abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:33 | Komunita

Bylo oznámeno, že konference FOSDEM 2022 (Free and Open source Software Developers’ European Meeting) proběhne online o víkendu 5. a 6. února 2022.

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Zajímavý projekt

Dactyl-Manuform (kombinace DactylManuform) je svého druhu populární typ ergonomické klávesnice. Existuje několik parametrických generátorů variant šasi pro 3D tisk, řada forků a dokonce několik drobných výrobců nabízí sady nebo již sestavené klávesnice: patří mezi ně např. Bastard Keyboards (dříve HID Technologies), jenž nyní zveřejnil schémata tvrdých ohebných PCB ([1] [2]) pod licencí Creative Commons BY-NC-SA 4.0. Oproti původnímu ručnímu drátování je to krok k více funkcím (podsvícené či hotswap spínače) a příp. sériové výrobě.

Fluttershy, yay! | Komentářů: 1
dnes 07:00 | Nová verze

Byla vydána verze 1.56.0 programovacího jazyka Rust (Wikipedie). Současně byla edice Rust 2021 prohlášena za stabilní. Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 2
včera 17:11 | Bezpečnostní upozornění

V PHP byla nalezena bezpečnostní chyba CVE-2021-21703 zneužitelná k lokální eskalaci práv. Opravena je v upstream verzi 8.0.12.

Ladislav Hagara | Komentářů: 4
včera 14:11 | Zajímavý projekt

Na Crowd Supply běží kampaň na podporu zařízení KrakenSDR s pěti přijímači RTL-SDR. Lze je používat nezávisle nebo současně jako radiozaměřovač nebo pasivní radar.

Ladislav Hagara | Komentářů: 31
včera 11:11 | Komunita

Implementace OpenPGP Sequoia PGP byla přelicencována z GPL 2+ na LGPL 2+. Vývojáři to zdůvodňují na dvou příkladech: Apple nepovoluje GPL software ve svém App Storu a problém s GPL má také Thunderbird.

Ladislav Hagara | Komentářů: 0
včera 10:11 | IT novinky

Problémy s výrobou a dodáváním má také Raspberry Pi. Raspberry Pi 4 s 2 GB RAM proto dočasně zdražilo z 35 na 45 dolarů.

Ladislav Hagara | Komentářů: 4
včera 09:11 | Nová verze

Byla vydána vývojová verze 2.99.8 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Jedná se o další krok směrem k verzi 3 postavené na GTK 3. Přehled novinek i s náhledy v oznámení o vydání a v souboru NEWS na GitLabu. Stabilní verze je 2.10.28.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Zajímavý článek

Obsáhlý zápisek v blogu jednoho z vývojářů Haiku, svobodného operačního systému inspirovaného BeOS, popisuje nejen zkušenosti s notebookem Lenovo ThinkPad T510 a posléze W541, ale průběžně také rozvíjí úvahy o svobodném softwaru, právu na opravu (right to repair), (ne)zveřejňování specifikací hardwaru, dotýká se politiky podepisování distribučních klíčů nejen Secure Boot aj.

Fluttershy, yay! | Komentářů: 13
20.10. 23:44 | Nová verze

OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 17.0.0 a krátce na to 17.0.1 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). Přehled novinek v článku na Medium.

Ladislav Hagara | Komentářů: 11
Kolik monitorů (obrazovek) používáte současně?
 (48%)
 (36%)
 (14%)
 (1%)
Celkem 398 hlasů
 Komentářů: 29, poslední 19.10. 07:04
Rozcestník



Dotaz: MikroTik - uživatel s omezenými právy (ssh)

6.5. 13:13 jan.rok | skóre: 21
MikroTik - uživatel s omezenými právy (ssh)
Přečteno: 277×
Zdravím,

mám MikroTik RB951Ui-2nD s RouterOS 6.48.2. Do WAN je povolen port 22 pro přihlášení přes SSH na konzoli routeru. Odtud bych chtěl vybraným uživatelům povolit připojení přes SSH na vnitřní server. Uživatele jsem v routeru nadefinoval a zařadil je do skupiny SSH_USERS, u které jsem povolil policy "ssh". Nikam jinam je pouštět nechci.

Přes SSH se z WAN přihlásím, ale příkaz:

system ssh 192.168.1.1 user="ssh_user1"

končí s chybou "SSH error, no enought permissions", aniž by se objevila výzva k zadání hesla. Uživatel ssh_user1" na vnitřním serveru samozřejmě existuje.

V ostatních případach, které jsem zkoušel, omezení práv na skupinu funguje. Skupina nic s MikroTikem dělat nemůže, nemůže číst/měnit konfiguraci, vypnout router apod.

Jaká práva musí mít moje skupina SSH_USERS, kromě ssh, aby mohla spustit ssh klienta do vnitřní sítě (pokud by měla fuul práva, tak ssh funguje)?

Nechci řešit přístup na vnitřní server pomocí přesměrování portu.

Díky za rady. JR

Odpovědi

6.5. 13:37 GeorgeWH | skóre: 41
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Nevymyslaj somariny a pouzi VPN.
Max avatar 6.5. 15:31 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Takže chceš uživatele pustit na svůj router, aby se z něho následně připojovali dál na server?
A není rozumnější vpn? A nebo přinejhorším si nastavit forwarde nějakýho portu?
Zdar Max
Měl jsem sen ... :(
6.5. 17:32 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Připouštím, že VPN bude lepší volbou. Musím však vyřešit to, aby připojený uživatel mohl jen na adresu vnitřního serveru a jen na ssh port.
6.5. 17:52 czjaromir | skóre: 9
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Tak já bych je nepouštěl na MikroTik, ale otevřel bych v MikroTiku ve firewallu jeden port pro ssh na ten vnitřní server. Je to jednoduché a jasné. Pro jistotu bych změnil port ssh na t.j. z 22 třeba na nějaký s vyším číslem tak aby nekolidoval s nějakou jinou službou. Tím se dá docílit větší bezpečnosti.
6.5. 17:55 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Tohle se samozřejmě nabízí, ale já se chtěl vyhnout tomu, že by port serveru (jedno jestli originální 22 nebo třeba 60022) byl trvale vystaven na internetu.

Chtěl jsem uživatele nejdřív ověřit na SSH MikroTiku a odsud by si už sám ručně musel pustit SSH na vnitřní server. Vše navíc s pomocí klíčů.

6.5. 18:16 czjaromir | skóre: 9
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
No to je hrozně relativní, tak stejně může někdo nabořit MikroTik a přesměrovat webovky a nakazit všechny pc, myslím že je bezpečnější a jednodušší správá uživatelů přímo na serveru. Jako že když budeš chtít, tak ho povolíš nebo zakážeš, nebo ověříš podle ip apod.
6.5. 19:48 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Ani ja by som neexponoval rozhranie riadiaceho sieťového prvku na internet.

Mne osobne stačí mať exponovaný port pre SSH na stroj, ktorý je chránený jak dobrým heslom a kľúčami, tak pravidelným patchovaním (voči 0day) a na dôvažok tam mám fail2ban. Ale to je dlhoročné riešenie na doma.

Firemné riešenie by malo byť skutočne postavené nad VPN, aj s bižutériou okolo.
6.5. 20:17 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Jak jsem psal výše, dám na vaše rady a půjdu cestou VPN s tím, že zkusím omezit přihlášeného uživatele tak, aby mohl použít jen ssh na jeden konkrétní server.

Díky všem za názory.
6.5. 21:50 roland
Rozbalit Rozbalit vše Re: MikroTik - uživatel s omezenými právy (ssh)
Ja prihlasenie ssh pre uzivatela s obmedzenymi pravami riesim cez SSH Public Key Authentication. Ak uzivatel chce ziskat administratorske prava, nieco ako u CISCO enable, musi sa dodatocne v Mikrotik CLI autentifikovat ako uzivatel admin a heslom pomocou telnet 127.0.0.1.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.