Re: remote x nur für bestimmte benutze

To: debian-user-german@lists.debian.org
Subject: Re: remote x nur für bestimmte benutze
From: Daniel Hofmann <usenet@shadowprint.de>
Date: 22 Apr 2003 20:05:59 +0200
Message-id: <[🔎] 8665p69zlk.fsf@shadowprint.de>
In-reply-to: <20030422140019$50c3@gated-at.bofh.it>
References: <20030422131007$32bb@gated-at.bofh.it> <20030422131007$3af6@gated-at.bofh.it> <20030422140019$50c3@gated-at.bofh.it>

Peter Blancke <blancke@gmx.de> writes:

> Am 22.04.2003 14:46:10, Daniel Hofmann schrieb:
> > "Markus Grümmer" <markus.gruemmer2@gmx.de> writes:
> > 
> > > Ich habe mir mittels ssh-X-forwarding die Möglichkeit geschaffen
> > > die grafische Ausgabe umzuleiten. Aber jetz möchte ich
> > > verhindern, dass jeder Benutzer dies machen kann. Sondern nur
> > > eine ausgewählte Gruppe.
> > 
> > Du kannst den Zugang per ssh in /etc/ssh/sshd_config beschränken:
> > 
> >         AllowUsers user1 user2 user3 
> > 
> > erlaubt nur den genannten Benutzern das Einloggen.
> > 
> >         AllowGroups group1 group2 ...
> > 
> > funktioniert analog mit Gruppen.
> 
> Ob ihm das wohl reicht?
> 
> Damit schaltet er naemlich die gesamte SSH-Zugriffsmoeglichkeit ab
> und ich befuerchte, dass es ihm durchaus um legalen SSH-Zugriff
> geht, jedoch um explizite X11-Forwarding-Unterdrueckung.
> 
> Dazu koennten die Ports fuer das X11-Forwarding mittels
> Firewall-Regeln gesperrt werden. Diese befinden sich ab 6000
> aufwaerts, abhaengig von dem Eintrag "X11DisplayOffset" in der Datei
> /etc/ssh/sshd_config. Diese Variable steht oftmals auf 10 und meint
> damit Ports ab 6010 aufwaerts.
> 
> Schwierig wird das, wenn die Absender-IP, von der aus sich die
> Anwender in das System einwaehlen, nicht statisch sind. In diesem
> Falle muesste eine Routine erkennen, welcher User sich eingewaehlt
> hat, um die Firewall-Regeln entsprechend dynamisch anzupassen.
> Hierzu habe ich allerdings augenblicklich keinen konkreten Tipp, wie
> man das realisieren koennte.

Ein anderes Problem dabei ist, dass X-Forwarding dann für _alle_
Benutzer gesperrt wäre, wenn sich nur _einer_ eingeloggt hat, für den
es auf diesem Wege deaktiviert ist, oder misverstehe ich das Konzept? 

Wenn es allein um den Remotezugriff geht (d.h. für einen evtl. lokalen
Zugriff nicht noch andere Regeln gelten) könnt man natürlich per
Grupperndefinition bestimmen, wer überhaupt X-Clients starten darf.  

Ansonsten sehe ich aber auch keine praktikable Lösung dieses
Problems. Vielleicht zwei verschiedene Benutzerkonten (user und
user_remote oder so), die sich ein Homeverzeichnis ... teilen? Elegant
ist das sicherlich nicht. Vielleicht gibt es eine Lösung mit
tcp-wrapper und identD?

Bin gespannt auf Ideen,
Daniel. 

-- 
..... Daniel Hofmann <usenet@shadowprint.de> .....

Reply to:

Follow-Ups:
- Re: remote x nur für bestimmte benutze
  - From: "Markus Grümmer" <markus.gruemmer2@gmx.de>

Prev by Date: Re: Kein Webzugriff mehr nach Kernel-Update
Next by Date: Re: In welchem paket bitte ist "file" ?
Previous by thread: Re: remote x nur für bestimmte benutze
Next by thread: Re: remote x nur für bestimmte benutze
Index(es):
- Date
- Thread