hm.
wieso funktioniert dann das einloggen nicht? welche fehlermeldung gibts?
müsste doch eigentlich gehen wenn du einfach die lese und execute berechtigung für andere überall entfernst.
EDIT:
hast du da vielleicht auch die berechtigung execute bei den programmen weggemacht? dann kann der user nämlich nix mehr ausführen.
SSH Benutzern nur Zugriff auf eigenes Homeverz. erlauben
-
- Beiträge: 462
- Registriert: 04.01.2002 18:27:23
- Wohnort: Burgfarrnbach (Fürth/Nürnberg)
-
Kontaktdaten:
Die USA sind direkt von der Barbarei in die Dekadenz übergegangen, ohne den Umweg über die Zivilisation zu nehmen.
-Joachim Fernau
roarin@amessage.de
-Joachim Fernau
roarin@amessage.de
etwas verspätete Antwort
Ich weiss nicht, ob es noch aktuell ist, aber hier ein paar Ideen:
a) Du kannst mit einen mit chroot eingesperrten sshd für jeden User aufsetzen - ist aber recht umständlich. Du kannst und musst dann für jeden User entscheiden, was für Ihn an libs und bin etc. zur Verfügung steht.
b) Falls es Dir nur um Dateizugriff sprich Download/Upload geht, setzt einen ftp-server (proftpd) auf und beschränke den Zugriff auf das jeweilige Homedir (ist eine einfache Direktive). Vorsicht: passwoerter im Klartext. Am besten mit ssh/sftp kombinieren.
c) Alles so lassen, das Dateisystem ein wenig abdichten, insbesondere die Rechte der homedir auf drwx------ oder drwxr-x--- setzen. Evt. noch darauf achten, dass die user es nicht ändern.
a) Du kannst mit einen mit chroot eingesperrten sshd für jeden User aufsetzen - ist aber recht umständlich. Du kannst und musst dann für jeden User entscheiden, was für Ihn an libs und bin etc. zur Verfügung steht.
b) Falls es Dir nur um Dateizugriff sprich Download/Upload geht, setzt einen ftp-server (proftpd) auf und beschränke den Zugriff auf das jeweilige Homedir (ist eine einfache Direktive). Vorsicht: passwoerter im Klartext. Am besten mit ssh/sftp kombinieren.
c) Alles so lassen, das Dateisystem ein wenig abdichten, insbesondere die Rechte der homedir auf drwx------ oder drwxr-x--- setzen. Evt. noch darauf achten, dass die user es nicht ändern.
(a) Ich habe das selbst noch nicht gemacht, weil ich auf die Rechner auf denen ich sshd darauf habe nur selbst zugreife. Also kann ich da leider nur aus dem Stehgreif ein paar Anregungen geben.
Um ein Minisystem zu installieren kannst Du glaube ich dbootstrap nehmen, iirc kannst du dort auch das root verzeichnis angeben. Dann mit chroot in das 'eingesperrte' System einloggen und dort den user einrichten, etv noch mit apt/dselect einen aktuellen sshd installieren und einen eigenen Port zuweisen und mit "/etc/init.d/ssh start" starten. Dann sollte sich der User eigentlich per ssh einloggen können.
(b) Nein geht nicht, über ftpserver ist nur up/download möglich
(c) Ich weiss nicht, ob man den gesamten verzeichnisbaum so 'chmod'en kann, das der user alles benutzen aber nichts lesen kann. Ich kenne keinen Weg.
Um ein Minisystem zu installieren kannst Du glaube ich dbootstrap nehmen, iirc kannst du dort auch das root verzeichnis angeben. Dann mit chroot in das 'eingesperrte' System einloggen und dort den user einrichten, etv noch mit apt/dselect einen aktuellen sshd installieren und einen eigenen Port zuweisen und mit "/etc/init.d/ssh start" starten. Dann sollte sich der User eigentlich per ssh einloggen können.
(b) Nein geht nicht, über ftpserver ist nur up/download möglich
(c) Ich weiss nicht, ob man den gesamten verzeichnisbaum so 'chmod'en kann, das der user alles benutzen aber nichts lesen kann. Ich kenne keinen Weg.
Das funktioniert so nicht. Wenn die Leute auf Deinem Rechner Programme ausführen sollen, dann müssen sie auch Zugriff auf Dein System haben können, da diese Programme auch auf Konfigurationsdateien und andere Daten zurückgreifen müssen.
Eigentlich sollte Dein System von Haus aus so sicher sein, dass kein Normalbenutzer an sicherheutsrelevante Daten rankommt.
Es ist eigentlich nur eine rein kosmetische Frage, ob Benutzer nun in ihrem Homeverzeichnis tiefer dürfen oder nicht.
Hier ein Link zu Ssh-Chroot; ob der Aufwand heirfür gerechtifertigt ist, ist eine andere Frage: http://ulf.zeitform.de/sshchroot/index.de.html
Eigentlich sollte Dein System von Haus aus so sicher sein, dass kein Normalbenutzer an sicherheutsrelevante Daten rankommt.
Es ist eigentlich nur eine rein kosmetische Frage, ob Benutzer nun in ihrem Homeverzeichnis tiefer dürfen oder nicht.
Hier ein Link zu Ssh-Chroot; ob der Aufwand heirfür gerechtifertigt ist, ist eine andere Frage: http://ulf.zeitform.de/sshchroot/index.de.html
Generell zum Thema - (auch mit einer Beschreibung von ssh-chroot):
http://www.debian.org/doc/manuals/secur ... ex.en.html
http://www.debian.org/doc/manuals/secur ... ex.en.html
Anmerkung zu chroot:
Normal bedeutet chroot das in dein Verzeichniss und es gibt nicht mehr.
für einen SSH User heist das dann: es gibt kein /bin und co.
wenn er also noch irgendwie arebiten soll braucht er ein ~/bin wo dann ls cp rm und co drinn sind. <-- Das wird Arbeit!
Normal bedeutet chroot das in dein Verzeichniss und es gibt nicht mehr.
für einen SSH User heist das dann: es gibt kein /bin und co.
wenn er also noch irgendwie arebiten soll braucht er ein ~/bin wo dann ls cp rm und co drinn sind. <-- Das wird Arbeit!
Traue niemanden der nicht einmal bis 2 zählen kann!
Meine Jabber ID: xeniac@jabber.at
Meine Jabber ID: xeniac@jabber.at