PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sftp-nutzer auf ihr homeverzeichniss beschränken?


Tyrann
2007-06-06, 16:52:41
Hi!

ich möchte sftp-nutzer auf ihr homeverzeichniss beschränken.

habs erst mit etch und rssh versucht, aber irgendwie will die chroot umgebung nicht laufen.

gibts es fertige pakete oder distributionen die halbwegs sicher sind und die nutzer einsperren?

hilft mir user-mode-linux irgendwie weiter? hab damit aber überhaupt noch nichts gemacht.

:confused:

Olleg
2007-06-06, 18:49:40
apt-get install scponly

Und dann kurz die Doku lesen.

Tyrann
2007-06-07, 10:27:13
hab nun scponly installiert, die nutzer und chroot umgebung mittels script angelegt, die groups.c kompiliert und nach /home/user/bin kopiert aber trotzdem kann ich mich nicht anmelden.

wenn ich nutzername und passwort eingegeben habe kommt connection closed

bin nun etwas ratlos

Olleg
2007-06-07, 11:06:30
Nenn doch einfach mal deine Distribution.
Ich hatte das unter Debian Sarge gemacht. Musste nix mehr kompilieren. Einfach mittels des beigefügten Scripts User anlegen. Hat wunderbar geklappt.

Dürfen deine User sich überhaupt per ssh anmelden?

Tyrann
2007-06-07, 11:31:18
wie im ersten post schon geschrieben nutze ich etch, vielleicht sollte ich es mal mit sarge probieren wenn im etch fehler sind.

der sshzugriff funktioniert für andere user, bei denen vom scponlyscript erzeugten usern kommt ja auch die passwortabfrage, bei richtig eingegebenem passwort kommt sofort connection closed

Tyrann
2007-06-07, 15:03:21
habe es jetzt mit sarge nochmal probiert, per scp kann ich mich einloggen, aber nicht per sftp.

hat jemand ne idee?

Olleg
2007-06-08, 08:31:01
Hab dir nochmal reinkopiert, wie ich es gemacht habe:

SFTP-Zugang einrichten

apt-get install scponly
Die Frage nach der setuid-root-Installation mit “yes” beantworten!
cd /usr/share/doc/scponly/setup-chroot
gunzip setup_chroot.sh.gz
chmod 744 setup_chroot.sh
./setup_chroot.sh

Benutzer anlegen.
In der /etc/passwd kann für diesen Benutzer mit einem Doppelslash direkt der gewünschte Einstiegsordner festgelegt werden (z.B. /home/user//incoming).

Tyrann
2007-06-08, 13:03:07
das funktioniert ja auch, allerdings kann ich dann nur per scp zugreifen, nicht per sftp

Olleg
2007-06-08, 14:36:53
Ist die Shell deiner User auf "/usr/sbin/spconlyc" gestellt?

Tyrann
2007-06-08, 17:13:53
ja, hab es auch schon bei etch so gemacht, mit dem gleichen ergebnis

Olleg
2007-06-08, 17:43:36
Mit welchem Client testest du? Ich hab WinSCP genommen.

Tyrann
2007-06-08, 18:27:33
winscp und linux commandline tools