[Tecnica] Ssh e configurazione multi-utente

Vincenzo Di Massa hawk78 a interfree.it
Dom 4 Mar 2007 11:27:33 GMT


Alle sabato 3 marzo 2007, Yusef Maali ha scritto:
> Alle 23:36, venerdý 02 marzo 2007, Vincenzo Di Massa ha scritto:
> > Ciao
> > e... RTFM
> > Vincenzo
>
> L'ho letto il manuale :)
> E ho pure googlato un pomeriggio intero...
>
> Per le mie esigenze non posso abilitare solo l'accesso con chiave. E il mio
> problema Ŕ quello! Poter differenziare le modalitÓ di accesso senza essere
> costretto ad usare solo l'autenticazione con chiave.
>
> Ciao
> e...RTFQ :)

Vediamo se ho capito la domanda...
Alle giovedý 1 marzo 2007, Yusef Maali ha scritto:
> Mi stavo chiedendo se fosse possibile configurare un server SSH in modo da
> avere configurazioni diverse per utenti diversi. Mi interessa, ad esempio,
> poter dare l'accesso shell ad alcuni utenti e ad altri no, 
Questo Ŕ facile AllowUsers e DenyUsers (da manuale ;-) ) fanno proprio questo.

> permettere il 
> forwarding ad alcuni e ad altri no, ecc...
Ma a cosa serve???? Gli utenti che possono accedere seza forwarding possono 
fare lo stesso il forwarding "a manina"! 

Leggendo il manuale qui
"""
    AllowTcpForwarding
             Specifies whether TCP forwarding is permitted.  The default is
             “yes”.  Note that disabling TCP forwarding does not improve secu‐
             rity unless users are also denied shell access, as they can
             always install their own forwarders.

"""
e ancora qui
"""
     X11Forwarding
             Specifies whether X11 forwarding is permitted.  The argument must
             be “yes” or “no”.  The default is “no”.

             When X11 forwarding is enabled, there may be additional exposure
             to the server and to client displays if the sshd proxy display is
             configured to listen on the wildcard address (see X11UseLocalhost
             below), however this is not the default.  Additionally, the
             authentication spoofing and authentication data verification and
             substitution occur on the client side.  The security risk of
             using X11 forwarding is that the client’s X11 display server may
             be exposed to attack when the ssh client requests forwarding (see
             the warnings for ForwardX11 in ssh_config(5)).  A system adminis‐
             trator may have a stance in which they want to protect clients
             that may expose themselves to attack by unwittingly requesting
             X11 forwarding, which can warrant a “no” setting.

             Note that disabling X11 forwarding does not prevent users from
             forwarding X11 traffic, as users can always install their own
             forwarders.  X11 forwarding is automatically disabled if UseLogin
             is enabled.
"""

Si capisce che il server non corre pi¨ rischi a disabilitare il forwarding...
e anche se lo fa Ŕ (ovviamente) possibile fare forwarding in 1000000 di altri 
modi.

Bhe inventiamo un nuovo acronimo CRTFM,Y! ( Carefully Read The Fu**ing Manual, 
Yusef!) ;-)

Ciao
> Ciao.





Maggiori informazioni sulla lista Tecnica