On 10/10/07, lonely wolf <[EMAIL PROTECTED]> wrote: In plus poti specifica in ~/.ssh/config (man ssh_config) o multime de > chestii (inclusiv comenzi executate automat, sau permise); poate gasesti > ceva util tie printre ele
Solutia care face ce vreau eu e urmatoarea: in [EMAIL PROTECTED]:.ssh/authorized_keys am cheia lui userA, impreuna cu optiunile from=HostA si command="/usr/bin/some_script.sh" shellul lui userB ramane bash(rbash nu imi permite sa fac tot ce am nevoie). insa userB nu are parola definita. singurul mod in care poate fi folosit acest cont este atunci cand esti [EMAIL PROTECTED] si faci ssh. Iar la orice comanda ssh, se ruleaza scriptul din command. Acesta se conecteaza inapoi la HostA insa de data asta foloseste scp pt a trage anumite fisiere in home-ul lui userB, urmat de cateva prelucrari. Deci worst case scenario e: hostA/userA sunt pwned si userA poate copia niste fisiere din hostA:~userA in hostB:~userB urmat de o prelucrare (practic, se trimite continutul fisierelor la un serviciu de logare, nu se *executa* fisierele luate) si cam atat. ceea ce nu e critic dpdv al lui hostB. Chiar daca scriptul din command va fi owned de userB, are userA vreo sansa sa-l modifice? > [...] > > PS: Nu prea as vrea sa folosesc chroot jail. > > > orice chroot e mai sigur decit ce ai facut tu :) Vezi daca nu iti > convine rbash ca shell (man bash, search for restricted shell) merge si man rbash :) dar ma limiteaza prea tare -- Andrei Dumitrescu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
