der_Kay
Doppel-As
Liebe Forenmitglieder,
Das Intranet/VPN unseres Betriebes ist durch eine "dicke", größtenteils extern gemanagte Firewall (SuSE/IPSec) nach außen geschützt (, auf die ich zwar root-Zugriff habe, auf der ich aber möglichst nichts drehen will). Nun will ich unseren Kunden (hauptsächlich Windowsbenutzer) übers Internet gesicherten Zugriff auf einen Webserver hinter der FW gewähren. Es ist geplant, jedem Kunden einen eigenen SSH-private-key zukommen zu lassen, mit dem er sich z. B. mittels PuTTY bequem zum Webserver durchtunneln und anschliessend mit seinem Webbrowser über eine URL ähnlich http://localhost:<Port > 1024>/Login sein Portal ansurfen kann. Das klappt auch ganz prima.
Dazu habe ich einen einzelnen Benutzer ("kunde") auf der FW angelegt. Jeder in .ssh/authorized_keys hinterlegte public key ist mit allen Restriktionen versehen, die sich innerhalb authorized_keys angeben lassen, insbesondere Festlegung des erlaubten Tunnels und Verweigerung eines Pseudo-Terminals ("no-pty"). Das funktioniert auch zufriedenstellend.
Trotzdem kann der Kunde immernoch viel zu viel auf der FW herumpfuschen, insbesondere Kommandos per SSH absetzen oder SFTP/SCP betrieben.
Wie erreiche ich eine maximale Restriktion der Handlungsmöglichkeiten des Benutzers "kunde"? Im Idealfall soll dieser überhaupt rein gar nichts außer dem SSH-Tunnel aufbauen können.
Wie sollte ich vorgehen? In welcher Gruppe sollte "kunde" Mitglied sein ("nogroup"(?))? Welche shell sollte "kunde" erhalten ("/bin/false"(?))? Genügt das, um alle Interaktionsmöglichkeiten zu unterbinden? Wie kann ich SFTP/SCP unterbinden, innerhalb von sshd_conf unter Subssystem oder ist es schon durch vorherige Maßnahmen deaktiviert? Was ist sonst noch zu beachten?
Danke im voraus fürs Lesen und Eure Hilfe!
Mit freundlichen Grüßen,
Kay
Das Intranet/VPN unseres Betriebes ist durch eine "dicke", größtenteils extern gemanagte Firewall (SuSE/IPSec) nach außen geschützt (, auf die ich zwar root-Zugriff habe, auf der ich aber möglichst nichts drehen will). Nun will ich unseren Kunden (hauptsächlich Windowsbenutzer) übers Internet gesicherten Zugriff auf einen Webserver hinter der FW gewähren. Es ist geplant, jedem Kunden einen eigenen SSH-private-key zukommen zu lassen, mit dem er sich z. B. mittels PuTTY bequem zum Webserver durchtunneln und anschliessend mit seinem Webbrowser über eine URL ähnlich http://localhost:<Port > 1024>/Login sein Portal ansurfen kann. Das klappt auch ganz prima.
Dazu habe ich einen einzelnen Benutzer ("kunde") auf der FW angelegt. Jeder in .ssh/authorized_keys hinterlegte public key ist mit allen Restriktionen versehen, die sich innerhalb authorized_keys angeben lassen, insbesondere Festlegung des erlaubten Tunnels und Verweigerung eines Pseudo-Terminals ("no-pty"). Das funktioniert auch zufriedenstellend.
Trotzdem kann der Kunde immernoch viel zu viel auf der FW herumpfuschen, insbesondere Kommandos per SSH absetzen oder SFTP/SCP betrieben.
Wie erreiche ich eine maximale Restriktion der Handlungsmöglichkeiten des Benutzers "kunde"? Im Idealfall soll dieser überhaupt rein gar nichts außer dem SSH-Tunnel aufbauen können.
Wie sollte ich vorgehen? In welcher Gruppe sollte "kunde" Mitglied sein ("nogroup"(?))? Welche shell sollte "kunde" erhalten ("/bin/false"(?))? Genügt das, um alle Interaktionsmöglichkeiten zu unterbinden? Wie kann ich SFTP/SCP unterbinden, innerhalb von sshd_conf unter Subssystem oder ist es schon durch vorherige Maßnahmen deaktiviert? Was ist sonst noch zu beachten?
Danke im voraus fürs Lesen und Eure Hilfe!
Mit freundlichen Grüßen,
Kay
Zuletzt bearbeitet:
