LINUX.ORG.RU
ФорумAdmin

Как разрешить пользователю VPN (tun0) или проброс портов через ssh, будучи уверенным, что он не получит доступ к ФС (sftp) и shell?


0

1

Необходимо дать клиенту доступ к ssh для доступа к внутреннему ресурсу. Необходим либо проброс порта (предпочтительнее, т.к. даёт возможность работать с винды и непривилегированному пользователю) или VPNoverSSH (P.S. необходимо включить с серверной стороны), при этом клиент ни в коем случае не должен получить доступа к shell или SFTP.

Я читал, что для этого можно юзать /bin/false в /etc/passdw в качестве шелла юзера, но оно не решает проблему доступа к SFTP.

Есть ли у openssh возможность давать разным юзерам разные права на доступ к сервисам (шелл (и scp в нём), sftp, vpn, проброс портов) или только глобально можно отключить эли модули в нём? Можно ли глобально отключить shell? Можно ли без особых костылей запустить отдельный (второй) openssh-server с конфигом, где всё (кроме vpn и проброса портов) запрещено глобально и коннектиться может только один юзер?

Если используется проброс портов, то можно ли контролировать со стороны сервера, что и куда пробрасывает клиент? Т.е. разрешить ТОЛЬКО проброс 80-го порта машины 192.168.2.2 в локальной сети ssh-сервера на клиент и не более того?

Ответ на: комментарий от Pinkbyte

а шелл юзера не трогай. Просто он его никогда не получит, как и sftp, если будешь юзать ForceCommand - проверено

Pinkbyte ★★★★★ ()

но для твоей задачи ИМХО действительно лучше VPN

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.