тому я вже деякий час використовую тунелі SSH для обмеження доступу до внутрішніх сайтів або частин загальнодоступних сайтів, і оскільки лише адміністратори мали доступ до SSH, я використовував стандартні некористувальні / sudo акаунти користувачів. Ну а тепер, коли я розширюю і намагаюся залучити студентів моїх місцевих університетів до розширення своїх проектів, їм потрібно буде почати доступ до деяких із цих внутрішніх сторінок.
Проксі-сервер - це вікно CentOS 6.4, увімкнено SELinux, і він не запускає жодних інших служб, крім проксі. Я хочу врешті встановити повний VPN, але в цьому випадку це просто дозволити доступ до певних машин із білого списку IP, а не повний внутрішній доступ до мережі.
Я розглянув усі методи налаштування проксі-сервера SOCKS з обліковими записами користувачів, які мають такі речі, як / bin / false тощо, але
A) вони припускають, що передається лише один порт або хост (тоді як у цьому випадку у мене є набір екземплярів VPS, які змінюватимуться на вимогу в мережевих конфігураціях), або
B) що звичайний клієнт SSH використовується, а не щось на зразок PuTTY (стільки, як я хотів би змусити всіх учнів використовувати VM або встановити linux безпосередньо, це не зовсім варіант, оскільки школа використовує PuTTY для своєї інженерії апаратне забезпечення для учнів).
Ось що я знайшов досі: Якщо використовується звичайний клієнт ssh, я можу встановити оболонку користувача на / bin / false і користувач може вказати команду -N під час налаштування проксі-сервера SOCKS, але, на жаль, для користувачів PuTTY це Мабуть, не працює (принаймні, я не міг змусити його працювати).
Коли PuTTY відкриває тунель через параметри тунелювання за замовчуванням, він повинен відкрити оболонку, яка негайно відключається після входу, оскільки користувач має / bin / false помилку. Якщо я задаю аргумент "без оболонки чи команди" у налаштуваннях SSH, Параметри проксі, схоже, не отримують налаштування. Якщо я спробую встановити проксі-сервер у параметрах SSH для віддалених команд, він все ще не запускається, якщо я не дозволю оболонки або інших команд у параметрах.
Питання, пов’язані з цим, я знайшов, але не зовсім підходить:
Створіть тунелі SOCKS за допомогою PuTTY та нологіну (це технічно буде працювати, але оболонка - це просто команда сну, яка працює дуже довго, і я переживаю, щоб вона не вийшла. Я б швидше мав справжній ношел, а потім оболонка, яка просто висить з міркувань безпеки)
https://askubuntu.com/questions/48129/how-to-create-a-restricted-ssh-user-for-port-forwarding (Це не працює, оскільки потрібно, щоб користувач використовував справжню установку ssh , а такі програми, як PuTTY, не працюватимуть). Також вони мені потрібні, щоб мати доступ до веб-сторінок, хоча я припускаю, що я міг би просто вказати PermitTunnel для облікового запису, а не лише дозволити певний порт.
"noshell" для ssh-проксі-користувачів (цей не працює для PuTTY з причин, про які я говорив вище, щодо необхідності, щоб у PuTTY були включені команди для налаштування проксі-сервера SOCKS)
Будь-які пропозиції? Я легко міг щось пропустити, але я не впевнений.
-Джим
/bin/falseяк оболонку?