Citar:

¿Como se hace el jail del usuario que entra por SSH?

Tienes que caparlo en el sistema mismo. Para eso tienes que darle una shell restringida en el etcpasswd, rbash, por ejemplo. Luego la tienes que configurar, claro... lo que es bastante engorroso... al menos así lo recuerdo. Sólo lo he hecho una vez, cuando estuve investigando para montar un tipo de servidor FTP seguro. Sin embargo no recuerdo más. Busca por ahí, que hay también mucha información.

===================
No podemos regresar

Para el montaje de directorios compartidos encontré una solución que creo que es bastante interesante.
El método usa SSH lo cual, como saben, tiene la ventaja de encriptar toda la comunicación.
Nota: Para ejemplificar usare los usuarios tstark y wmachine y el servidor jarvis, el grupo de trabajo avengers, el puerto ssh de jarvis 1234  y el directorio compartido share
jarvis

• openssh-server instalado y funcionando.
  
• tstark y wmachine creados en el servidor.
  

tstark

• openssh-client instalado y funcionando.
  
• Crear una clave publica y copiarla en jarvis/tstark/.ssh [1]
  
• Crear el archivo en /home/tstark/.config/autostart/tesseract.desktop  [2] que apunte al guión (script) de inicio /etc/avengers.sh [3]
  

wmachine

• openssh-client instalado y funcionando.
  
• Crear una clave publica y copiarla en jarvis/wmachine/.ssh [1]
  
• Crear el archivo en /home/wmachine/.config/autostart/tesseract.desktop  [2] que apunte al guión (script) de inicio /etc/avengers.sh [3]
  

[1] Este punto es el mas tedioso porque hay que acceder al servidor desde cada estación de trabajo para hacerlo. Otro tema es que si al acceder a dos maquinas diferentes y crear la clave en una y copiarla al servidor y luego hacer lo mismo pero en otra maquina (lo cual sobreescribiria la copia anterior) lo que invalidaria el ingreso desde la primera maquina, lo que no se si esta mal que sea así.
Seria interesante dar con un método automático de creación y copia de clave en el momento de acceder a una estación de trabajo (supongo que eso es lo que facilita el sistema de autenticacion con kerberos)

• Ingresar en la estación de trabajo como tstark
  
• ssh-keygen
  
• ssh-copy-id -p 1234 jarvis. Esta orden copiara la clave de tstark pero en jarvis/tstark/.ssh
  

[2] Contenido de tesseract.desktop

[2] Contenido de avengers.sh

Nota: Para el caso que varios usuarios usen la misma estación de trabajo habrá que crear tantos usuarios en esta como se dese pero todos deberán tener la configuración antes mencionada. Para automatizarlo se puede colocar el archivo tesseract.desktop en el directorio /etc/skel/.config/autostart
Luego los permisos de share estarán asignados desde el servidor jarvis por usuarios y grupos. es decir podrá haber recursos para usuarios para grupo de de usuarios y para todos los usuarios independientemente de su IP y su ubicación (LAN o Internet)
Bueno esto esta orientado a ir preparando el "terreno" para la autenticación centralizada con kerberos o algo similar.

Saludos.

Es más o menos lo que tenemos montado para tareas de administración. Todas nuestras máquinas tienen un usuario administrador que es el que instala el sistema. El/los trabajador/es que utilizan la máquina no conocen la contraseña de éste usuario y es el que nosotros utilizamos para realizar la conexión sshfs...

El tema es más y menos complejo a la vez: si hablas de red local, todo es un poco excesivo, se supone que la red tiene sus porpias defensas y tanta encriptación (y el tiempo que consume) no es necesario. Si hablas de conexiones remotas... te queda el tema de los routers, firewalls y redirecciones de puertos...

Nosotros tenemos la red local cerrada salvo algunos puertos específicos redireccionados al rervidor pero no hay manera de llegar directamente desde fuera a cada puesto de trabajo. ¿Cómo lo solventamos? Pues así:

Desde mi ordenador, que está fuera de la red local, conecto con el servidor vía ssh y lanzo un script que monta el disco duro de la máquina que quiero alcanzar en una carpeta del servidor vía sshfs usando ese usuario administrador, que se llama igual en todas las máquinas, del que sí conozco la clave. Luego desde mi ordenador monto esa misma carpeta del servidor (al que sí tengo acceso) en mi máquina.
Con eso puedo ver todos los discos duros de todas máquinas de la empresa cuando lo necesito.

Para la compartición de carpetas en el servidor dentro de la red local, ya te digo: NFS y desde fuera FTP.

Saludos.

===================
No podemos regresar

Shordi: Evidentemente el sistema te funciona y debe ser muy proactivo para el uso que le da tu empresa.
Pero visto desde un punto de vista generalista, le encuentro algunos puntos flacos, como la imposibilidad de cambiar las contraseñas de forma unificada o que diferentes usuarios no pueden usar la misma PC.
Ojo el método que propuse con SSHFS tiene los mismos inconvenientes si no se usa unmtodo de ingreso centralizado.
Respecto a la velocidad de transferencia, ya que dispones de los dos protocolos a la vez en tu sistema ¿Podrías hacer una medición de velocidad entre SSHFS vs NFS?
¿Has probado NFS a través de un túnel SSH?

Saludos.

tincho escribió: [Ver mensaje]

le encuentro algunos puntos flacos, como la imposibilidad de cambiar las contraseñas de forma unificada

¿Qué contraseñas? Las del usuario de Linux, es cosa del usuario. La de todo lo demás está centralizada en una aplicación Gambas.

Citar:

o que diferentes usuarios no pueden usar la misma PC.

¿Quién ha dicho que no? tengo aparatos con hasta cinco usuarios distintos.

Citar:

Respecto a la velocidad de transferencia, ya que dispones de los dos protocolos a la vez en tu sistema ¿Podrías hacer una medición de velocidad entre SSHFS vs NFS?

Pues la he hecho en la red local y, efectivamente, ssh es más lenta... por muy poquito (en una descarga de 10GB, apenas dos segundos más lenta). Me ha sorprendido porque en casa me iba bastante más lenta, hasta que he caído en la cuenta que desde fuera de la red local, como te dije, lo que hago es una conexión doble: sshfs entre el servidor local y la máquina de destino y otro sshfs entre mi máquina y el servidor. Ahí sí parece bastante más lento, aunque tengo que hacer más pruebas.

Citar:

¿Has probado NFS a través de un túnel SSH?

No, ni sabía que eso existía... Sólo manejo túneles ssh con el protoco VNC, nunca se me había ocurrido que se pudiese usar con nfs...
Saludos.

===================
No podemos regresar