SSH und Verzeichniss mit User schützen
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
aktuelle session
benutzer
besitzer
einloggen
ftp
funktionieren
gruppe
http
konfiguration
message
nutzen
oleander
ordner
problem
schaffen
sicherheitsproblem
umgebung
version
wichtige frage
zugang
-
Habe einen User "admin" im FTP, und der kommt direkt in das /www Verzeichniss durch:
Um direkt in das /www/ Verzeichniss habe ich folgendes gemacht: usermod -d /var/www admin
aber wie kann ich das machen das er nur im /www/ Verzeichniss reinkann also das Verzeichniss nicht verlassen kann?
desweiteren bräuchte ich das man sich mit dem Benutzernamen "admin" nicht ins ssh enloggen kann habe folgendes gemacht: usermod -s /bin/false admin
dann wird aber auch der FTP Zugang (FileZilla sowie auch WinSCP) gesperrt, also man kann dann nirgends mehr sich einloggen -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo,
1) Eine sehr wichtige Frage: welchen FTP deamon benutzt du?
2) Brauchst du ftp wirklich? Eine andere Möglichkeit wäre es sftp zu nutzen.
Somit könntest du zwei Probleme mit einer Lösung aus der Welt schaffen:
- du definierst die Benutzer, die vom ssh erlaubt werden (admin, dein_benutzer)
- du definierst, dass der Benutzer admin in /var/www gerooted wird (chroot)
- du definierst, dass dieser Benutzer nur das sftp command ausführen kann (forced-command)
- du setzt den Besitzer von / auf und /var/ und /var/www den Benutzer root
- du gibst 750 oder 755 auf /var/www und setzt den owner auf root:admin
- du erstellst einen neuen Ordner /var/www/data und gibst admin Schreib- und
dem Benutzer / der Gruppe, die den httpd ausführt Leserechte.
- du startest den sshd neu, lässt die aktuelle session offen, falls es Probleme
mit der neuen Konfiguration gibt und verbindest via ssh -u admin.
Wirft er dich nach beliebigem Zeichen raus, teste es mit dem sftp command.
Funktioniert dies ebenfalls nicht, kontrolliere den auth- und den syslog.
Vermutlich ist es ein Rechteproblem.
Funktioniert nur das sftp command, sollte soweit alles fertig sein.
ACHTUNG: Der admin User darf keine Schreibrechte in /var/www haben. Dies wäre ein großes Sicherheitsproblem und sollte mit neueren openssh Versionen auch nicht mehr Funktionieren.
Übrigens ist eine chroot Umgebung auch für andere Dinge interessant, kann aber mit mehr Funktionsaufwand schnell komplex werden.
lg
Oleander
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Use GnuPG with Firefox : http://getfiregpg.org (Version: 0.8)
iQEcBAEBAgAGBQJMWja+AAoJECFKMKdplRq+XtMH+wQCmvEhguxGElwpvkAjtTwW
nB5ALJ3G2hIz/4jVKw7IUsB2ymVYv+FmsMiDGvsEs498yaJyzARzb8bfoKkNNw1M
XIrM8ozL8COpVMVcGvVPK4/pIpAFeu3hSr40AnDv/CNm52vJSLuvvmzR+L9ceJqa
OAY9XX8NvbnrOk85w51eFSowNU+SAo8EEUCnGtgZBd4V7O1/mumbZjvRZAee1yfy
hpWw2k+tx7Sp/7bcgTDi1b7E2QjqpalQ6yK0LXaMcWdR9W/3ZZ3x86yRUAdUhbVc
7E8BlivOuKh+ba4wVWpvkARTmm91S/wXGuYbzAO3I+KJG8OaAvJEJddvyzZXy/g=
=R51P
-----END PGP SIGNATURE-----
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage