Sshd Gatewayports

[Jan Houstek]

> A to ja to zase chapu: Aby nad tim mel vladu spravce serveru kde bezi
> sshd a ne ten, kdo pousti ssh. Jako root serveru si rozhodne rad
> ponecham pravo rozhodnout, zda mi nekdo instaluje na serveru neomezeneho
> posluchace, ktery je druhym koncem nekde mimo mou sit.

Hmmm, kdyz ma nekdo shell, tak typicky muze delat mnohem zakernejsi veci
nez pouhe poslouchani na vysokem portu a posilani toho obsahu kamsi.
(Pochopitelne je mozne, ze je uzivatelum sitova aktivita nejakym zpusobem
odeprena a pak jedinym zpusobem, jak nekde poslouchat, zustava sshd,
nicmene je to dost nestandardni situace.)

> Vidim to jako bezpecnostni vlastnost. Jednak zarizeni si toho sameho jen
> se shell uctem neni takova trivka

nc -l -p 12345 | whatever

Pripadne uzivateli nic nebrani spustit si vlastni sshd.

> a za druhe pokud na to spravce serveru se sshd mysli, muze shell
> uzivatelum zakazat nebo omezit. Pak se kazdy musi podridit nastaveni
> volby GatewayPorts.

Situace, kdy uzivatele nemaji shell, ale mohou si libovolne forwardovat
porty, je podle me dost specificka a neni nutne, aby na ni bylo pamatovano
v defaultni konfiguraci.

K cemu podle vas pak to ssh vubec maji? Ke spousteni nejakych konkretnich
prikazu skrze pubkey autentizaci nebo specialni shell? To pak ale
nepotrebuji portforwarding vubec a povoleni Gatewayports se toho nijak
netyka.

Ja netvrdim, ze ta volba v sshd nemuze zustat, spis by se mi ale zdalo
logicke, kdyby

a) default bylo Gatewayports On
b) byla moznost to ovlivnit v klientovi (defaultne by klidne mohlo byt
   Gatewayports Off pro zachovani kompatibility se soucasnym chovanim)

-- Honza Houstek


P.S. Nicmene je mi jasne, ze to je brek na spatnem hrobe, spis to zkusim
nadhodit openssh devel listu (pokud me drive nekdo nepresvedci, ze to je
totalni ptakovina).