Вопросы Теги

Создайте пользователя SSH с ограниченными полномочиями только использовать репозиторий Мерзавца

Привет я также владею этим переключателем в было к проблемам, которые я разрешил. Я заставил этот переключатель обрабатывать широкую полосу пропускания камер видеонаблюдения и POE для включения их. Этот сервер также хранит и подает данные к нескольким локально подключенным машинам. Функция управления позволяет мне управлять пропускной способностью и приоритетами.

ПРОФЕССИОНАЛЫ: Этот переключатель обработал все, что я хотел, чтобы он сделал.

НЕДОСТАТКИ: *Этот переключатель шел с очень шумным вентилятором. Этот вентилятор работал на полном газу прямо после того, как он включается. Не чувствительная температура. FIX - я открылся, переключатель нашел питание вентилятору (12vots) и поместил регулятор на 8 вольт (я рассматриваю движение к 6 вольтам).

*Это также имеет статический IP-адрес по умолчанию 192.168.1.254, который дает проблемы доступности, если Вы не находитесь на той же подсети. Моя сеть находится на 192.168.0. XXX (0 вместо 1). FIX - я вошел в свой маршрутизатор DHCP, изменил IP-адреса выделения для запуска в 192.168.1.1 и конец в 192.168.1.254. Это дало моему компьютеру новый IP-адрес на той же подсети затем, я смог получить доступ к переключателю. Затем я изменил Статический IP-адрес для переключателя и вернулся к моему маршрутизатору и возвратил выделения IP DHCP назад 192.168.0. XXX.

Это работало большой в течение приблизительно 3 месяцев теперь. Этот переключатель также расположен в хорошо вентилируемой области.

Это были два главных недостатков, которые я смог разрешить, но за цену и функции Вы не можете победить его.

11
задан 13 August 2010 в 06:54
4 ответа

Вы могли бы рассмотреть использование gitolite при отдельном пользователе вместо того, чтобы настроить несколько пользователей оболочки мерзавца (и необходимые полномочия группы и группы, таким образом, они могут совместно использовать доступ к репозиториям).

выполнения gitolite при единственном, обычном пользователе на сервере и использовании открытые ключи SSH для дифференциации доступа к репозиториям Мерзавца (см., “как gitolite использует ssh” для некоторых деталей того, как gitolite делает свою основанную на SSH идентификацию). gitolite предлагает на репозиторий, на ответвление, и даже некоторое управление доступом на путь.

11
ответ дан 2 December 2019 в 21:44

У Вас в основном есть две опции.

  1. Как topdog упомянутый, когда Вы создаете пользователей на сервере, устанавливают их оболочку на оболочку мерзавца (запись по счету здесь). Это позволит пользователю входить на пути в SSH, но вместо того, чтобы выполнить нормальную, полнофункциональную оболочку (например, sh, удар, и т.д.) он будет работать, оболочка мерзавца, которая только обеспечивает доступ к функциональности мерзавца.

  2. С другой стороны, можно сделать репозитории доступными по другому протоколу, такие как TCP (использующий мерзавца-deamon) или HTTP/HTTPS. Я только рекомендовал бы такой сценарий для доступа только для чтения все же.

Вы упоминаете, что желали поддерживать, 'требуют' у функциональности Ваших пользователей, таким образом, необходимо действительно пойти с опцией № 1.

12
ответ дан 2 December 2019 в 21:44

Другой способ сделать это предельным доступом пользователей в ssh.

(http://prefetch.net/blog/index.php/2006/09/05/limiting-access-to-openssh-directives/)

Пример только при помощи только одного пользователя, но если пользователи находятся на той же группе, можно фильтровать их при помощи директивы группы. Что-то как

AllowTcpForwarding yes
X11Forwarding yes

Match Group Users
         AllowTcpForwarding no
         X11Forwarding no
         $Here is a directive for git$
0
ответ дан 2 December 2019 в 21:44

необходимо изменить их оболочку на оболочку мерзавца, которая только предоставит им доступ к функциям мерзавца только.

5
ответ дан 2 December 2019 в 21:44

Теги

Похожие вопросы