1 |
Hay una solución bastante segura, que es meter el cvs en un chroot. De |
2 |
esta forma aunque puedan entrar por ssh no tendrán acceso a nada |
3 |
importante. |
4 |
Hay otra solución que quizá es exactamente lo que buscas, y es crear un |
5 |
shell propio (es bastante fácil) que tan sólo permita los comandos de cvs. |
6 |
Después se habilita ese shell en lugar del /bin/bash y ya está. |
7 |
|
8 |
Saludos |
9 |
|
10 |
Xavi |
11 |
|
12 |
---------------------------------------- |
13 |
|
14 |
/"\ The ASCII Xavier Rubio <xrubio at iua dot upf dot es> |
15 |
\ / Ribbon Campaign GnuPG public key ID: D0D8020D (pgp.mit.edu) |
16 |
X Against HTML Email & Microsoft Attachments! |
17 |
/ \ |
18 |
|
19 |
|
20 |
|
21 |
|
22 |
On Sun, 18 Apr 2004 23:01:21 +0200 |
23 |
Pau Capdevila <cappujpa@×××××.es> wrote: |
24 |
|
25 |
> Un poco guarrada si que es... |
26 |
> Yo esto lo hacia poniendoles como shell en el fichero /etc/passwd |
27 |
> /bin/nologin en OpenBSD. Habrá algo parecido en Linux... |
28 |
> Para realizar operaciones con SSH tenía que pasar una opción a la linea |
29 |
> de comandos para que no intentara abrir shell. |
30 |
> Si necesitáis más concreción preguntad... |
31 |
> |
32 |
> Alberto Garcia Hierro wrote: |
33 |
> |
34 |
> >-----BEGIN PGP SIGNED MESSAGE----- |
35 |
> >Hash: SHA1 |
36 |
> > |
37 |
> > |
38 |
> > |
39 |
> > Es una guarrada, pero quizas funcione. Has probado a meterles un |
40 |
> > logout en el |
41 |
> >~/.bashrc? |
42 |
> > |
43 |
> > |
44 |
> >El Domingo 18 Abril 2004 22:07, d2clon@×××××××××××××××.org escribió: |
45 |
> > |
46 |
> > |
47 |
> >>gracias krs: |
48 |
> >> |
49 |
> >>pero creo que debo pemitir el acceso via ssh a estos usuarios.. o si |
50 |
> >no no>podrán descargarse el cvs.. |
51 |
> >> |
52 |
> >>he probado lo que me dices.. y, en efecto, no se les permite el acceso |
53 |
> >ssh>a los usuarios que defina en DenyUsers ... pero a la vez tambien se |
54 |
> >les>impide el acceso al cvs.. por que el cvs usa conexion ssh :( |
55 |
> >> |
56 |
> >>estoy llegando a la conclusión que el acceso ssh y el acceso a consola |
57 |
> >son>imprescindibles para uso del cvs.. lo cual es una putada |
58 |
> >> |
59 |
> >>por que si doy de alta un usuario en el cvs.. indibidiblemente tiene |
60 |
> >acceso>a la consola.. joer joer |
61 |
> >> |
62 |
> >>gracias por lo de DenyUser de todos modos.. mola.. me servirá para |
63 |
> >otras>cosass |
64 |
> >> |
65 |
> >>saludos |
66 |
> >>d2clon |
67 |
> >> |
68 |
> >>On Sunday 18 April 2004 19:59, krs wrote: |
69 |
> >> |
70 |
> >> |
71 |
> >>>-----BEGIN PGP SIGNED MESSAGE----- |
72 |
> >>>Hash: SHA1 |
73 |
> >>> |
74 |
> >>>Prueba con añadir a tu fichero /etc/ssh/sshd_config una linea que |
75 |
> >ponga>>DenyUsers y la lista de usuarios que no quieres que accedan por |
76 |
> >ssh>>separados por espacios, supongo que eso servirá. |
77 |
> >>> |
78 |
> >>>- - |
79 |
> >>> DenyUsers |
80 |
> >>> This keyword can be followed by a list of user name |
81 |
> >>>patterns, separated by spaces. Login is disallowed for user names |
82 |
> >that>>match one of the patterns. `*' and `?' can be used as wildcards |
83 |
> >in the>>patterns. Only user names are valid; a numerical user ID is |
84 |
> >not>>recognized. By default, login is allowed for all users. If the |
85 |
> >pattern>>takes the form USER@HOST then USER and HOST are separately |
86 |
> >checked,>>restricting logins to particular users from particular hosts. |
87 |
> >>>- - |
88 |
> >>>Sacado de man sshd_config :) |
89 |
> >>> |
90 |
> >>>Saludos |
91 |
> >>> |
92 |
> >>>El Sábado, 17 de Abril de 2004 19:29, d2clon@×××××××××××××××.org |
