#1 Le 24/07/2009, à 23:19
- thomine
Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Bonsoir,
Après avoir parcouru un peu de littérature à ce sujet, je n'ai pas trouvé de solution satisfaisante et je n'ai pas voulu me lancer dans des configurations complexes type chroot.
Mon besoin initial est le suivant : je souhaite donner à un ami la possibilité d'utiliser mon PC comme relais (ou proxy). La difficulté, c'est que je souhaite qu'il ne puisse faire que ça.
Ma question : peut-on donner un accès SSH à un utilisateur sans qu'il ait de shell (ou alors un shell restreint au maximum) ?
J'ai regardé du côté de Squid mais le problème est que je n'ai pas vraiment réussi à utiliser un client FTP avec Squid. Bref, je m'en remets à ce bon vieux SSH.
J'ai une solution qui fonctionne mais pas complètement satisfaisante car l'utilisateur peut consulter les fichiers du disque.
Pour le moment, voilà ce que j'ai fait :
- Création d'un nouvel utilisateur avec un home mais sans mot de passe et sans sudo.
- Mise à jour de /etc/sshd_config pour autoriser l'accès de cet utilisateur.
- Génération de clés privée et publique pour cet utilisateur.
- Ajout de la clé publique dans le fichier .ssh/authorized_keys du nouvel utilisateur. => J'en conclus qu'il n'est peut-être pas possible de créer un accès SSH sans home...
- Modification du shell du nouvel utilisateur. Remplacement de /bin/bash par /bin/rbash.
Pour aller encore plus loin, je pourrai peut-être rajouter un
command="/usr/bin/which"
ou un truc dans le genre dans le fichier authorized_keys.
Qu'en pensez-vous ? Peut-on créer un compte encore plus bridé pour cet accès SSH ?
Par avance, merci pour votre aide !
Dernière modification par thomine (Le 25/07/2009, à 13:21)
Hors ligne
#2 Le 24/07/2009, à 23:28
- Grünt
Re : Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Regarde le manuel de "adduser": tu peux choisir le shell, l'existence ou pas d'un dossier personnel pour l'utilisateur..
Donc tu peux ajouter un utilisateur sans shell
Red flashing lights. I bet they mean something.
Hors ligne
#3 Le 25/07/2009, à 00:02
- thomine
Re : Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Merci Grunt pour ta réponse. Effectivement j'ai vu cette option. Mais est-ce possible de se connecter en SSH avec un utilisateur sans shell ? Je ne crois pas...
Est-ce que je peux me connecter en SSH si mon utilisateur n'a pas de home ? Ca ne me parait pas possible car j'utilise une authentification par clé publique, et j'ai donc besoin d'un fichier .ssh/authorized_users.
Hors ligne
#4 Le 25/07/2009, à 00:16
- Grünt
Re : Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Ah oui, le dossier perso sera indispensable pour la clef.
par contre du SSH sans shell c'est parfaitement possible!
Red flashing lights. I bet they mean something.
Hors ligne
#5 Le 25/07/2009, à 13:21
- thomine
Re : Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Oui merci Grunt. Effectivement j'ai mis en /bin/false et ça fonctionne.
Je vais laisser ça comme ça, ça me parait suffisant comme protection, l'important étant que la personne n'est pas accès à mon disque.
Hors ligne
#6 Le 25/07/2009, à 13:21
- Grünt
Re : Créer un user sans droit pour utilisation de SSH comme proxy [RESOLU]
Il me semble qu'il pourra utiliser "scp" pour manipuler des fichiers dans son dossier perso, vérifie.
Red flashing lights. I bet they mean something.
Hors ligne