Sshd Gatewayports

[Jan Houstek]

On Mon, 23 Aug 2004, Vlada Macek wrote:

> > Situace, kdy uzivatele nemaji shell, ale mohou si libovolne
> > forwardovat porty, je podle me dost specificka a neni nutne, aby na
> > ni bylo pamatovano v defaultni konfiguraci.
>
> Vidim to tak, ze je to kvuli bezpecnosti zakazano a spravce to muze
> povolit.

Ukazte mi nejaky typicky pripad, kdy toto nastaveni zvysuje bezpecnost.

> Podle meho nazoru je soucasti zabezpeceni kazdeho systemu ztizeni nebo
> znemozneni pristupu crackerum pod urcitnou urovni schopnosti.

Sice mi neni jasne, jak znemozneni bind() na nelokalni adresy ovlivni
bezpecnost toho serveru, ale v kazdem pripade je toto opatreni opravdu
neprekonatelnou prekazkou ...

> > K cemu podle vas pak to ssh vubec maji? Ke spousteni nejakych
> > konkretnich prikazu skrze pubkey autentizaci nebo specialni shell? To
> > pak ale nepotrebuji portforwarding vubec a povoleni Gatewayports se
> > toho nijak netyka.
>
> No treba prave pro aplikace s omezenou mnozinou spustitelnych prikazu, v
> krajim pripade s jednim prikazem. Napadaji me BBSky, univerzitni
> informacni systemy, apod...

V takovem pripade ale dava dobry smysl ten portforwarding zakazat uplne
(lze to specifikovat primo u toho klice), takze jestli jsou Gatewayports
on nebo off je uplne jedno. Nejaky lepsi priklad?

-- Honza Houstek