93 |
> >escribió:>> |
94 |
> >>> |
95 |
> >>>>nada gente.. |
96 |
> >>>>he hecho lo que me comentais |
97 |
> >>>>le he definido como shell -> /bin/false |
98 |
> >>>>y he creado la entrada en /etc/shells |
99 |
> >>>> |
100 |
> >>>>y en efecto no consigue acceder a la shell |
101 |
> >>>>=======================================0 |
102 |
> >>>>trucha@biit tmp $ ssh -lotoanonimo susana |
103 |
> >>>>otoanonimo@susana's password: |
104 |
> >>>>Last login: Mon Jan 17 17:48:34 2005 from 10.0.0.5 |
105 |
> >>>>Connection to susana closed. |
106 |
> >>>>=======================================0 |
107 |
> >>>> |
108 |
> >>>>pero .. : |
109 |
> >>>>=======================================0 |
110 |
> >>>>trucha@biit tmp $ export CVSROOT="otoanonimo@susana:/home/cvs/rep" |
111 |
> >>>>trucha@biit tmp $ cvs co oto |
112 |
> >>>>otoanonimo@susana's password: |
113 |
> >>>>cvs [checkout aborted]: end of file from server (consult above |
114 |
> >messages>>>if any) |
115 |
> >>>>=======================================0 |
116 |
> >>>> |
117 |
> >>>>ya veis.. no consigue conectarse para checkout el módulo |
118 |
> >>>>pone que consulte noseque mensajes.. pero no se a que log se refiere |
119 |
> >>>>me he fijado que en el servidor no hay ningun log del cvs :/ |
120 |
> >>>> |
121 |
> >>>>d2clon |
122 |
> >>>> |
123 |
> >>>>On Saturday 17 April 2004 17:33, Alberto Garcia Hierro wrote: |
124 |
> >>>> |
125 |
> >>>> |
126 |
> >>>>>-----BEGIN PGP SIGNED MESSAGE----- |
127 |
> >>>>>Hash: SHA1 |
128 |
> >>>>> |
129 |
> >>>>>El Sábado 17 Abril 2004 16:39, Alberto F. Capel escribió: |
130 |
> >>>>> |
131 |
> >>>>> |
132 |
> >>>>>>podrías ponerles de shell /bin/false en /etc/passwd. |
133 |
> >>>>>> |
134 |
> >>>>>>Espero que funcione. |
135 |
> >>>>>> |
136 |
> >>>>>> |
137 |
> >>>>> y añadir /bin/false en /etc/shells |
138 |
> >>>>> |
139 |
> >>>>>- -- |
140 |
> >>>>>/* Alberto García Hierro (Skyhusker) */ |
141 |
> >>>>>-----BEGIN PGP SIGNATURE----- |
142 |
> >>>>>Version: GnuPG v1.2.4 (GNU/Linux) |
143 |
> >>>>> |
144 |
> >>>>>iD8DBQFAgU5S4O6JklHkL2cRAi0hAJ9gspJkwPBN/lGFul2ocUb+cneMRwCgigSf |
145 |
> >>>>>2NOWruxPNuIHbcf7YKBjZd4= |
146 |
> >>>>>=XrG4 |
147 |
> >>>>>-----END PGP SIGNATURE----- |
148 |
> >>>>> |
149 |
> >>>>> |
150 |
> >>>>-- |
151 |
> >>>>gentoo-user-es@g.o mailing list |
152 |
> >>>> |
153 |
> >>>> |
154 |
> >>>- -- |
155 |
> >>>#################################### |
156 |
> >>># http://logicmind.org # |
157 |
> >>># Usuario Linux registrado #303351 # |
158 |
> >>># Clave publica PGP disponible en: # |
159 |
> >>># http://krs.logicmind.org/krs.asc # |
160 |
> >>>#################################### |
161 |
> >>>-----BEGIN PGP SIGNATURE----- |
162 |
> >>>Version: GnuPG v1.2.4 (GNU/Linux) |
163 |
> >>> |
164 |
> >>>iD8DBQFAgsHukXEYdwsx9VURAhFJAJ9rMT46vZcMoEb+Li0RsicBMzIIFACeP0VD |
165 |
> >>>uqr6LrmnVf1jhnpmBn0w/6Y= |
166 |
> >>>=X3Oe |
167 |
> >>>-----END PGP SIGNATURE----- |
168 |
> >>> |
169 |
> >>> |
170 |
> >>-- |
171 |
> >>gentoo-user-es@g.o mailing list |
172 |
> >> |
173 |
> >> |
174 |
> > |
175 |
> >- -- |
176 |
> >/* Alberto García Hierro (Skyhusker) */ |
177 |
> >-----BEGIN PGP SIGNATURE----- |
178 |
> >Version: GnuPG v1.2.4 (GNU/Linux) |
179 |
> > |
180 |
> >iD8DBQFAguPr4O6JklHkL2cRAhnGAJ49/F6L+jdrgeTGyDulQdySd3mxkwCfedXi |
181 |
> >43r7CVFTxMyJV+I2jQ+ThnU= |
182 |
> >=/jdm |
183 |
> >-----END PGP SIGNATURE----- |
184 |
> > |
185 |
> >-- |
186 |
> >gentoo-user-es@g.o mailing list |
187 |
> > |
188 |
> > |
189 |
> > |
190 |
> > |
191 |
> > |
192 |
> |
193 |
> |
194 |
> -- |
195 |
> gentoo-user-es@g.o mailing list |
196 |
> |
197 |
> |
198 |
> |