisations et le comportement des commandes sftp, ssh, et scp (sinon pour sftp la possiblite de l'activer ou non, mais sur une base "tout ou rien" ou plutot "pour tout le monde ou personne")
Pascal
-- Black-ink.net ...les ecrits restent !
Pascal
Philippe Chevalier wrote:
On 23 Sep 2003 15:38:12 GMT, Pascal wrote:
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
Tu peux peut etre regarder du cote de l'option -N de openssh et mettre le shell du user a /nonexistent ou a /bin/cat -n (pour avoir un shell qui ne fait rien).
Je n'ai pas teste ceci-dit et il faudra peut etre une option differente avec un client different de Openssh.
mes tests (rapides, il y avait peut etre des interferences avec d'autres pbs, il faudrait que je refasse tranquillement a tete reposee) me font penser que ca marche avec un serveur FreeBSD, mais que linux debian me refuse la connexion en ssh -N s'il n'y a pas de shell valide
C'est possible avec le shell restreint "scponly".
Il est dans les ports de FreeBSD.
je vais regarder de ce cote, merci
Pascal
-- Black-ink.net ...les ecrits restent !
Philippe Chevalier wrote:
On 23 Sep 2003 15:38:12 GMT, Pascal <news@black-ink.net> wrote:
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de
shell ni sftp
Tu peux peut etre regarder du cote de l'option -N de openssh et mettre le
shell du user a /nonexistent ou a /bin/cat -n (pour avoir un shell qui
ne fait rien).
Je n'ai pas teste ceci-dit et il faudra peut etre une option differente
avec un client different de Openssh.
mes tests (rapides, il y avait peut etre des interferences avec d'autres
pbs, il faudrait que je refasse tranquillement a tete reposee) me font
penser que ca marche avec un serveur FreeBSD, mais que linux debian me
refuse la connexion en ssh -N s'il n'y a pas de shell valide
- droit d'etablir un tunnel (ssh -N port:localhost:port) mais pas de shell ni sftp
Tu peux peut etre regarder du cote de l'option -N de openssh et mettre le shell du user a /nonexistent ou a /bin/cat -n (pour avoir un shell qui ne fait rien).
Je n'ai pas teste ceci-dit et il faudra peut etre une option differente avec un client different de Openssh.
mes tests (rapides, il y avait peut etre des interferences avec d'autres pbs, il faudrait que je refasse tranquillement a tete reposee) me font penser que ca marche avec un serveur FreeBSD, mais que linux debian me refuse la connexion en ssh -N s'il n'y a pas de shell valide
C'est possible avec le shell restreint "scponly".
Il est dans les ports de FreeBSD.
je vais regarder de ce cote, merci
Pascal
-- Black-ink.net ...les ecrits restent !
Stephane Catteau
Pascal nous disait récement dans fr.comp.securite <news:3f716823$0$237$ :
- je voudrais creer un utilisateur, utile uniquement pour mes scripts, pour mettre en place des tunnels (ssh -N) avec des droits restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers par scp ou sftp avec des droits tres restreints (pas de shell, acces uniquement a un repertoire)
<FreeBSD> Donc tu configures ces comptes là avec scponly comme shell, tu ne les met pas dans le groupe wheel et tu limites les ressources utilisables via login.conf. Pour le compte qui ne fera qu'utiliser scp, tu peux descendre le nombre de processus (maxproc) jusqu'à trois, il faudra peut-être monter un peu pour utiliser sftp. Tu peux aussi shadower leurs mots de passes, puisque les comptes ne sont pas censés se loguer. Un détail en passant, pour que les classes d'utilisateurs (login.conf) soient prisent en compte, il faut que tu mettes "uselogin" à "yes" dans sshd_config. </FreeBSD>
Euh :-/ Les pages man sont suffisement claires pourtant. [...]
Euh :( je vais les reprendre en details, y compris man login.conf, mais jusque la, je n'ai rien vu qui reponde vraiment a mon probleme. mal regarde? bcp pourtant! :)
Elles ne t'expliqueront pas qu'il faut faire A, puis B, puis C, et ainsi de suite, c'est clair, mais elles sont suffisement explicitent pour que tu puisses trouver la marche à suivre.
Sinon tu peux toujours jeter un oeil là <http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des possibilités qu'autres choses, ayant des projets pro qui me prennent beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Pascal nous disait récement dans fr.comp.securite
<news:3f716823$0$237$4d4eb98e@read.news.fr.uu.net> :
- je voudrais creer un utilisateur, utile uniquement pour mes
scripts, pour mettre en place des tunnels (ssh -N) avec des droits
restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers
par scp ou sftp avec des droits tres restreints (pas de shell,
acces uniquement a un repertoire)
<FreeBSD>
Donc tu configures ces comptes là avec scponly comme shell, tu ne les
met pas dans le groupe wheel et tu limites les ressources utilisables
via login.conf. Pour le compte qui ne fera qu'utiliser scp, tu peux
descendre le nombre de processus (maxproc) jusqu'à trois, il faudra
peut-être monter un peu pour utiliser sftp. Tu peux aussi shadower
leurs mots de passes, puisque les comptes ne sont pas censés se loguer.
