Brider serveur SSH pour le limiter aux tunnels - Sécurité - Windows & Software
MarshPosté le 06-10-2005 à 14:16:54
Bonjour,
Je mets très souvent en place un serveur SSH chez les clients, afin d'avoir accès via tunnel SSH aux différentes solutions mises en place en interne (VNC en général) et non nattées par sécurité. J'aimerais élargir cette pratique pour d'autres éléments (POP sécurisé, accès à l'intranet de n'importe où, etc...), mais je ne souhaite pas que les utilisateurs de ces tunnels puissent lancer des commandes sur le serveur SSH.
Je souhaiterais savoir comment configurer le serveur SSH (la plupart du temps il s'agit d'OpenSSH pour Windows, parfois du SSH intégré de Linux, suivant le matériel disponible), pour que l'exécution de commandes soient complètement interdite, afin que le serveur SSH ne soit utilisable QUE POUR DES TUNNELS.
Je sais qu'il existe une option de la commande SSH pour que l'invite de commande n'apparaisse pas, spécialement dédiée à ce genre d'utilisation, mais c'est côté client et s'il prend l'envie à l'utilisateur de bidouiller il ne va avoir qu'à supprimer 2 caractères pour y arriver. Il faut absolument que ce soit côté serveur.
Message édité par naholyr le 06-10-2005 à 14:17:07
Marsh Posté le 06-10-2005 à 14:16:54
Bonjour,
Je mets très souvent en place un serveur SSH chez les clients, afin d'avoir accès via tunnel SSH aux différentes solutions mises en place en interne (VNC en général) et non nattées par sécurité. J'aimerais élargir cette pratique pour d'autres éléments (POP sécurisé, accès à l'intranet de n'importe où, etc...), mais je ne souhaite pas que les utilisateurs de ces tunnels puissent lancer des commandes sur le serveur SSH.
Je souhaiterais savoir comment configurer le serveur SSH (la plupart du temps il s'agit d'OpenSSH pour Windows, parfois du SSH intégré de Linux, suivant le matériel disponible), pour que l'exécution de commandes soient complètement interdite, afin que le serveur SSH ne soit utilisable QUE POUR DES TUNNELS.
Je sais qu'il existe une option de la commande SSH pour que l'invite de commande n'apparaisse pas, spécialement dédiée à ce genre d'utilisation, mais c'est côté client et s'il prend l'envie à l'utilisateur de bidouiller il ne va avoir qu'à supprimer 2 caractères pour y arriver. Il faut absolument que ce soit côté serveur.
Message édité par naholyr le 06-10-2005 à 14:17:07