forum.opennet.ru - "Как отключить пользователю шелл, оставив логин по SSH " (12)

"Как отключить пользователю шелл, оставив логин по SSH "

Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как отключить пользователю шелл, оставив логин по SSH "	+/–
Сообщение от sergetv (?), 19-Мрт-20, 16:14
Здравствуйте. FreeBSD 12.1 Создал пользователя со входом по SSH с авторизацией по ключам для поднятия SSH туннеля для проброса портов к машинам в сети. Теперь хочу отключить ему шелл, чтоб меньше было возможностей лазить по системе. В /etc/passwd прописал ему /usr/sbin/nologin А никакого результата - все равно заходит с /sh Куда копать?
Ответить \| Правка \| Cообщить модератору

Оглавление

vipwилиpw mod user ЮЗЕР -s usr sbin nologin, Аноним (1), 16:28 , 19-Мрт-20, (1)

Спасибо Получилось, sergetv (?), 16:57 , 19-Мрт-20, (2)

наверное копать в сторону pwd_mkdb, но это неточно я на опёнке , BABUT (ok), 17:45 , 19-Мрт-20, (3) –1
Мы на Линуксе, но делаем так cat home NEWUSER nologin sh EOF bin shec, Licha Morada (ok), 18:21 , 19-Мрт-20, (4)

gt оверквотинг удален it s_a_magic gif, BABUT (ok), 18:35 , 19-Мрт-20, (5) –1

Отнють, весьма прозрачно и конкретно А это если не так, то пусть топикстартер з, Licha Morada (ok), 21:26 , 19-Мрт-20, (6)

command не отрабатывает, хотя в мане openssh упомянута но, вообще, я уверен на 9, BABUT (ok), 22:49 , 19-Мрт-20, (7)

Спасибо за фидбэк , Licha Morada (ok), 00:16 , 20-Мрт-20, (8)

А в etc passwd засунуть старт иксов, чтоб точно никто не догадался что-где , ыы (?), 08:03 , 20-Мрт-20, (9)

Поясните, в чём это уподобляется засовыванию старта иксов в etc passwd , Licha Morada (ok), 18:45 , 20-Мрт-20, (10)

Тем что создается смысловая каша из подразумевающегося назначения файлов , ыы (?), 20:45 , 20-Мрт-20, (11)

Соглашусь что смысловая каша это нежелательное явление Поделитесь, где, по вашем, Licha Morada (ok), 21:26 , 20-Мрт-20, (12)

Сообщения [Сортировка по времени | RSS]

1. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Аноним (1), 19-Мрт-20, 16:28

vipw
или
pw mod user ЮЗЕР -s /usr/sbin/nologin

Ответить | Правка | Наверх | Cообщить модератору

2. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от sergetv (?), 19-Мрт-20, 16:57

> vipw
> или
> pw mod user ЮЗЕР -s /usr/sbin/nologin
Спасибо! Получилось

Ответить | Правка | Наверх | Cообщить модератору

3. "Как отключить пользователю шелл, оставив логин по SSH " –1 +/–

Сообщение от BABUT (ok), 19-Мрт-20, 17:45

> Куда копать?
наверное копать в сторону pwd_mkdb, но это неточно(я на опёнке)

Ответить | Правка | Наверх | Cообщить модератору

4. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Licha Morada (ok), 19-Мрт-20, 18:21

> Создал пользователя со входом по SSH с авторизацией по ключам для поднятия
> SSH туннеля для проброса портов к машинам в сети.
> Теперь хочу отключить ему шелл, чтоб меньше было возможностей лазить по
> системе.
Мы на Линуксе, но делаем так:
cat > /home/${NEWUSER}/nologin.sh << EOF
#!/bin/sh
echo "Port forwarding only account. ^C to exit."
cat > /dev/null
exit 0
EOF
chmod +x /home/${NEWUSER}/nologin.sh
cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" ssh-rsa AAAAB3...
EOF

Ответить | Правка | Наверх | Cообщить модератору

5. "Как отключить пользователю шелл, оставив логин по SSH " –1 +/–

Сообщение от BABUT (ok), 19-Мрт-20, 18:35

>[оверквотинг удален]
> #!/bin/sh
> echo "Port forwarding only account. ^C to exit."
> cat > /dev/null
> exit 0
> EOF
> chmod +x /home/${NEWUSER}/nologin.sh
> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
> ssh-rsa AAAAB3...
> EOF
it's_a_magic.gif

Ответить | Правка | Наверх | Cообщить модератору

6. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Licha Morada (ok), 19-Мрт-20, 21:26

> it's_a_magic.gif
Отнють, весьма прозрачно и конкретно. А это если не так, то пусть топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.
Лично мне интересно, насколько это решение крос-сплатформенно.

Ответить | Правка | Наверх | Cообщить модератору

7. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от BABUT (ok), 19-Мрт-20, 22:49

> Отнють, весьма прозрачно и конкретно. А это если не так, то пусть
> топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.
> Лично мне интересно, насколько это решение крос-сплатформенно.
command не отрабатывает, хотя в мане openssh упомянута.
но, вообще, я уверен на 99.9%, дело-таки в том, что он не пересоздал базу pwd.db, чем, собственно, и занимается vipw в конце. непонятно, почему он редактировал passwd, а не master.passwd, но, возможно, это особенности фряхи. камрад ранее дал плохой ответ- вместо объяснения механизма происходящего, он просто указал какую кнопку нажать

Ответить | Правка | Наверх | Cообщить модератору

8. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Licha Morada (ok), 20-Мрт-20, 00:16

> command не отрабатывает, хотя в мане openssh упомянута.
Спасибо за фидбэк.

