SCP/SSH - EIn Nutzer, ein Pfad erlauben, rest sperren

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
deb
Beiträge: 82
Registriert: 18.09.2005 13:30:20

SCP/SSH - EIn Nutzer, ein Pfad erlauben, rest sperren

Beitrag von deb » 05.12.2005 14:59:12

Hi.

Ich möchte jemand ein bissle Platz auf meinen Server zur Verfügung stellen.

Also habe einen Nutzer angelegt ein Verzeichnis ( /var/www/gastuser ) angelegt und mit den üblichen Nutzerrechten belegt.
Und auch schon mal einen SQL-Nutzer mit speziellen rechten eingerichtet.


1. Ich möchte ihm aber keine Möglichkeiten geben in die /etc usw. zu lesen. Er soll wenn es geht gar nicht erst diese sehen.
2. Außerdem soll er sobald er bspw. mit winscp darauf zugreift sofort auf seinen Ordner geleitet werden.


zu 2. - Das würde theoretisch gehen, wenn ich eine symbolische Verknüpfung zu seinem Verzeichnis erstelle. Es gibt da aber bestimmt einen besseren ansatz..

PS: Putty/ SSH werde ich einfach per .profile-Datei mit autologout belegen.
Nach oben
Benutzeravatar
Joghurt
Beiträge: 5244
Registriert: 30.01.2003 15:27:31
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Joghurt » 05.12.2005 15:05:44

Forumssuche / Google mal nach chroot jail.
Nach oben
deb
Beiträge: 82
Registriert: 18.09.2005 13:30:20

Beitrag von deb » 05.12.2005 15:36:52

Joghurt hat geschrieben:Forumssuche / Google mal nach chroot jail.

Wenn ich das richtig verstanden habe, ist das eine art gefaketer root.

Soviel Möglichkeiten sind gar nicht erforderlich.

Wenn man es genau nimmt, soll nur der echte root auf alle Verzeichnisse zugreifen können.
Nutzer nur in seins.

Gibt es da nicht irgendwo was in der /etc/ssh/sshd_config nach dem Motto: "Wenn ich nicht schreiben könnte, darf ich auch nicht lesen"?

Gruß
Nach oben
Benutzeravatar
herrchen
Beiträge: 3257
Registriert: 15.08.2005 20:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Re: SCP/SSH - EIn Nutzer, ein Pfad erlauben, rest sperren

Beitrag von herrchen » 05.12.2005 15:45:34

deb hat geschrieben: 2. Außerdem soll er sobald er bspw. mit winscp darauf zugreift sofort auf seinen Ordner geleitet werden.
es gibt die möglichkeit, mit "scponly" den user in sein homeverzeichnis einzusperren.
es gab hier schon einige threads zu dem thema.

herrchen
Nach oben
deb
Beiträge: 82
Registriert: 18.09.2005 13:30:20

Beitrag von deb » 05.12.2005 18:16:35

Klingt einfach. Aber an der Umsetzung haperts bei mir noch.
Ich werde noch etwas tiefern googlen und es hoffentlich bald lösen.


Nebenbei:
Kann ich dem Nutzer auf irgendeine weise verbieten Mails zu versenden? (sendmail)
Nach oben
Benutzeravatar
herrchen
Beiträge: 3257
Registriert: 15.08.2005 20:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von herrchen » 05.12.2005 18:33:13

deb hat geschrieben: Kann ich dem Nutzer auf irgendeine weise verbieten Mails zu versenden? (sendmail)
so, wie ich dich bisher verstanden habe, hat der user doch gar keine shell.
ansonsten richte SMTP-auth ein.

herrchen
Nach oben
deb
Beiträge: 82
Registriert: 18.09.2005 13:30:20

Beitrag von deb » 05.12.2005 19:36:33

herrchen hat geschrieben:
deb hat geschrieben: Kann ich dem Nutzer auf irgendeine weise verbieten Mails zu versenden? (sendmail)
so, wie ich dich bisher verstanden habe, hat der user doch gar keine shell.
ansonsten richte SMTP-auth ein.

herrchen
SFTP darf gehen, Shell* nicht


* Das hier ist aber noch nicht sicher. Ist mit STR+C abbrechbar
/etc/profile

Code: Alles auswählen

if [ "$LOGNAME" == "user0815" ]; then
    passwd
    sleep 10
    logout
    exit
fi

# Zusatz als Schutz für weitere neue Nutzer:
if [ "$LOGNAME" != "root" ]; then
    logout
    exit
fi
Nach oben
Benutzeravatar
herrchen
Beiträge: 3257
Registriert: 15.08.2005 20:45:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von herrchen » 05.12.2005 19:46:29

deb hat geschrieben: SFTP darf gehen, Shell* nicht
genau dafür ist "scponly".

herrchen
Nach oben
Antworten

Zurück zu „Einstiegsfragen“