Hallo Andreas, Andreas Putzo, 29.09.2006 (d.m.y): > On Sep 28, Christian Schmidt wrote: > > Andreas Putzo, 28.09.2006 (d.m.y): > > > > Kannst Du bitte mal kurz skizzieren, was und warum Du da > > reglementieren willst? > > User verbinden sich via telnet zum Server. Es darf aber jeder User nur > 2x eingeloggt sein. Das koenntest Du z.B. in /etc/security/limits.conf festlegen. > Beide telnet sessions müssen von der gleichen IP > erfolgen, sonst soll dem User eine Meldung angezeigt werden, daß (und > warum) ein Login nicht möglich ist. Da muesstest Du Dir IMO selbs einen Wrapper fuer den telnetd schreiben. > Großartig Sinn macht das ganze IMHO nicht. Es soll damit verhindert > werden, daß sich $evil mit Account A und Account B zeitgleich > anmeldet, da $evil z.B. die Userrechte beider Accounts benötigt, um > einen bestimmten Prozess durchzuführen. Das Login duerfte also auch nicht vom gleichen Client aus mit zwei verschiedenen UIDs geschehen? Oder habe ich da jetzt etwas nicht geblickt? > Das ganze hat natürlich ziemlich viele Schwächen: > - $evil meldet sich einfach von 2 unterschiedlichen IP's an. > - $evil macht gemeinsame Sache mit A und/oder B. > - $evil meldet sich mit Account B an, bevor der rechtmäßige User dies > tut. > - $evil schmeisst User B aus dem Netz. > - usw usf. > > Trotz diverser Schwächen und dem doch arg begrenzten Nutzen einer > solchen Reglementierung komme ich leider nicht darum herum, diese > umzusetzen. Und was hast Du davon, wenn der Nutzen Deiner Meinung nach arg begrenzt ist? In welcher Umgebung steht der Server denn? Ist es da wirklich noetig, solche Hemmnisse einzubauen? Vielleicht kannst Du da sinnvoller an anderen Schrauben drehen. > Möglich wäre vielleicht noch, eine Mail loszuschicken, wenn obiges > passiert, also den User nicht auszusperren, sondern nur darüber zu > benachrichtigen. > Ich glaube, ich werde das einfach weiterhin mit who machen und ggf. > einfach noch dns lookups machen, um an die IP zu kommen. Alternativ > fällt mir nur ein, z.B. pam_limits zu erweitern. Aber soo viel Zeit > und Umstand wollte ich da eigentlich nicht reinstecken. Hilft Dir vielleicht der Abschnitt "CLIENT USERNAME LOOKUP" aus "man 5 hosts_access" weiter? > > > > Oder verzichte ganz auf telnet und verwende stattdessen SSH. > > > > > > Ja, das wäre schön. Ist leider nicht gewollt bzw. geht nicht so > > > einfach :/ > > > > Wieso? > > telnet serverseitig abschalten, sshd starten und auf den Clients putty > > verwenden. Fertig. > > Dann funktioniert wegen Terminal Einstellungen die Anwendung nicht > mehr richtig. Aha. Um welche Terminalemulation geht es denn? (Es gibt ja auch noch andere SSH-Clients fuer Windows.) > Und das zu fixen ist ziemlich aufwändig. > > Danke für deine Hilfe. Gern geschehen. Gruss/Regards, Christian Schmidt -- Man gebe manchem Selbstvertrauen, so ist er ein Weltmann. -- Jean Paul
Attachment:
signature.asc
Description: Digital signature