Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Ограничение количества подключенных по ssh пользователей  (Прочитано 2896 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
Ребята, помогайте.
Задача такая. Есть сервер, к которому подключена система распределения квантовых ключей (в дальнейшем Железо). Необходимо реализовать удалённое подключение пользователей к серверу (как локальная, так и глобальная сеть). Как решение было принято сделать так: напишу графическую приблуду на сервер, которая будет работать с Железом, а пользователи по ssh будут подключаться к серверу и работать.
Появляется вопрос - как избежать множественного доступа к серверу?
Заранее спасибо :)
Amor vincit omnia

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Появляется вопрос - В ЧЁМ ПРОБЛЕМА?
Что у вас за паранойя с "множественным доступом" у всех?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
Не-не-не. Это не паранойя. Просто с железкой одновременно может работать только один человек (если несколько будут вводить параметры в неё, то результаты будут не понятно какие)
Amor vincit omnia

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Это проблема не железки и тем более не SSH, а софта, который данные в железку загоняет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
Так вот чтобы избежать анализа\переписывания библиотек для железки я и хочу узнать: "как избавиться от множественного доступа пользователей определённой группы по ssh"?
Amor vincit omnia

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Ещё раз - вопрос к SSH никакого отношения не имеет.
Блокируй саму софтину.
Рассказать, как APT работает, или не надо?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
Видимо не совсем объяснил принцип работы:
Юзер подключается по ssh c параметром -X к серверу. Его забрасывает в собственную директорию. В директории лежит скрипт запуска софта.
Поэтому мне и нужно, чтобы сам ssh контролировал кол-во пользователей. Скажем, если из группы hard-users подключился один, то второй сможет подключиться лишь тогда, когда первый отключится.
Amor vincit omnia

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
...Ты только себя слышишь что ли?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
При запуске скрипта делать проверку:
pgrep script || scriptИли создавать файл блокировки.

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
AnrDaemon, прости, не увидел твоего сообщения №5. А причём тут APT?

arcfi, а можно подробнее о pgrep. А то man почитал, но что-то не совсем понял как реализовать? Т.е. когда скрипт запущен кем-то из пользователей, то другие будут получать отлуп?
Amor vincit omnia

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
ssh -X server "pgrep baobab || baobab"

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
AnrDaemon, прости, не увидел твоего сообщения №5. А причём тут APT?
При том, что у (syn)apt*/ic реализована взаимно-исключающая блокировка базы пакетов.
Ни одна из программ семейства не начнёт работу, пкоа не получил исключительной блокировки файла-флага.

Цитировать
arcfi, а можно подробнее о pgrep. А то man почитал, но что-то не совсем понял как реализовать? Т.е. когда скрипт запущен кем-то из пользователей, то другие будут получать отлуп?
Там сначала более конкретная ссылка была.
man flock
« Последнее редактирование: 27 Марта 2011, 16:03:04 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
Нету что ли у ссшд каких-нибудь параметров на этот счет
Ну и ладно,  давайте работать жестко  :knuppel2:
iptables -A INPUT -p tcp --dport 22 -m connlimit  ! --connlimit-above 1 --connlimit-mask 0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Бери больше, кидай дальше

Оффлайн komarov.yura

  • Автор темы
  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
    • Блог о Linux, жизни и плюшках
Хм... Через iptables... Не плохо - не подумал об этом. Но ведь тогда будет только 1 пользователь по ssh. А можно в iptables чтобы один пользователь определённой группы? А то если пользователь работает, а админу нужно подключиться к серверу - ему что, отлуп будет выдаваться?
Amor vincit omnia

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
маску 24 значит лимит на хост будет

ну это так,  защита от 'дурака' получается


Во и параметр нашелся sshd
MaxSessions 10
но все ровно-  один работает а всем  остальным ждать
« Последнее редактирование: 27 Марта 2011, 17:14:58 от terrible_user »
Бери больше, кидай дальше

 

Страница сгенерирована за 0.052 секунд. Запросов: 25.