Usando / usr / bin / passwd como shell de inicio de sesión

Navega tus respuestas
3

Tengo el requisito de configurar un túnel SSH entre dos hosts. El servidor SSH se ejecuta en un host Linux y el cliente SSH (PuTTY) se ejecuta en un host Windows.

He configurado una cuenta de usuario separada (por ejemplo, 'túnel') en la máquina Linux para permitir esto. Se supone que este usuario no debe ejecutar ningún comando, pero solo mantendrá la conexión SSH para el túnel cuando haya iniciado sesión desde PuTTY. Por esa razón en particular, he establecido /usr/bin/passwd como el shell de inicio de sesión para este usuario.

Mi pregunta es, ¿Es esta una buena práctica en términos de seguridad cuando se trata de un túnel SSH? No pude encontrar mucha información en Internet acerca de esta configuración, pero leí que este shell se puede usar en un servidor de intercambio de archivos.

    
pregunta Shaakunthala 29.03.2013 - 07:12
fuente

3 respuestas

8

En general, establecemos el shell en /bin/false y proporcionamos la opción -N al crear el túnel, algo como; 

ssh -D 4444 -N -i ~/keys/user_id_rsa [email protected]

El conmutador -N le dice a ssh que no ejecute ningún comando al conectarse, sin ello, su conexión se cerrará inmediatamente debido a la shell /bin/false .

Usted podría utilizar /bin/rbash para proporcionar alguna funcionalidad básica, pero si solo quiere poder hacer un túnel, le aconsejo que no lo haga.

    
respondido por el lynks 29.03.2013 - 10:12
fuente
1

/ usr / bin / passwd es para facilitar el cambio de la contraseña del usuario. Si lo usa como shell del usuario, el usuario no podrá iniciar sesión, pero podrá (o, si se hace más correctamente, siempre se verá obligado) cambiar su contraseña en cada intento de inicio de sesión.

lo que necesita es algún tipo de shell restringido, desde el cual el único comando que el usuario debería poder ejecutar es el comando exit y puede ser uno o dos comandos adicionales relacionados con la verificación del estado del túnel, si es necesario.

busque en Google el término "shell restringido de Linux" y verá muy pocas páginas, explicando cómo configurar una

    
respondido por el MelBurslan 29.03.2013 - 10:13
fuente
0

Este tipo de situación es perfecto para un escenario chroot. Configurarías una cuenta de chroot especial e instalarías de tal manera que crees un buen escenario de cárcel. Creo que esta es una solución mucho mejor al final. Aquí hay algunos enlaces.

enlace enlace

    
respondido por el Tek Tengu 29.03.2013 - 16:13
fuente

Lea otras preguntas en las etiquetas

Acceso seguro a Internet mientras viaja Al agregar sal y contraseñas de hashing, ¿alguna ventaja de incluir la longitud de la contraseña?