我创建了一个 Raspbian-Image,供一群朋友、同事和其他书呆子使用。他们在家里自己的 Raspberry Pi 上运行它。但是,我需要对该 Raspberry Pi 进行 SSH 访问才能调试他们环境中的问题。因此,我决定设置一个反向 SSH 隧道,我的用户可以激活它以授予我临时访问权限。目前我正在使用本教程:https://linuxhostsupport.com/blog/how-to-setup-reverse-ssh-tunnel-on-linux/
在本教程的第一个命令中,它说:
ssh -R 24553:localhost:22 [email protected]
但是,这意味着我需要在 Remote-Ubuntu-Server 上为反向 ssh 隧道设置一个新用户。因此我创建了一个新用户:
useradd reversessh
问题是,我的代码是完全开源的!每个人都应该能够随时阅读和修改它。每个人都有自己的 Pi 的 root 访问权限。这就是为什么用户“reversessh”的密码对于获得代码/图像的每个人都是可读的。
这就是为什么我想让用户在服务器安全方面防弹反SSH。用户不应该能够读取、写入或访问我的远程ubuntu服务器上的任何文件。它还不应该能够运行任何Linux工具(例如启动python解释器并执行魔鬼操作)。
我该如何创建这样一个不常见的用户?有没有更好的解决方案?
答案1
他们无法读取用户密码,但他们可以读取其哈希值,并尝试反向计算。此外,没有什么是万无一失的。
话虽如此,我认为您可以这样做,usermod -s /sbin/nologin reversessh但是这不应阻止他们甚至能够为了反向隧道的目的而登录。
此外,您可以锁定用户,让他们没有密码,passwd -l reversessh这样就没有什么可破解的了。这假定您使用密钥登录而不是密码验证。