[linux-l] Re: DB's im www

Steffen Dettmer steffen at dett.de
Di Dez 26 03:15:29 CET 2006 

* Peter Ross wrote on Sat, Dec 23, 2006 at 23:13 +1100:
> On Sat, 23 Dec 2006, Volker Grabsch wrote:
> > On Sat, Dec 23, 2006 at 09:51:36AM +0100, Jan-Benedict Glaw wrote:
> > > Du kannst in der ~/.ssh/authorized_keys hinter den keys mit angeben,
> > > welches Kommando _alleinig_ ausgeführt werden darf.

Ich würde noch testen, ob sftp dann auch nicht geht. Ich glaube, dass
man das eventuell unabhängig davon konfigurieren kann (hab nicht
gefunden, wie, meine aber mich an so eine Gefahr erinnern zu können, die
ich immer vergesse, weil ich sftp nicht nutze).

> >     * In die .ssh/authorized_keys eintragen:
> >             command="sleep 365000d" Public-Key-von-psql.vlan
> 
> Dankeschoen Euch beiden. sleep.. haette ich auch drauf kommen
> koennen..  vielleicht ein bisschen zu wenig davon bekommen in den
> letzten Wochen..

mmm... Warum sleep? Hätte eher ein "cat" oder "wc" vorgeschlagen (kann
man mit EOF beenden und macht input queue leer, damit nix blockt - aber
vermutlich ist SSH eh schlau genug, dass portforwarding auch geht, wenn
input queue voll ist).

Es gibt auch Shells, die "ein bisschen was können" (z.B. rbash), aber
kompliziert zu konfigurieren (dürfen z.B. kein vi sondern nur ein rvim
im Path haben und so weiter, weil vim ja ":!/bin/bash" machen würde
[rvim nicht] usw.).

Richtig cool ist ein Script, was noch ausgibt
"PostgreSQL-Sicherheitsverbindung aktiv" oder so (echo, cat), damit die
Benutzer nicht nachher noch Fenster wegklicken und sich wundern, warum
dann immer auch die DB weg ist lol

So ein Script kann man u.U. abbrechen, macht aber auch nix (ist
Connection weg, aber kein Angriff möglich) - oder?

Normalerweise ist SSH auch so schlau, offene Verbindungen über forwards
nicht zu schliessen, wenn die interaktive Session geschlossen wird (kann
gut oder schlecht sein, wie mans sieht :)).

Ich mag SSH Tunnel und nutzte sie gern mal. Sind leider nicht 100%
stabil in automatischen Setups. Bricht eine Verbindung weg, kann sie oft
nicht gleich wieder geforwardet werden (socket ist dann noch kurz in
Benutzung, SSH kann den port nicht binden), ob alle Ports gehen, kann
man per Script auch oft gar nicht so einfach prüfen (gerade wenn man nur
ein Windows ohne cygwin hat). VPNs hingegen (IPSec) baut ja ggf. den
Tunnel neu auf etc, läuft ewig ohne das man was macht. Bei SSH Tunneln
musste ich öfter mal was neustarten oder so (und nur manuell benutzt,
spricht, Script starten). Dafür sind SSH Tunnel ca 100 mal einfacher -
auch ein grosser Vorteil.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l