Restriktives Tunneling

[ManuP]

Hallo,

es geht mal wieder um das Thema Tunneln

Ich bin noch nicht ganz schlau geworden ob es möglich ist auf einem Server einen User ohne Login an zu legen (z.B. mit /bin/false als Login shell) und von einem anderen PC (dem Client) einen Port mittels ssh zu tunneln.
Der User (auf dem Server) soll wirklich NUR den EINEN (und nicht mehr) Tunnel (auf einem festgelegten Port) herstellen können.
Geht so etwas? Und wenn ja, wie?

Grüße,

Manu

Anmerkungen:
1. /bin/false ist nicht ganz sicher, siehe http://www.semicomplete.com/articles/ssh-security/
2. Der ssh Befehl sähe in etwa so aus: ssh -g -N -R 10022:localhost:22 limiteduser@server

[Natureshadow]

Hi,

im Zweifelsfall gib es im netfilter (iptables) einen User match.

-nik

[ManuP]

Hallo Natureshadow,

danke für deine Antwort. Ich möchte die Sicherheit so weit es geht jedoch über den sshd herstellen.
Gibt es da keine Möglichkeiten?

Gruß

[Natureshadow]

man sshd_config:

Code: Alles auswählen

     PermitOpen
             Specifies the destinations to which TCP port forwarding is per‐
             mitted.  The forwarding specification must be one of the follow‐
             ing forms:

                   PermitOpen host:port
                   PermitOpen IPv4_addr:port
                   PermitOpen [IPv6_addr]:port

             Multiple forwards may be specified by separating them with white‐
             space.  An argument of “any” can be used to remove all restric‐
             tions and permit any forwarding requests.  By default all port
             forwarding requests are permitted.