[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: remote x nur für bestimmte benutze

Am 22.04.2003 14:46:10, Daniel Hofmann schrieb:
> "Markus Grümmer" <markus.gruemmer2@gmx.de> writes:
> 
> > Ich habe mir mittels ssh-X-forwarding die Möglichkeit geschaffen
> > die grafische Ausgabe umzuleiten. Aber jetz möchte ich
> > verhindern, dass jeder Benutzer dies machen kann. Sondern nur
> > eine ausgewählte Gruppe.
> 
> Du kannst den Zugang per ssh in /etc/ssh/sshd_config beschränken:
> 
>         AllowUsers user1 user2 user3 
> 
> erlaubt nur den genannten Benutzern das Einloggen.
> 
>         AllowGroups group1 group2 ...
> 
> funktioniert analog mit Gruppen.

Ob ihm das wohl reicht?

Damit schaltet er naemlich die gesamte SSH-Zugriffsmoeglichkeit ab
und ich befuerchte, dass es ihm durchaus um legalen SSH-Zugriff
geht, jedoch um explizite X11-Forwarding-Unterdrueckung.

Dazu koennten die Ports fuer das X11-Forwarding mittels
Firewall-Regeln gesperrt werden. Diese befinden sich ab 6000
aufwaerts, abhaengig von dem Eintrag "X11DisplayOffset" in der Datei
/etc/ssh/sshd_config. Diese Variable steht oftmals auf 10 und meint
damit Ports ab 6010 aufwaerts.

Schwierig wird das, wenn die Absender-IP, von der aus sich die
Anwender in das System einwaehlen, nicht statisch sind. In diesem
Falle muesste eine Routine erkennen, welcher User sich eingewaehlt
hat, um die Firewall-Regeln entsprechend dynamisch anzupassen.
Hierzu habe ich allerdings augenblicklich keinen konkreten Tipp, wie
man das realisieren koennte.

Gruss

Peter Blancke

-- 
Nachtwaechter ist der Wahnsinn, weil er wacht...
Reply to: