Fragen zu dynamischen ssh tunnel

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Arrpork
Beiträge: 111
Registriert: 25.02.2004 13:42:17

Fragen zu dynamischen ssh tunnel

Beitrag von Arrpork » 15.05.2008 08:49:35

Hallo,

ich hätte zwei Fragen zu dynamischen ssh Tunnel (also ssh -D <port>)

Gibt es eine Möglichkeit einem User nur das Tunneln aber nicht das Anmelden am System zu erlauben.

Wie kann man am Besten kontrollieren, welche Websiten über den Tunnel angesurft wurden.
(Sniffern (tcpdump, wireshark) halte ich in diesem Fall für sehr aufwendig, zumindest wenn es nur um http anfragen geht)

Gruß Arrpork
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Re: Fragen zu dynamischen ssh tunnel

Beitrag von nepos » 15.05.2008 09:37:08

Dir ist schon klar, dass das ein Widerspruch an sich ist oder? Erst verschlüsselte Tunnels per SSH machen und dann lesen wollen, was in den Tunnels übertragen wird...
Wofür dann überhaupt das Tunneln via SSH?
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Fragen zu dynamischen ssh tunnel

Beitrag von gms » 15.05.2008 09:49:19

Arrpork hat geschrieben: Gibt es eine Möglichkeit einem User nur das Tunneln aber nicht das Anmelden am System zu erlauben.
wenn du dem User einen Key zur Verfügung stellst und diesen Key in dessen "authorized_keys2" mit entsprechenden Option versiehst, kommt es daruf hinaus.

z.B

Code: Alles auswählen

# cat authorized_keys2
command="while :; do date; sleep 10; done",permitopen="192.168.1.99:99" ssh-rsa A..
Arrpork hat geschrieben: Wie kann man am Besten kontrollieren, welche Websiten über den Tunnel angesurft wurden.
(Sniffern (tcpdump, wireshark) halte ich in diesem Fall für sehr aufwendig, zumindest wenn es nur um http anfragen geht)
wahrscheinlich über die access.log des Webservers :wink:
Zur Errinnerung: Du möchtest einen SSH Tunnel einrichten, der eigentlich das Sniffen verhindern soll :wink:
Aber zwischen SSH-Server und Webserver ist die Verbindung natürlich unverschlüsselt.

Gruß
gms
Nach oben
Arrpork
Beiträge: 111
Registriert: 25.02.2004 13:42:17

Re: Fragen zu dynamischen ssh tunnel

Beitrag von Arrpork » 15.05.2008 09:54:17

nepos hat geschrieben:Dir ist schon klar, dass das ein Widerspruch an sich ist oder? Erst verschlüsselte Tunnels per SSH machen und dann lesen wollen, was in den Tunnels übertragen wird...
Wofür dann überhaupt das Tunneln via SSH?
Die Verbindung ist ja nur bis zum SSH Server verschlüsselt. Danach (also beim Ausgehen vom Server) ist die Verbindung ja Klartext.
Nach oben
Arrpork
Beiträge: 111
Registriert: 25.02.2004 13:42:17

Re: Fragen zu dynamischen ssh tunnel

Beitrag von Arrpork » 15.05.2008 10:12:14

  • # cat authorized_keys2
    command="while :; do date; sleep 10; done",permitopen="192.168.1.99:99" ssh-rsa A..
Das werd ich mal ausprobieren. Danke
wahrscheinlich über die access.log des Webservers.
Dazu bräuchte ich ja Zugriff auf den Zielserver. Den hab ich nicht.
Zur Errinnerung: Du möchtest einen SSH Tunnel einrichten, der eigentlich das Sniffen verhindern soll :wink:
Aber zwischen SSH-Server und Webserver ist die Verbindung natürlich unverschlüsselt.
Genau, das meine ich :)

Gruß Arrpork
Nach oben
nil
Beiträge: 989
Registriert: 08.06.2005 13:28:36

Re: Fragen zu dynamischen ssh tunnel

Beitrag von nil » 15.05.2008 10:31:38

Gibt es eine Möglichkeit einem User nur das Tunneln aber nicht das Anmelden am System zu erlauben.
Also ich gebe diesen Benutzern immer die Shell "/bin/false" in /etc/passwd. Zudem müssen die Benutzer dann bei SSH die Option "-N" nutzen.

Code: Alles auswählen

ssh -N -D ...
Nach oben
Antworten

Zurück zu „weitere Dienste“