Die letzten Haushaltstipps: Möbel im Internet kaufen · Test:microSDHC 16GB Class10-Spei* · Re: Neue Leuchten für meine Wohn* · Re: Welches Betriebssystem benut* · Re: Kann mir jemand ein gutes Sc* · Re: Rezept: Spargelsalat · welchen betriebssystem benutzt i* · Neue Leuchten für meine Wohnung* · Re: mikrofasersofa reinigen · Re: Babyöl für weiche Haut

Die letzten Themen im Schnellsuche-Forum: firekeepers casino egwab · Datenschutzerklärung · Eine Frage von Moral? · Re: Stromvergleich im Internet: * · Das Haus vom Wendler · Tipp19: Uhrzeit Windows und Linu* · Stromvergleich im Internet: Dies* · Re: Was fahrt ihr für ein Auto?* · Was fahrt ihr für ein Auto? · Musik Video

Tipp 18: OpenSSH chroot sftp

Tutorials, Anleitungen, HowTo's, FAQs, Tipps und Tricks für Linux, ubuntu, kubuntu, Debian ...
HIER BITTE KEINE FRAGEN STELLEN, WENN SIE NICHT DIREKT ZUM THEMA PASSEN!

Tipp 18: OpenSSH chroot sftp

Beitragvon schnellie » Freitag 3. Mai 2013, 12:40

Getestet mit ubuntu-server 12.04 (precise)

Um für Benutzer NUR noch einen sFTP - Zugang zu zulassen und den Beuntzer dort im Verzeichnis "einzusperren" kannst Du folgendes machen:

{TEXT}
(ich habe via SSH mit einem Schlüssel Zugriff, da ein normaler Login mit PW verboten ist...
Da ich von Natur aus faul bin, arbeite ich hier mit kate, weil es so schön einfach ist...)

kate fish://root@SERVERADRESSE/etc/ssh/sshd_config
{L_CODE}: {L_SELECT_ALL_CODE}
# In der Datei nach folgendem Eintrag suchen:
# -> Subsystem sftp
# Wenn NICHT vorhanden, dann
# Subsystem sftp internal-sftp
# ODER
# Subsystem sftp /usr/lib/openssh/sftp-server
# eintragen...
# Dann folgende Sektionam Ende der sshd_config eintragen:
Match Group sftponly
        ChrootDirectory %h
        ForceCommand internal-sftp
 AllowTcpForwarding no


{L_CODE}: {L_SELECT_ALL_CODE}
ssh root@SERVERADRESSE "(groupadd sftponly; sudo mkdir -p /www-ext/BENUTZERNAME/www; sudo adduser BENUTZERNAME --home /home/BENUTZERNAME;)"
Daten und Passwort für neuen Benutzer eingeben


{L_CODE}: {L_SELECT_ALL_CODE}
ssh root@SERVERADRESSE "(usermod -g sftponly -s /bin/false -d /www-ext/BENUTZERNAME BENUTZERNAME; sudo chown BENUTZERNAME:www-data /www-ext/BENUTZERNAME/www ; sudo service ssh --full-restart;)"





{TEXT}
Bearbeite (root) die Datei: /etc/ssh/sshd_config
Bitte erst mal nachgucken, ob der Eintrag
{L_CODE}: {L_SELECT_ALL_CODE}
Subsystem sftp /usr/lib/openssh/sftp-server

vorhanden ist! Wenn nicht, dann füge folgende Zeilen ein:
{L_CODE}: {L_SELECT_ALL_CODE}
Subsystem sftp /usr/lib/openssh/sftp-server

{TEXT}
{L_CODE}: {L_SELECT_ALL_CODE}
Subsystem       sftp    internal-sftp


ABER: Nur eine Zeile! NICHT beide gleichzeitig!
Und dann noch folgenden Code; ans Ende:
{L_CODE}: {L_SELECT_ALL_CODE}
# Diese Sektion sollte am Ende der sshd_config stehen!
Match Group sftponly
        ChrootDirectory %h
        ForceCommand internal-sftp
 AllowTcpForwarding no

Grupppe sftponly anlegen, wo NUR die Benutzer rein kommen, die KEINEN normalen Zugang haben sollen, aber noch via sftp und dann eingesperrt sind...
{L_CODE}: {L_SELECT_ALL_CODE}
sudo groupadd sftponly

Benutzer anlegen
{L_CODE}: {L_SELECT_ALL_CODE}
sudo adduser BENUTZERNAME

Daten und Passwort für neuen Benutzer eingeben
Ein neues Verzeichnis erstellen, wo NUR die eingesperrten Benutzer rein kommen wie z.B. für einen Webserver
{L_CODE}: {L_SELECT_ALL_CODE}
sudo mkdir -p /www-ext/BENUTZERNAME/www


Set their group (usermod -g) to sftponly (the group you created in the previous step)
Nun setze die Gruppe neu für den neuen Benutzer:
{L_CODE}: {L_SELECT_ALL_CODE}
sudo usermod -g sftponly -s /bin/false -d /www-ext/BENUTZERNAME BENUTZERNAME


Da jetzt alles root:root gehört, kannst DU Benutzer z.B. das www-Verzeichnis zugänglich machen:
{L_CODE}: {L_SELECT_ALL_CODE}
sudo chown BENUTZERNAME:www-data /www-ext/BENUTZERNAME/www


Die SSH neu starten...
{L_CODE}: {L_SELECT_ALL_CODE}
service ssh --full-restart


Und zum Schluss überprüfen, ob sich der Benutzer noch via ssh einloggen kann; sollte nicht möglich sein und wenn er sich mit sftp einloggt, dann sollte er in seinem www-Verzeichnis gefangen sein...

----------------------------------------------

Quelle: http://www.romuloaraujo.com/2010/01/how ... -only.html
Liebe Grüße
Thorsten alias Schnellie...


Benutzeravatar
schnellie
Super-Moderator
Super-Moderator
 
Beiträge: 1421
Registriert: Montag 19. August 2002, 19:38
Wohnort: Hamburg

Advertisement

Zurück zu Linux / (x) ubuntu

 


  • { RELATED_TOPICS }
    Antworten
    Zugriffe
    Letzter Beitrag

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

Setze ein Bookmark bei: Google  yahoo  slashdot.org  Delicious.com  Digg.com  Linksilo.de  favit.de  Favoriten.de  Linkarena.com  icio.de  Fuzz  Nuouz  Reddit  Scoopeo  Wikio  addThis

Powered by Schnellsuche.de and Kannchen.de - IMPRESSUM