Такая проблема: есть две машины с FreeBSD. Одна видна в интернет по ssh. Надо сделать так, чтобы когда некоторые пользователи, которые снаружи логинились на первую машину перенаправлялись на вторую, т.е. ничего не могли сделать на первой. Как это можно сделать?
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня 2023 года в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
ну, можно попробовать так:
указать им на доступной из инета машине в качестве shell-а не (t)csh, а «/usr/bin/ssh вторая_bsd». не забудь прописать ssh в качестве валидного shell.
при этом необходимо настроить авторизацию по ключу для данных пользователей на второй машине при коннекте данных пользователей с первой.
Снаружи — это по сети? Почему тогда просто не транслировать 22 порт с первой машины на вторую, iptables’ами? То есть, на первой присобачить такое правило
iptables -t nat -A PREROUTING -d $MYIP -p tcp\
--dport 22 -j DNAT --to $SERVERIP
iptables -t nat -A POSTROUTING -d $SERVERIP -s 192.168.0.0/24 -p tcp\
--dport 22 -j SNAT --to $MYIP
Good Luck,
UT
хех.
во-первых, тут в условии: «есть две машины с FreeBSD.» Iptables отдыхають ;)
во-вторых,
средствами пакетного фильтра определить конкретных пользователей нельзя….
ps: хотя, это надо дождаться вопрошавшего ;)
Я думаю скорее подойдет первый способ, т.к. это надо не для всех пользователей, а для некоторых.
Т.е. надо прописать ssh в /etc/shells?
Авторизацию по ключу это как?
Сорри, эт я тормознул. Только что проснулся…
Good Luck,
UT
видимо. с полным путём до него.
можно и не прописывать, умолчальный shell неменять, а изменить ~/.profile (или что там на фре используется для исполнения команд при входе пользователя) для запуска команды на соединение со второй машиной.
если пользователей не напряжёт вводить второй раз пароль — то этого можно и не делать.
а делается это просто — заходится на первой фре под данным пользователем. запускается `ssh-keygen rsa` (или dsa). вводится пустая passphrase. полученный ~/.ssh/id_rsa.pub (или dsa) добавляется в ~/.ssh/authorized_keys необходимого пользователя на вторую фрю.
Спасибо! Сделал немного по-другому: написал маленький скриптик на sh, который запускает ssh и поставил его шеллом %))