SSH - запретить конфиги в ~/.ssh

0

2

Можно ли глобально запретить домашнюю директорию (для клиента)? Чтобы все конфиги определялись через /etc/ssh/ssh_config и пользователь не мог сам ничего добавлять.
В доке указано что ~/.ssh читается первым, неужели нельзя выключить или только имутабельной директорию делать?

←	post-up в interfaces не работает

systemd timers, запуск пропусков

→

Права поставь чтоб ничего не могло читать и писать, что не должно.

peregrine ★★★★★
(17.03.26 21:23:49 MSK)
Последнее исправление: peregrine 17.03.26 21:23:57 MSK (всего исправлений: 1)

Глобально, AFAIK никак. Разве что chattr +i, но это тоже грязно и мерзко.

beastie ★★★★★
(17.03.26 22:29:42 MSK)

ничто не помешает пользователю дать свои настройки через опцию -о

ограничения должны быть на сервере, «урезать» клиента – бред

futurama ★★★★★
(17.03.26 22:43:20 MSK)
Последнее исправление: futurama 17.03.26 22:43:57 MSK (всего исправлений: 1)

Что ты хочешь этим добиться? На всякий случай сообщаю, что даже если ты каким-то образом запретишь ~/.ssh, никакой безопасности это само по себе не добавит. И даже запрет -o (про который выше пишут) тоже не добавит безопасности.

firkax ★★★★★
(17.03.26 23:29:02 MSK)
Последнее исправление: firkax 17.03.26 23:32:30 MSK (всего исправлений: 1)

Ответ на: комментарий от beastie 17.03.26 22:29:42 MSK

chattr +i тоже в целом не поможет.

firkax ★★★★★
(17.03.26 23:30:07 MSK)

Бессмысленно, если пользователь имеет доступ к оболочке, и сам выполняет команды. Для ssh наивысший приоритет имеют аргументы командной строки, а уже затем конфиги. Так, даже если запретить изменение конфигов, пользователь при запуске может задать любые аргументы непосредственно, или создав и указав новый конфиг.

QsUPt7S ★★★
(18.03.26 00:38:14 MSK)

Ответ на: комментарий от QsUPt7S 18.03.26 00:38:14 MSK

Ты не о том думаешь. Совершенно не важно, может или не может пользователь задавать какие-либо конфиги, действие автора в любом случае выглядит бессмысленным.

firkax ★★★★★
(18.03.26 01:07:01 MSK)

Можно ли глобально запретить домашнюю директорию (для клиента)? Чтобы все конфиги определялись через /etc/ssh/ssh_config и пользователь не мог сам ничего добавлять.

Где предполагается запрещать? На каждом клиенте отдельно? На сервере запретить это невозможно потому что на уровне протокола SSH нет никаких директорий .ssh и пользователь гипотетически может использовать любой кастомный клиент, читающий конфиги откуда угодно в каком угодно формате.

X512 ★★★★★
(18.03.26 01:45:47 MSK)

Ответ на: комментарий от firkax 18.03.26 01:07:01 MSK

ну может ты уже пояснишь? А то уже третьим постом умнячка давишь и тайну нагоняешь

SpaceRanger ★★★
(18.03.26 07:43:05 MSK)

Ответ на: комментарий от SpaceRanger 18.03.26 07:43:05 MSK

Да вроде понятно всё. Если юзеру запретить запись в ~/.ssh, он передаст нужные опции через -o, если запретить -o — пересоберёт клиент с нужными ему опциями по умолчанию, или другим расположением конфига. И так как снежный ком получается, что придётся юзера прям совсем в песочницу загонять, а это сложно, часто ненужно или вредно, и очень легко что-то упустить. Единственным правильным решением будет на стороне сервера делать ограничения.

CrX ★★★★★
(18.03.26 08:01:55 MSK)

Ответ на: комментарий от SpaceRanger 18.03.26 07:43:05 MSK

Что поясню? Пусть автор поясняет зачем ему конфиг клиента выключать.

firkax ★★★★★
(18.03.26 09:30:07 MSK)

Ответ на: комментарий от beastie 17.03.26 22:29:42 MSK

Разве что chattr +i, но это тоже грязно и мерзко.

«грязно и мерзко» это отдельно монтировать эту директорию, а chattr эт нормально.

anc ★★★★★
(18.03.26 18:05:18 MSK)

←	post-up в interfaces не работает

Admin

systemd timers, запуск пропусков

→

Похожие темы