linux-l: SSH-Forwarding sicher machen

[Steffen Dettmer]

* Duncan Rubinger wrote on Thu, Nov 01, 2001 at 14:40 +0100:
> >> die Frage, wie schaffe ich es, dedizierten Usern auch nur bestimmte
> >> Ports zum durchtunneln zu erlauben. 
> 
> SD> style) konfigurieren. Da mußt Du dann aber ident vertrauen. Also
> 
> Nicht son ne gute Idee, da ich darüber nur Rechnerspezifisch trennen
> kann. 

ident ist user-spezifisch. Sind die User lokal und tunneln
woanders sind, oder sind die remote und tunneln zu Dir? ident
geht im zweiten, --uid im zweiten Fall.

> Worum es mir geht, ist wirklich das Ganze NUR User-Spezifisch zu
> machen. Die User haben teilweise verschiedene IP-Adressen von Tag zu
> Tag.

Richtig sicher geht's natürlich nur mit Anmeldung und dynamischen
Firewall-Regeln.

BTW, hat da jemand ne Lösung? Könnte noch ein gute und sauber
programmiertes Webfrontend gebrauchen, welches gewissen IPs
gewisse Rechte per Firewall zu stellt. Dabei muß natürlich
Webfrontend und root service sauber getrennt sein, und der
root-process muß nachvollziehbar die requests validieren. Hat da
jemand was für mich?

> SD> Oder Du probierst iptables mit den uid Regeln. Aber vermutlich
> SD> umständlich und auch nicht ideal. Na ja. 
> 
> Mmmh, das geht aber auch nicht auf Login-Namen oder ?

_Namen_ nicht, sondern eben dessen UID. Sind auf fast allen
Maschinen aber 1:1 Namen zugeordnet :) Geht aber nicht remote,
ist ja klar (Wäre natürlich witzig, um Userland je Packet ein SSH
Tunnel zu benutzen, um remote die UID zu prüfen :)).

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.