Ответить | Правка | Наверх | Cообщить модератору

9. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от ыы (?), 20-Мрт-20, 08:03

> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Licha Morada (ok), 20-Мрт-20, 18:45

>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?

Ответить | Правка | Наверх | Cообщить модератору

11. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от ыы (?), 20-Мрт-20, 20:45

>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
>> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
> Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?
Тем что создается смысловая каша из подразумевающегося назначения файлов.

Ответить | Правка | Наверх | Cообщить модератору

12. "Как отключить пользователю шелл, оставив логин по SSH " +/–

Сообщение от Licha Morada (ok), 20-Мрт-20, 21:26

>>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF
>>>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443"
>>> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
>> Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?
> Тем что создается смысловая каша из подразумевающегося назначения файлов.
Соглашусь что смысловая каша это нежелательное явление.
Поделитесь, где, по вашему мнению, было бы уместно указывать, что можно и что нельзя делать клиентам SSH, подключающимся с определёнными ключами?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
Сообщение от Аноним (1), 19-Мрт-20, 16:28
vipw или pw mod user ЮЗЕР -s /usr/sbin/nologin
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от sergetv (?), 19-Мрт-20, 16:57
	> vipw > или > pw mod user ЮЗЕР -s /usr/sbin/nologin Спасибо! Получилось
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Как отключить пользователю шелл, оставив логин по SSH "	–1 +/–
Сообщение от BABUT (ok), 19-Мрт-20, 17:45
> Куда копать? наверное копать в сторону pwd_mkdb, но это неточно(я на опёнке)
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
Сообщение от Licha Morada (ok), 19-Мрт-20, 18:21
> Создал пользователя со входом по SSH с авторизацией по ключам для поднятия > SSH туннеля для проброса портов к машинам в сети. > Теперь хочу отключить ему шелл, чтоб меньше было возможностей лазить по > системе. Мы на Линуксе, но делаем так: cat > /home/${NEWUSER}/nologin.sh << EOF #!/bin/sh echo "Port forwarding only account. ^C to exit." cat > /dev/null exit 0 EOF chmod +x /home/${NEWUSER}/nologin.sh cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" ssh-rsa AAAAB3... EOF
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Как отключить пользователю шелл, оставив логин по SSH "	–1 +/–
	Сообщение от BABUT (ok), 19-Мрт-20, 18:35
	>[оверквотинг удален] > #!/bin/sh > echo "Port forwarding only account. ^C to exit." > cat > /dev/null > exit 0 > EOF > chmod +x /home/${NEWUSER}/nologin.sh > cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF > command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" > ssh-rsa AAAAB3... > EOF it's_a_magic.gif
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от Licha Morada (ok), 19-Мрт-20, 21:26
	> it's_a_magic.gif Отнють, весьма прозрачно и конкретно. А это если не так, то пусть топикстартер задаёт вопросы. Ну, или вы задавайте вопросы. Лично мне интересно, насколько это решение крос-сплатформенно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от BABUT (ok), 19-Мрт-20, 22:49
	> Отнють, весьма прозрачно и конкретно. А это если не так, то пусть > топикстартер задаёт вопросы. Ну, или вы задавайте вопросы. > Лично мне интересно, насколько это решение крос-сплатформенно. command не отрабатывает, хотя в мане openssh упомянута. но, вообще, я уверен на 99.9%, дело-таки в том, что он не пересоздал базу pwd.db, чем, собственно, и занимается vipw в конце. непонятно, почему он редактировал passwd, а не master.passwd, но, возможно, это особенности фряхи. камрад ранее дал плохой ответ- вместо объяснения механизма происходящего, он просто указал какую кнопку нажать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от Licha Morada (ok), 20-Мрт-20, 00:16
	> command не отрабатывает, хотя в мане openssh упомянута. Спасибо за фидбэк.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от ыы (?), 20-Мрт-20, 08:03
	> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF > command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	10. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от Licha Morada (ok), 20-Мрт-20, 18:45
	>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF >> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" > А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где... Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от ыы (?), 20-Мрт-20, 20:45
	>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF >>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" >> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где... > Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd? Тем что создается смысловая каша из подразумевающегося назначения файлов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Как отключить пользователю шелл, оставив логин по SSH "	+/–
	Сообщение от Licha Morada (ok), 20-Мрт-20, 21:26
	>>>> cat >> /home/${NEWUSER}/.ssh/authorized_keys << EOF >>>> command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" >>> А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где... >> Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd? > Тем что создается смысловая каша из подразумевающегося назначения файлов. Соглашусь что смысловая каша это нежелательное явление. Поделитесь, где, по вашему мнению, было бы уместно указывать, что можно и что нельзя делать клиентам SSH, подключающимся с определёнными ключами?
	Ответить \| Правка \| Наверх \| Cообщить модератору