https://www.opennet.ru/openforum/vsluhforumID1/97552.html Здравствуйте.<br>FreeBSD 12.1<br>Создал пользователя со входом по SSH с авторизацией по ключам для поднятия SSH туннеля для проброса портов к машинам в сети.<br>Теперь хочу отключить ему шелл, чтоб меньше было возможностей лазить по системе.<br><br>В /etc/passwd прописал ему /usr/sbin/nologin<br><br>А никакого результата - все равно заходит с /sh<br><br>Куда копать?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#12 Fri, 20 Mar 2020 18:26:22 GMT &gt;&gt;&gt;&gt; cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF <br>&gt;&gt;&gt;&gt; command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" <br>&gt;&gt;&gt; А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...<br>&gt;&gt; Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?<br>&gt; Тем что создается смысловая каша из подразумевающегося назначения файлов.<br><br>Соглашусь что смысловая каша это нежелательное явление.<br><br>Поделитесь, где, по вашему мнению, было бы уместно указывать, что можно и что нельзя делать клиентам SSH, подключающимся с определёнными ключами?<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#11 Fri, 20 Mar 2020 17:45:42 GMT &gt;&gt;&gt; cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF <br>&gt;&gt;&gt; command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" <br>&gt;&gt; А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...<br>&gt; Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?<br><br>Тем что создается смысловая каша из подразумевающегося назначения файлов.<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#10 Fri, 20 Mar 2020 15:45:43 GMT &gt;&gt; cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF <br>&gt;&gt; command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" <br>&gt; А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где... <br><br>Поясните, в чём это уподобляется засовыванию старта иксов в /etc/passwd?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#9 Fri, 20 Mar 2020 05:03:33 GMT &gt; cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF <br>&gt; command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" <br><br>А в /etc/passwd засунуть старт иксов, чтоб точно никто не догадался что-где...<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#8 Thu, 19 Mar 2020 21:16:37 GMT &gt; command не отрабатывает, хотя в мане openssh упомянута.<br><br>Спасибо за фидбэк.<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#7 Thu, 19 Mar 2020 19:49:49 GMT &gt; Отнють, весьма прозрачно и конкретно. А это если не так, то пусть <br>&gt; топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.<br>&gt; Лично мне интересно, насколько это решение крос-сплатформенно.<br><br>command не отрабатывает, хотя в мане openssh упомянута.<br>но, вообще, я уверен на 99.9%, дело-таки в том, что он не пересоздал базу pwd.db, чем, собственно, и занимается vipw в конце. непонятно, почему он редактировал passwd, а не master.passwd, но, возможно, это особенности фряхи. камрад ранее дал плохой ответ- вместо объяснения механизма происходящего, он просто указал какую кнопку нажать<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#6 Thu, 19 Mar 2020 18:26:13 GMT <br>&gt; it's_a_magic.gif <br><br>Отнють, весьма прозрачно и конкретно. А это если не так, то пусть топикстартер задаёт вопросы. Ну, или вы задавайте вопросы.<br>Лично мне интересно, насколько это решение крос-сплатформенно.<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#5 Thu, 19 Mar 2020 15:35:30 GMT &gt;[оверквотинг удален]<br>&gt; #!/bin/sh <br>&gt; echo "Port forwarding only account. ^C to exit." <br>&gt; cat &gt; /dev/null <br>&gt; exit 0 <br>&gt; EOF <br>&gt; chmod +x /home/${NEWUSER}/nologin.sh <br>&gt; cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF <br>&gt; command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" <br>&gt; ssh-rsa AAAAB3...<br>&gt; EOF <br><br>it's_a_magic.gif<br> https://www.opennet.ru/openforum/vsluhforumID1/97552.html#4 Thu, 19 Mar 2020 15:21:14 GMT &gt; Создал пользователя со входом по SSH с авторизацией по ключам для поднятия <br>&gt; SSH туннеля для проброса портов к машинам в сети.<br>&gt; Теперь хочу отключить ему шелл, чтоб меньше было возможностей лазить по <br>&gt; системе.<br><br>Мы на Линуксе, но делаем так:<br><br>cat &gt; /home/${NEWUSER}/nologin.sh &lt;&lt; EOF<br>#!/bin/sh<br><br>echo "Port forwarding only account. ^C to exit."<br>cat &gt; /dev/null<br>exit 0<br>EOF<br>chmod +x /home/${NEWUSER}/nologin.sh<br><br>cat &gt;&gt; /home/${NEWUSER}/.ssh/authorized_keys &lt;&lt; EOF<br>command="~/nologin.sh",no-X11-forwarding,no-agent-forwarding,no-pty,permitopen="localhost:443",permitopen="127.0.0.1:443" ssh-rsa AAAAB3...<br>EOF<br><br>