Un détail en passant, pour que les classes d'utilisateurs (login.conf)
soient prisent en compte, il faut que tu mettes "uselogin" à "yes" dans
sshd_config.
</FreeBSD>
Euh :-/ Les pages man sont suffisement claires pourtant. [...]
Euh :( je vais les reprendre en details, y compris man login.conf,
mais jusque la, je n'ai rien vu qui reponde vraiment a mon
probleme. mal regarde? bcp pourtant! :)
Elles ne t'expliqueront pas qu'il faut faire A, puis B, puis C, et
ainsi de suite, c'est clair, mais elles sont suffisement explicitent
pour que tu puisses trouver la marche à suivre.
Sinon tu peux toujours jeter un oeil là
<http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des
possibilités qu'autres choses, ayant des projets pro qui me prennent
beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Pascal nous disait récement dans fr.comp.securite <news:3f716823$0$237$ :
- je voudrais creer un utilisateur, utile uniquement pour mes scripts, pour mettre en place des tunnels (ssh -N) avec des droits restreints a cet usage
- je voudrais donner acces a un client pour deposer des fichiers par scp ou sftp avec des droits tres restreints (pas de shell, acces uniquement a un repertoire)
<FreeBSD> Donc tu configures ces comptes là avec scponly comme shell, tu ne les met pas dans le groupe wheel et tu limites les ressources utilisables via login.conf. Pour le compte qui ne fera qu'utiliser scp, tu peux descendre le nombre de processus (maxproc) jusqu'à trois, il faudra peut-être monter un peu pour utiliser sftp. Tu peux aussi shadower leurs mots de passes, puisque les comptes ne sont pas censés se loguer. Un détail en passant, pour que les classes d'utilisateurs (login.conf) soient prisent en compte, il faut que tu mettes "uselogin" à "yes" dans sshd_config. </FreeBSD>
Euh :-/ Les pages man sont suffisement claires pourtant. [...]
Euh :( je vais les reprendre en details, y compris man login.conf, mais jusque la, je n'ai rien vu qui reponde vraiment a mon probleme. mal regarde? bcp pourtant! :)
Elles ne t'expliqueront pas qu'il faut faire A, puis B, puis C, et ainsi de suite, c'est clair, mais elles sont suffisement explicitent pour que tu puisses trouver la marche à suivre.
Sinon tu peux toujours jeter un oeil là <http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des possibilités qu'autres choses, ayant des projets pro qui me prennent beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Pascal
Stephane Catteau wrote:
Sinon tu peux toujours jeter un oeil là <http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des possibilités qu'autres choses, ayant des projets pro qui me prennent beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
j'ai ete voir du cote de scponly, effectivement c'est exactement ce qu'il me faut. et j'ai commencer a feuilleter ta doc, qui me semble vraiment tres bien foutue, particulierement pour un "faux debutant" dans mon genre. Tu reprends des choses de base que j'ai pu rater en voulant avancer trop vite (ie login.conf) et en meme temps tu vas assez loin pour qu'on y trouve vraiment matiere a reflexion.
merci,
Pascal
-- Black-ink.net ...les ecrits restent !
Stephane Catteau wrote:
Sinon tu peux toujours jeter un oeil là
<http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des
possibilités qu'autres choses, ayant des projets pro qui me prennent
beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
j'ai ete voir du cote de scponly, effectivement c'est exactement ce qu'il me
faut.
et j'ai commencer a feuilleter ta doc, qui me semble vraiment tres bien
foutue, particulierement pour un "faux debutant" dans mon genre. Tu
reprends des choses de base que j'ai pu rater en voulant avancer trop vite
(ie login.conf) et en meme temps tu vas assez loin pour qu'on y trouve
vraiment matiere a reflexion.
Sinon tu peux toujours jeter un oeil là <http://bsd.sc4x.net/doc.php?d=1> mais plus pour te faire une idée des possibilités qu'autres choses, ayant des projets pro qui me prennent beaucoup de temps je n'ai pas le temps de finir la doc pour l'instant.
j'ai ete voir du cote de scponly, effectivement c'est exactement ce qu'il me faut. et j'ai commencer a feuilleter ta doc, qui me semble vraiment tres bien foutue, particulierement pour un "faux debutant" dans mon genre. Tu reprends des choses de base que j'ai pu rater en voulant avancer trop vite (ie login.conf) et en meme temps tu vas assez loin pour qu'on y trouve vraiment matiere a reflexion.