Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: SSH, tunnel, gebruiker geen rechten  (gelezen 1256 keer)

Offline RogierVLD

  • Lid
  • Steunpunt: Nee
SSH, tunnel, gebruiker geen rechten
« Gepost op: 2010/08/22, 14:15:03 »
Hoi,

Dankzij veel hulp op dit forum heb ik nu eindelijk door hoe private/public keys werken. Tenminste, natuurlijk niet het wiskundige onderhuids maar het principe om toegang te krijgen.
Nog wat vragen:

Klopt het dat de SSH server kijkt in de map van de gebruiker, bijvoorbeeld in /home/rogier/.ssh/authorized_keys
Als ik een key voor iemand anders aanmaak, bijvoorbeeld Piet, dan kijkt SSH in /home/piet/.ssh/authorized-keys

Als er geen bestand authorized_keys staat onder bijvoorbeeld kees, dan kan deze gebruiker niet inloggen met een sleutel, of speurt de SSH server door naar sleutels onder wellicht een andere gebruiker. Sorry voor de wellicht domme vraag
Is het beter om gebruikers expliciet toegnag te geven in de SSH config?

ssh_copy_id, werkt neem ik aan niet meer als je de wachtwoord optie in de server hebt uitgeschakeld?

Hoe kan ik ervoor zorgen dat gebruiker piet helemaal niets kan, behalve de port forwarding met Putty naar de MySQL database?
Weet iemand een eenvoudige grafische tool om gebruikersrechten toe te wijzen? De file sudoers vind ik weer lastig:-)

Bedankt!

Rogeir

Offline vanadium

  • Lid
  • Steunpunt: Nee
Re: SSH, tunnel, gebruiker geen rechten
« Reactie #1 Gepost op: 2010/08/22, 14:42:53 »
Veel verschillende vragen voor één draadje.
Citaat
Klopt het dat de SSH server kijkt in de map van de gebruiker, bijvoorbeeld in /home/rogier/.ssh/authorized_keys
De server kijkt in de account waarop jij wil inloggen of er een sleutel is die overeenkomt met diegene die jij overstuurt tijdens het inloggen.
Citaat
Als ik een key voor iemand anders aanmaak, bijvoorbeeld Piet, dan kijkt SSH in /home/piet/.ssh/authorized-keys
Je maakt een key aan op je client machine. Van zodra je die kopieert naar een account op een server, kan je paswoordloos inloggen op die server.

Stel dat je op je PC twee gebruikers hebt, Piet en Rogier. Als je beiden hun sleutels kopieert naar een account "Jan" op de server, dan zullen zowel Piet als Rogier zonder paswoord kunnen inloggen op de account "Jan" op de server. Hetzelfde geldt voor een account "rogier" op de server.

Als je de sleutel van Piet kopieert naar "Jan" op de server en de sleutel van Rogier naar "Paul" op de server, dan kan Piet inloggen op Jan en Rogier op Paul. Piet kan niet inloggen op Paul, tenzij je ook zijn sleutel naar Paul kopieert.

Citaat
Als er geen bestand authorized_keys staat onder bijvoorbeeld kees, dan kan deze gebruiker niet inloggen met een sleutel, of speurt de SSH server door naar sleutels onder wellicht een andere gebruiker. Sorry voor de wellicht domme vraag
Dat is nu wellicht reeds duidelijk uit voorgaande uitleg. Als je op de server in de account waarop je wil inloggen, geen publieke sleutel hebt, dan kan je enkel met  paswoord inloggen.
Citaat
Is het beter om gebruikers expliciet toegnag te geven in de SSH config?
Hier volg ik niet helemaal meer, maar het sleutelsysteem lijkt mij het allergemakkelijkste en veiligste systeem.
Citaat
ssh_copy_id, werkt neem ik aan niet meer als je de wachtwoord optie in de server hebt uitgeschakeld?
Klopt. Dan is je enige optie aan de server zelf te zitten en er de publieke sleutel op te zetten. Jekan dat dan niet meer over het netwerk.


Voor de overblijvende vragen moet ik passen.

Offline Rachid

  • Vertaalteam
    • rachidbm
    • Mijn blog
  • Steunpunt: Nee
Re: SSH, tunnel, gebruiker geen rechten
« Reactie #2 Gepost op: 2010/08/22, 14:51:52 »
Nog een toevoeging om het duidelijk proberen te maken.
Op het account piet kan (alleen?) ingelogd worden met alle sleutels die staan in ~piet/.ssh/authorized_keys
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Offline RogierVLD

  • Lid
  • Steunpunt: Nee
Re: SSH, tunnel, gebruiker geen rechten
« Reactie #3 Gepost op: 2010/08/22, 15:04:03 »
Bedankt voor de antwoorden!!

Het heeft even geduurd voordat ik het key gebeuren begreep.
Nogmaals bedankt.

Rogier

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: SSH, tunnel, gebruiker geen rechten
« Reactie #4 Gepost op: 2010/08/24, 10:39:26 »
Hoe kan ik ervoor zorgen dat gebruiker piet helemaal niets kan, behalve de port forwarding met Putty naar de MySQL database?
Weet iemand een eenvoudige grafische tool om gebruikersrechten toe te wijzen? De file sudoers vind ik weer lastig:-)
Met publieke sleutel authentificatie kun je in het ~/.ssh/authorized_keys per sleutel instellen dat alleen 1 specifiek shell commando uitgevoerd mag worden door degene die met die sleutel inlogt. In jou geval is dat echter niet van toepassing want je maakt alleen contact met mysql via het (getunnelde) netwerk. Dus dan is /bin/false als shell instellen zoals hierboven beschreven een betere oplossing. Zoek uit waarom dat niet werkt met Putty. Ik vermoed dat het met de specifieke opties te maken heeft waarmee je met Putty de tunnel opzet waardoor er toch geprobeerd wordt commandos uit te voeren.

Deze links vond ik zelf nuttig voor het beveiligen van een server. Het is een beetje overkill als het een hobbyprojectje is, maar ik vond het een goed overzicht geven:

http://www.auscert.org.au/5816 (printversie:  http://www.auscert.org.au/render.html?it=5816&template=1)

specifiek voor ssh:
http://ubuntuforums.org/showthread.php?t=831372


« Laatst bewerkt op: 2010/08/24, 11:16:03 door AptlyNamed »