Tengo un VPS de Ubuntu que a veces uso como SOCKSproxy para navegar por Internet. Utilizo el comando de reenvío dinámico de puertos ssh de la siguiente manera:
ssh -fNTC -D 1080 username@vpsIP
luego configuro el proxy de mi navegador localhost:1080como SOCKS.
He creado un usuario adicional con el nombre de usuario 'tipos' en el VPS para que algunos amigos también puedan reenviar el puerto ssh y obtener algo parecido a una VPN (no necesitamos la parte de red de la VPN).
Ahora realmente no quiero ejecutar mi VPS como servidor VPN, por lo que me gustaría seguir con el reenvío de puertos ssh o similar.
¿Cómo evito eltipos¿El usuario puede abrir un shell seguro y comenzar a estropear las cosas en el VPS?
Respuesta1
¿Qué tal eliminar el caparazón del usuario 'tipos'?
usermod -s /sbin/nologin dudes
o si su sistema operativo no tiene nologin:
usermod -s /bin/false dudes
Respuesta2
Hay pocas posibilidades. Pero probablemente la opción más sencilla ForceCommandsea sshd_config. No permitirá ejecutar ningún comando y si quieren ejecutar alguno, ejecutará este.
Fragmento de ejemplo de sshd_config:
Match User dudes #your dudes user -- you can also match group
ForceCommand /bin/true
Respuesta3
Si utiliza la autenticación basada en claves (lo cual le recomiendo encarecidamente que haga), puede limitar lo que cada clave puede hacer a través del authorized_keysarchivo.
Especificar command="/bin/false"delante de la clave les impediría invocar un shell o cualquier comando que no sea el que usted ingresó authorized_keys.
Hay otras restricciones que puedes imponer a través de authorized_keys. Para obtener una lista completa, consulte la sshdpágina de manual.