Auf vServer NUR Tunnel-Zugriff gewähren

[dominic.e]

Hallo Liebe Gemeinde,
ich hoffe der Titel ist aussagekräftig genug und es gibt keinen ähnlichen Thread dazu.

Aktuell habe ich einen vServer auf dem jeder User auch Shell zugriff hat.
Diese Verbinden dann entweder mit Putty oder mit nativen Linux mitteln auf den vServer um den Browser darüber zu tunneln, aber jeder von denen hat halt auch Zugriff auf die "eigene" Shell, bzw auf sein Verzeichnis.

Ich will mir jetzt im Sommer einen neuen vServer zulegen und will das ganze dann etwas anders regeln.
Ich will einfach "Spezielle" User anlegen, die sozusagen NUR sich auf dem Server anmelden können um dann per Putty und co zu tunneln, aber keine Shell haben, bzw nichts machen und ausführen können.

Habe schon versucht den Pfad auf die Shell zu verändern, jedoch schmiert dann Putty direkt nach dem Login ab.

Ich hoffe ich konnte es verständlich genug erklären und ihr könnt mir helfen =)

Mein vServer läuft mit Ubuntu 12.04.4 LTS.

LG,
Dominic

 

[eigs]

Lass einen VPN Server darauf laufen und gib jeden einen Account.

 

[SymA]

Alle Dienste auf IP 127.0.0.1 "binden" und Shell Login für alle User deaktivieren + Ports nach außen sperren. Damit könntest du z.B. lokal einen Reverse Tunnel aufsetzen (per SSH) um z.B. auf die Datenbank oder ähnliches verbinden.
Ist sogar recht häufig so gelöst, wenn es "sicherer" als die Standard Lösung sein soll mit Benutzername und Kennwort. Zusätzlich könntest du nur noch Logins mit bekannten Public Keys erlauben und Loginversuche mit Username + Passwort Kombination verbieten - wäre somit nochmal sicherer, da du dann den Schlüssel bräuchtest um überhaupt die SSH Verbindung aufbauen zu können.

 

[dominic.e]

Lass einen VPN Server darauf laufen und gib jeden einen Account.

Es hat schon seinen Grund, warum ich SSH meinte ^^

Alle Dienste auf IP 127.0.0.1 "binden" und Shell Login für alle User deaktivieren + Ports nach außen sperren. Damit könntest du z.B. lokal einen Reverse Tunnel aufsetzen (per SSH) um z.B. auf die Datenbank oder ähnliches verbinden.
Ist sogar recht häufig so gelöst, wenn es "sicherer" als die Standard Lösung sein soll mit Benutzername und Kennwort. Zusätzlich könntest du nur noch Logins mit bekannten Public Keys erlauben und Loginversuche mit Username + Passwort Kombination verbieten - wäre somit nochmal sicherer, da du dann den Schlüssel bräuchtest um überhaupt die SSH Verbindung aufbauen zu können.

Das hört sich in erster Linie recht "kompliziert" an, muss ich mir nochmal durchlesen

Ich will ja einfach nur :
- "speziellen" User anlegen
- User kann sich mit Putty anmelden
- kann aber keine interaktionen auf/mit der Shell machen

Gibt es vllt schon eine Shell, mit der man einfach ne restrict option setzen kann oder so, dass nichts mehr ausgeführt werden kann? ^^

Danke schonmal für eure Antworten

Ergänzung (27. März 2014)

So, nachdem ich eben nochmal vernünftig gegoogelt habe, bin ich auf rbash gestoßen, was eig genau das macht was ich (erstmal) haben will.

Habe es anhand dieser Anleitung getestet: Link

Bedanke mich für eure Hilfe/Vorschläge =)

LG,
​Dominic

 

[Uridium]

Vielleicht die dem User zugeordnete Shell ändern, bzw. auf ein (leeres) Script zeigen lassen? Also in /etc/passwd dem User das /bin/bash umbiegen. Keine Ahnung, ob der PuTTY Tunnel dann noch funktioniert.

 

[dominic.e]

Vielleicht die dem User zugeordnete Shell ändern, bzw. auf ein (leeres) Script zeigen lassen? Also in /etc/passwd dem User das /bin/bash umbiegen. Keine Ahnung, ob der PuTTY Tunnel dann noch funktioniert.

Hat hier bei Stackoverflow auch jmd geschrieben, werde ich morgen definitiv ausprobieren, danke für den Tipp Link