Re: remote x nur für bestimmte benutze
Am 22.04.2003 14:46:10, Daniel Hofmann schrieb:
> "Markus Grümmer" <markus.gruemmer2@gmx.de> writes:
>
> > Ich habe mir mittels ssh-X-forwarding die Möglichkeit geschaffen
> > die grafische Ausgabe umzuleiten. Aber jetz möchte ich
> > verhindern, dass jeder Benutzer dies machen kann. Sondern nur
> > eine ausgewählte Gruppe.
>
> Du kannst den Zugang per ssh in /etc/ssh/sshd_config beschränken:
>
> AllowUsers user1 user2 user3
>
> erlaubt nur den genannten Benutzern das Einloggen.
>
> AllowGroups group1 group2 ...
>
> funktioniert analog mit Gruppen.
Ob ihm das wohl reicht?
Damit schaltet er naemlich die gesamte SSH-Zugriffsmoeglichkeit ab
und ich befuerchte, dass es ihm durchaus um legalen SSH-Zugriff
geht, jedoch um explizite X11-Forwarding-Unterdrueckung.
Dazu koennten die Ports fuer das X11-Forwarding mittels
Firewall-Regeln gesperrt werden. Diese befinden sich ab 6000
aufwaerts, abhaengig von dem Eintrag "X11DisplayOffset" in der Datei
/etc/ssh/sshd_config. Diese Variable steht oftmals auf 10 und meint
damit Ports ab 6010 aufwaerts.
Schwierig wird das, wenn die Absender-IP, von der aus sich die
Anwender in das System einwaehlen, nicht statisch sind. In diesem
Falle muesste eine Routine erkennen, welcher User sich eingewaehlt
hat, um die Firewall-Regeln entsprechend dynamisch anzupassen.
Hierzu habe ich allerdings augenblicklich keinen konkreten Tipp, wie
man das realisieren koennte.
Gruss
Peter Blancke
--
Nachtwaechter ist der Wahnsinn, weil er wacht...
Reply to: