Natürlich könnten Sie einfach einen neuen SSH- Benutzer auf Ihrem Linux-Server einrichten, aber dieser Benutzer kann dann sämtliche Serverbefehle auszuführen, obwohl diese für SSH-Tunneling eigentlich nicht benötigt werden. Genaugenommen muss der Benutzer sich lediglich ein- und wieder ausloggen können – das reicht! Aus diesem Grund möchten wir aus Sicherheitsgründen nicht, dass der Benutzer sonst noch irgendetwas machen kann.

Im Folgenden werde ich zeigen, wie Sie solch einen beschränkten SSH-Benutzer auf einem Linux-Server (getestet auf Debian Linux), nur für die Verwendung von SSH-Tunneling, einrichten können.

Zunächst erstellen wir einen neuen Benutzer (ich nenne ihn nun einfach sshtunnel) mit rbash als Shell:

useradd sshtunnel -m -d /home/sshtunnel -s /bin/rbash
passwd sshtunnel

Die Verwendung von rbash anstatt bash beschränkt den Benutzer bereits, da er insbesondere das Verzeichnis nicht mehr wechseln und auch keine Umgebungsvariablen setzen kann. Jedoch die meisten Bash-Befehle können vom Benutzer weiterhin ausgeführt werden.

Um ihn davon abzuhalten, verwenden wir einen kleinen Trick: Wir setzen die Umgebungsvariable PATH für diesen Benutzer auf nichts. Dadurch wird die Bash keine Befehle zum Ausführen mehr finden. Dies kann ganz einfach dadurch erreicht werden, dass am Ende der Datei .profile im Heimatverzeichnis des Benutzers (in unserem Beispiel /home/sshtunnel/) folgende Zeile eingefügt wird:

PATH=""

Da wir sicherstellen wollen, dass der Benutzer das selbst nicht wieder ändern kann, entfernen wir die Schreibrechte von den Benutzer-Einstellungsdateien sowie vom Heimatverzeichnis des Benutzers selbst:

chmod 555 /home/sshtunnel/
cd /home/sshtunnel/
chmod 444 .bash_logout .bashrc .profile

Jetzt sind wir fertig: Sie können den SSH-Tunnel ganz normal beispielsweise mit PuTTY einrichten und sich mit dem neu angelegten SSH-Benutzer einloggen. Sie werden nichts anderes tun können als sich ein- und wieder auszuloggen, aber das SSH-Tunneling wird einwandfrei funktionieren!

Haben Sie auch schon mal einen so eingeschränkten SSH-Benutzer benötigt?

Zusammen mit dem neuen Anschlusstyp, bekam ich auch einen neuen, kostenlosen Router von meinem lokalen Internetprovider zur Verfügung gestellt: Eine AVM Fritz!Box 7570 VDSL.

Zunächst möchte ich anmerken, dass dies wirklich ein großartiges Produkt ist: Es hat ein eingebautes VDSL-Modem, aber auch VoIP-Telefonanschlüsse (analog und ISDN), stellt WLAN zur Verfügung und unterstützt sogar DECT, um Ihre Mobilteile zu versorgen.

Ich hatte nur ein Problem: Nachdem dieser neue Router in Betrieb war, konnte ich aus meinem Netzwerk nicht mehr auf unseren Webservice auf Port 445 zugreifen. Es war also keine ausgehende Verbindung auf Port 445 mehr möglich.

Somit prüfte ich die Router-Einstellungen, fand aber keine Option oder wenigstens ein Hinweis auf diese Port-Sperrung. Jedoch, bei einer anschließenden Suche im Internet, stellte sich heraus, dass ich keineswegs der Einzige war, der mit diesem Problem kämpfte.

Natürlich ist Port 445, genauso wie die anderen erwähnten Ports 135 und 137, normalerweise für die NetBIOS- beziehungsweise SMB-Kommunikation reserviert, was wirklich ein Sicherheitsproblem wäre, wenn solche Dienste außerhalb eines sicheren, lokalen Netzwerkes benutzt werden würden. Jedoch, selbst wenn eine Portnummer für einen bestimmten Dienst reserviert ist, so steht es dennoch jedem frei sie für etwas Anderes zu verwenden wie wir: Wir nutzen die Ports 444 und 445, um einige internen SSL-Webseiten zu betreiben, da der Standard-Port 443 bereits anderweitig verwendet wird.

Nachdem ich nicht der Einzige in meinem Unternehmen bin, der diese internen SSL-Webseiten verwendet und ich ganz sicher nicht unsere Port-Verwendung aufgrund eines neuen Routers ändern werde, musste ich einen Weg finden, um die Fritz!Box davon zu überzeugen, ausgehende Verbindungen auf Port 445 zuzulassen.

Nach einiger Recherche kam ich zu folgender Lösung. Hier ist eine schrittweise Anleitung, um ausgehende Verbindungen auf den Ports 135, 137 und 445 mit einer AVM Fritz!Box zum Laufen zu bringen:

1. Speichern Sie die Einstellungen Ihrer Fritz!Box in eine Datei (Menü “System” / “Einstellungen speichern”).
2. Öffnen Sie diese Datei in einem einfachen Texteditor.
3. Ersetzen Sie alle Vorkommen von filter_netbios = yes; durch filter_netbios = no;. (Falls Sie ein älteres Fritz!Box-Modell haben, könnte der Name des Konfigurationseintrag etwas anders lauten. Suchen Sie in diesem Fall einfach nach “netbios”. Damit sollten Sie ihn schnell finden können.)
4. Fügen Sie eine neue Zeile NoChecks=yes irgendwo am Anfang der Konfigurationsdatei ein (Ich habe Sie nach der Zeile, die mit Language= beginnt, eingefügt). Ohne diese Zeile wird der Import nicht funktionieren, da die Fritz!Box eine manuell geänderte Konfigurationsdatei ablehnen würde.
5. Stellen Sie zum Schluss die Einstellungen unter Verwendung Ihrer geänderten Konfigurationsdatei wieder her.

Das war’s! Nachdem die geänderte Konfigurationsdatei geladen wurde, startet die Fritz!Box neu und ab jetzt wird der ausgehende Traffic auf den Ports 135, 137 und 445 wieder problemlos funktionieren.

Natürlich kann ich verstehen, dass es sinnvoll ist Ports mit einem potentiellen Sicherheitsrisiko standardmäßig zu sperren, aber ich verstehe absolut nicht, weswegen AVM keine Möglichkeit (irgendwo in den erweiterten Einstellungen) anbietet dies innerhalb deren Benutzer-Interface zu ändern. Ein Router sollte den Benutzer niemals bevormunden: Wenn ein Benutzer einen bestimmten Port aus welchem Grund auch immer nutzen möchte, muss dies mit jedem Router möglich sein!

Sperrt Ihr Router auch ungefragt irgendwelche Ports?