SSH Benutzer auf Homeverzeichnis einsperren

[blackd3sert]

Hallo,
Also ich stehe momentan gerade vor einem Problem (habe schon gegoogelt aber nix gefunden). Folgendes:
Ich möchte bestimmte User die sich per SSH auf meinem Server anmelden auf ihr Homeverzeichniss beschränken. Flüchtig würde es auch reichen wenn alle per SSH angemeldeten User auf ihr Homeverzeichniss beschränkt sind und man sich dann nur per su auf den root ummelden kann und dann "frei" ist...
Hat vlt. einer von euch ein Rezept für sowas?

THX schon im voraus!
Mfg

[Duff]

Verstehe die Frage nicht ganz, aber du kannst in ssh bestimmte user oder gruppen erlauben, die sich am Server anmelden dürfen.

Wenn man ein ssh -l <user1> machine macht, dann ist man eigentlich anschließend automatisch im Home-Verzeichnis von user1.

[ckoepp]

chroot wäre eine Möglichkeit. Aber beschreib doch mal genauer wozu du das brauchst.
In 99,9% der Fälle gibts elegantere Lösungen als so ein hässliches rumgefummel

[blackd3sert]

Also, ich habe da ein paar Freunde denen ich den Zugang zu meinem Server gewähren möchte, die sollen dann aber halt nicht alles können, vor allem nicht in meinen Configs herumfummeln...
Schon klar das man wenn man sich per SSH einloggt zuerst ins homeverzeichniss kommt... aber dann macht man einfach cd / und man ist draussen... ich will aber dass das eben nicht geht... sie sollen also nicht aus ihrem homeverzeichniss rauskommen.... Wenn ich dann allerdings ein su root mache dann möchte ich schon alles machen können^^

Hoffe das war verständlicher...

Mfg

[ckoepp]

Sicher - ich verstehe was du meinst.

Aber du hast nicht ganz verstanden wie wichtig es ist, dass User Zugriff auf config-Dateien - ja sogar auf die /etc/passwd - haben. Sowas ist essenziell für das System. Wenn du schonmal chroot-Käfige gebaut hast, dann merkst du wie verdammt komplex die Strukturen da sein können.

Es ist nicht schlimm wenn die Jungs per cd /etc das Verzeichnis wechseln. Sie können da nix machen - außer evtl. weil du als Admin falsche Rechte gesetzt hast. Wenn du die Homes abtrennen willst, dann kannst du nur den Weg über chroot gehen (es sei denn du willst eine Trennung die einfach durchbrochen werden kann). Wobei chroot unter Linux auch ein etwas zweischneidiges Schwert ist - dazu nimmt man eher BSD.

[blackd3sert]

Hmm, also mit chroot wollte ich jetzt eigentlich nicht anfangen^^
Das mit der /etc/passwd ist einleuchten, da hät ich früher drauf kommen sollen...

Hmmm... dann gibts da wohl keine Möglichkeit (ausser mit chroot), werd dann wohl besser auf die Rechte achten müssen^^
THX

Mfg

[gms]

was sollen den deine Freunde können ? Nur im Homeverzeichnis herumtrödeln wird wahrscheinlich mit der Zeit fad werden.
z.B könntest du auch eine restricted Shell für diese User einrichten,
wenn diese User nur ein spezielles Kommando ausführen können sollen, kann man dieses auch über die authorized_keys Datei konfigurieren.
SELinux und Co sollte auch zumindest erwähnt werden ( auch wenn da der Aufwand wahrscheinlich noch höher ist, wie mit einem chroot und du noch mehr auf die Konfiguration achten mußt )..

Gruß
gms

[guenni81]

Reicht deinen Freunden nicht eventuell auch einfach nur ein FTP Zugang?