Я создал Raspbian-Image, который используется группой друзей, коллег и других ботаников. Они запускают его дома на своих Raspberry Pi. Тем не менее, мне нужен SSH-доступ к этому Raspberry Pis, чтобы иметь возможность отлаживать проблемы в их среде. Поэтому я решил настроить обратный SSH-туннель, который мои пользователи могут активировать, чтобы дать мне временный доступ. В настоящее время я работаю с этим учебником: https://linuxhostsupport.com/blog/how-to-setup-reverse-ssh-tunnel-on-linux/

В первой команде урока написано:

ssh -R 24553:localhost:22 user@111.111.111.111

Однако это означает, что мне нужно настроить нового пользователя на Remote-Ubuntu-Server для reverse-ssh-tunnel. Итак, я создал нового пользователя:

useradd reversessh

Проблема в том, что мой код полностью с открытым исходным кодом! Каждый должен иметь возможность читать и изменять его в любое время. У каждого есть root-доступ на свой Pi. Именно поэтому пароль пользователя "reversessh" будет доступен для чтения всем, кто получил код / изображение.

Вот почему я хочу сделать пользователя обратно пуленепробиваемым с точки зрения безопасности сервера. Пользователь не должен иметь возможность читать, записывать или получать доступ к каким-либо файлам на моем удаленном Ubuntu-сервере. Также он не должен иметь возможности запускать какой-либо Linux-инструмент (например, запустить интерпретатор python и выполнить команду devil-stuff).

Как мне создать такого необычного пользователя? Любые предложения о том, как, возможно, решить это лучше?

1 ответ1

0

Они не могут прочитать пароль пользователя, они могут прочитать его хэш и попытаться выполнить обратный расчет. Кроме того, ничто не является пуленепробиваемым.

Тем не менее, я думаю, что вы можете сделать это только с usermod -s /sbin/nologin reversessh однако это не должно помешать им даже войти в систему для целей обратного туннелирования.

Кроме того, вы можете заблокировать пользователя, чтобы у него был пароль «no», passwd -l reversessh - так что взломать нечего. Это предполагает, что вы используете ключевые входы в систему, а не аутентификацию по паролю.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .