Вход пользователя по ssh, который бы не имел прав никуда....

[djrust]

Вход пользователя по ssh, который бы не имел прав никуда кроме домашней директории...

Вход должен быть по ключу + через putty должно срабатывать пробрасывание порта на локальную машину!

Пользователь должен быть ограничен во всем и дальше своей директории не ходить!

Где про такое прочитать?Как сделать?ubuntu server 10.04 lts

[drako]

Ограничен во всем понятие относительное. Пишите что ему должно быть разрешено, тогда можно будет думать...

[djrust]

ничего кроме входа в систему,ну и чтоб срабатывал проброс порта...
Т.е ssh по сути будет использоваться ,как удаленный доступ!
Хотя может и другие готовые решения есть!

[drako]

Вход в систему подразумевает использование какой-либо оболочки. Я, например, для работы с веб-серверами разрешаю пользователю доступ по sftp(только домашняя папка) + ssh-туннель для mysql, доступа к оболочке при этом у пользователя нет.

[djrust]

Задача состоит в удаленном доступе по ssh....
т.е есть роутер(192.168.1.1) - ubuntu server 10.04 lts(192.168.1.10) - windows 2003 server(192.168.1.5)

Надо организовать доступ пользователю на 2003 server через ssh-туннель...

P.S: я сам подключаюсь через putty,делая проброс порта....НО когда я подключаюсь,то попадаю с систему и там же могу править и творить как говорится...

Я, например, для работы с веб-серверами разрешаю пользователю доступ по sftp(только домашняя папка) + ssh-туннель для mysql, доступа к оболочке при этом у пользователя нет.

вот что то подобное,только туннель до 192.168.1.5

[Alie Alexandross]

Можно создать нового пользователя с ограниченными правами и заходить по ssh от него. Каталог, в качестве домашней директории, можно присвоить любой.

Код: [Выделить]

useradd noprivuser -s /bin/bash -d /home/project/temp -g norpivgroupРазрешите ssh доступ пользователям и создайте ключ.
Если нужен только noprivuser - пропишите allowusers в sshd_config.

[drako]

вот что то подобное,только туннель до 192.168.1.5

Нет ничего проще
Выбираем как будем прокидывать пользователем или группой(группой резонней).

На ssh сервере:
sudo groupadd rdp
sudo useradd -M -g rdp -s /bin/false имяпользователя
sudo passwd имяпользователя
В конец(это принципиально) /etc/ssh/sshd_config добавляем:
Match Group rdp
PermitOpen 192.168.1.5:3389
Перезагружаем конфиг ssh

На клиенте:
plink -N -L(или R - вечно путаю) 33890:192.168.1.5:3389 имяпользователя@sshсервер
в клиенте терминала цепляемся на localhost:33890

Вот вроде и все, если ниче не напутал.

[djrust]

Клиент windows должен быть!putty вроде это умеет.....там ведь обычное подключение по ssh идет?(не совсем понятно как подключаться с windows)
А таким образом можно увидеть расшаренные ресурсы 192.168.1.5?

Можно ведь обойтись только ?
sudo useradd -s /bin/false имяпользователя

И потом этого пользователя использовать для 10-15 одновременных подключений?

[drako]

plink - консольный putty под винду, нужен именно он(ключ N), т.к. putty при шеле /bin/false просто закроется.
Про порт, тут сорри, я думал вам виндовый терминал нужен. Если вы хотите шару гнать, то тут pptp мне кажется уместнее был бы.

[djrust]

Про порт, тут сорри, я думал вам виндовый терминал нужен.

Про какой порт?

Если вы хотите шару гнать, то тут pptp мне кажется уместнее был бы.

Он настроен,просто я думаю ssh надежнее чтоли)

Что то не могу найти ссылку на man plink....как туда путь к ключу прописать!
нашел: -i путь

[drako]

Про какой порт?

3389 - виндовый терминал

Он настроен,просто я думаю ssh надежнее чтоли)

Это неколько разные технологии

Можно ведь обойтись только ?
sudo useradd -s /bin/false имяпользователя
И потом этого пользователя использовать для 10-15 одновременных подключений?

Можно, только рассказывать всем новый пароль, потому что одного надо откинуть...

[djrust]

3389 - виндовый терминал

Он и нужен)

В общем все получилось,спасибо!

Вот только еще бы понять в какую сторону копать,чтоб ресурсы 192.168.1.5 были видны)

[drako]

Вот только еще бы понять в какую сторону копать,чтоб ресурсы 192.168.1.5 были видны)

В ssh Вы не сможете корректно завернуть порты. Так что остается vpn. На длинковской dfl + AD win 2008 я делал pptp с авторизацией в домене.

[djrust]

Можно, только рассказывать всем новый пароль, потому что одного надо откинуть...

Не понял?кого откинуть?

У меня сейчас 2adsl модема и два DI-804HV(соединены по VPN офис и склад)

На складе жуткие проблемы с интернетом,толи DI-804HV виснет,толи huawei лажает....Никак не могу понять и за чего
На DI-804 сделал привязку к mac,DHCP отключил,на клиентах убрал DNS...интернет пустил через прокси......Все равно подключиться не могу ни по ssh,ни на сам роутер!
Причем это проблемы из вне в сеть....Если из офиса подключаться,то подключение идет но ооочень медленное

Помогает только перезагрузка huawea,роутер вроде не трогают....


Вот может подскажите как про диагностировать такие проблемы?

[drako]

Вот может подскажите как про диагностировать такие проблемы?

Вообще это уже офтоп, но вообще для начала трассировку прогнать, потом если видно будет что затык на вашей железке, подставить другую и посмотреть что будет.