Moin,
ich möchte den ssh Zugriff auf unsere Server hier so einrichten, das der sich Anmeldende User sich vorher erst bei mir melden muss, damit ich den Zugang freigebe. Hintergrund ist die Kontrolle über Supportarbeiten, die per ssh laufen.
Die Manpage gibt zwar etwas über den Befehl "command" aus, nur leider habe ich es nicht geschafft, dies soweit zu bringen, das vor dem Login eine Nachricht an den User geschickt wird.
Hat jemand das schon realisiert?
Gruss,
chw
ssh Zugriff nur nach Freischaltung erlauben
Also du möchtest auf deiner Konsole eine Anfrage bekommen, wenn sich jemand auf einen Server per SSH verbinden will? Und erst dann den Zugriff mit [Y/n] erlauben?.
Verbinden sich die User per SSH zu dem Rechner woran du sitzt und die Meldung bekommst, oder irgendwo im Netzwerk?
Mir würde da spontan leider nichts einfallen, außer ein kleines Shell/Perl/C Script, welches man von Außen ansprechen kann und das dann in der /etc/ssh/sshd_config die Zeile: AllowUsers modifiziert und den sshd neustartet.
Nur fügt das natürlich eine Sicherheitslücke ins System ein und sollte gut überlegt werden.
Glaube aber kaum, das es anders geht!
Bei der "programmierung" des Servers, sollte man nur ein paar Sicherheitsmechanismen einbauen, damit kein anderer einfach einen User in die sshd.conf eintragen kann.
Verbinden sich die User per SSH zu dem Rechner woran du sitzt und die Meldung bekommst, oder irgendwo im Netzwerk?
Mir würde da spontan leider nichts einfallen, außer ein kleines Shell/Perl/C Script, welches man von Außen ansprechen kann und das dann in der /etc/ssh/sshd_config die Zeile: AllowUsers modifiziert und den sshd neustartet.
Nur fügt das natürlich eine Sicherheitslücke ins System ein und sollte gut überlegt werden.
Glaube aber kaum, das es anders geht!
Bei der "programmierung" des Servers, sollte man nur ein paar Sicherheitsmechanismen einbauen, damit kein anderer einfach einen User in die sshd.conf eintragen kann.
Ja, so stelle ich mir das vor. Am besten wäre es, wenn ich die Nachricht per Mail bekomme. Es reicht aber auch aus, wenn der User eine Nachricht angezeigt bekommt, aus der hervorgeht, das er sich bei mir melden soll.Friesi hat geschrieben:Also du möchtest auf deiner Konsole eine Anfrage bekommen, wenn sich jemand auf einen Server per SSH verbinden will? Und erst dann den Zugriff mit [Y/n] erlauben?.
Die User verbinden sich zu einem Server in unserem Netzwerk.Verbinden sich die User per SSH zu dem Rechner woran du sitzt und die Meldung bekommst, oder irgendwo im Netzwerk?
Genau, und deshalb ist das auch nicht die Lösung die ich unbedingt suche.Mir würde da spontan leider nichts einfallen, außer ein kleines Shell/Perl/C Script, welches man von Außen ansprechen kann und das dann in der /etc/ssh/sshd_config die Zeile: AllowUsers modifiziert und den sshd neustartet.
Nur fügt das natürlich eine Sicherheitslücke ins System ein und sollte gut überlegt werden.
Ist es nicht möglich mit der ssh-option "command" etwas zu stricken?Glaube aber kaum, das es anders geht!
So wie ich es aus der Manpage herauslese, könnte es möglich sein. Nur leider fehlt mir das nötige (Hintergrund-)Wissen dazu.
Gruss,
Christian
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
# /etc/ssh/sshd_configchw hat geschrieben:Es reicht aber auch aus, wenn der User eine Nachricht angezeigt bekommt, aus der hervorgeht, das er sich bei mir melden soll.
Banner /etc/ssh/ssh.greet
# /etc/ssh/ssh.greet
plz call 911
or mailto chw@chw.int
herrchen
Ah, darauf hätte man auch kommen können. Zumal ich die manpage schon rauf + runter gelesen habeherrchen hat geschrieben:# /etc/ssh/sshd_configchw hat geschrieben:Es reicht aber auch aus, wenn der User eine Nachricht angezeigt bekommt, aus der hervorgeht, das er sich bei mir melden soll.
Banner /etc/ssh/ssh.greet
# /etc/ssh/ssh.greet
plz call 911
or mailto chw@chw.int
herrchen
.Danke. Jetzt reicht mir schon ein Skript, welches die Login-Shell des entsprechenden Users in /etc/passwd angleicht und fertig.