---

Hejsa NG,

Jeg har et antal brugere, der skal have adgang til min server via ssh. Jeg
vil gerne lave det sådan, at de, når de logger ind, får adgang til en, af
mig defineret, mappe, samt at de ikke kan bevæge sig uden for den mappe (en
slags rod-mappe). Jeg mener man kan opnå dette med ProFTP, men kan det lade
sig gøre med ssh?


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Yello

On Tue, 16 Apr 2002 22:01:44 +0200, Tonni Aagesen wrote:

> Hejsa NG,
>
> Jeg har et antal brugere, der skal have adgang til min server via ssh.
> Jeg vil gerne lave det sådan, at de, når de logger ind, får adgang til
> en, af mig defineret, mappe, samt at de ikke kan bevæge sig uden for den
> mappe (en slags rod-mappe). Jeg mener man kan opnå dette med ProFTP, men
> kan det lade sig gøre med ssh?

chroot?

Eller bare sætte permissions sådan at de kan kan læse den ene mappe,
altså drxw------ på alt andet (undtaget mapper de har brug f.eks. /bin
osv.)

--
Mvh. / Kind regards
Henrik Farre < enrique AT obel DOT auc DOT dk >
- If I were God, I would recompile the penguin with --enable-flying.

---

Tonni Aagesen wrote:

> Jeg har et antal brugere, der skal have adgang til min server via ssh. Jeg
> vil gerne lave det sådan, at de, når de logger ind, får adgang til en, af
> mig defineret, mappe, samt at de ikke kan bevæge sig uden for den mappe
> (en slags rod-mappe). Jeg mener man kan opnå dette med ProFTP, men kan det
> lade sig gøre med ssh?

Det hedder et 'root jail', det du ønsker dig. Jeg har dog aldrig hørt
om det i forbindelse med ssh - reglen er, at hvis du har fået en shell
på en maskine, så er det kun et spørgsmål om tid, før du også har cracket
den.

-Claus

---

"Tonni Aagesen" <use.my@signature.com> skrev i en meddelelse
news:a9hvlv$si0$1@sunsite.dk...

> Jeg har et antal brugere, der skal have adgang til min server via ssh. Jeg
> vil gerne lave det sådan, at de, når de logger ind, får adgang til en, af
> mig defineret, mappe, samt at de ikke kan bevæge sig uden for den mappe
(en
> slags rod-mappe). Jeg mener man kan opnå dette med ProFTP, men kan det
lade
> sig gøre med ssh?

Mere i dybden...

Brugerne skal ikke have shell-adgang, hvis det kan undgåes. De skal kunne
tilgå et CVS respetory på en krypteret linje, altså ssh. Kan man undgå at
brugere får en shell, men adgang til cvs?


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

"Tonni Aagesen" <use.my@signature.com> writes:

> Brugerne skal ikke have shell-adgang, hvis det kan undgåes. De skal kunne
> tilgå et CVS respetory på en krypteret linje, altså ssh. Kan man undgå at
> brugere får en shell, men adgang til cvs?

Saet en pserver op.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

"Thorbjørn Ravn Andersen" <thunderbear@bigfoot.com> skrev i en meddelelse
news:kk8z7n2ux3.fsf@mimer.null.dk...

> Saet en pserver op.

Den kigger jeg lige på, tak...


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Thorbjørn Ravn Andersen <thunderbear@bigfoot.com> wrote:
> "Tonni Aagesen" <use.my@signature.com> writes:
>
>> Brugerne skal ikke have shell-adgang, hvis det kan undgåes. De skal kunne
>> tilgå et CVS respetory på en krypteret linje, altså ssh. Kan man undgå at
>> brugere får en shell, men adgang til cvs?
>
> Saet en pserver op.

Uha. FY, Thorbjorn! Lad ~/.ssh/authorized_keys indeholde:

command="/usr/bin/cvs server" 1024 89..resten af din key..

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> >> Brugerne skal ikke have shell-adgang, hvis det kan undgåes. De skal kunne
> >> tilgå et CVS respetory på en krypteret linje, altså ssh. Kan man undgå at
> >> brugere får en shell, men adgang til cvs?
> >
> > Saet en pserver op.
>
> Uha. FY, Thorbjorn! Lad ~/.ssh/authorized_keys indeholde:
>
> command="/usr/bin/cvs server" 1024 89..resten af din key..

Jeg missede lige den der med at linien skulle vaere krypteret.

Mit problem med den slags "kan kun een ting konti" er at man er på
spanden hvis det en dag ikke virker. Med de tradtionelle metoder kan
man da komme ind og rette det hvis det går i ged.

Hvorfor må brugerne ikke logge "rigtigt" ind på maskinen?
--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

"Thorbjørn Ravn Andersen" <thunderbear@bigfoot.com> skrev i en meddelelse
news:kk3cxuakk4.fsf@mimer.null.dk...

> Hvorfor må brugerne ikke logge "rigtigt" ind på maskinen?

Fordi det eneste de skal, er at bruge cvs... intet andet - så hvorfor give
adgang til mere


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

"Tonni Aagesen" <use.my@signature.com> writes:

> "Thorbjørn Ravn Andersen" <thunderbear@bigfoot.com> skrev i en meddelelse
> news:kk3cxuakk4.fsf@mimer.null.dk...
>
> > Hvorfor må brugerne ikke logge "rigtigt" ind på maskinen?
>
> Fordi det eneste de skal, er at bruge cvs... intet andet - så hvorfor give
> adgang til mere

Kan man ikke lave noget pserver + stunnel?

--
Christian Hemmingsen

---

Christian Hemmingsen <postmaster@hemmingsen.nospam.kampsax.k-net.dk> wrote:
> Kan man ikke lave noget pserver + stunnel?

Hvorfor er folk saa glade for tunneler!? CVS har native support for at
tale via $CVS_RSH. SSH tilbyder langt staerkere muligher for
brugervalidering end pserver goer. Brug det dog og goer livet lettere
for digselv.

Jeg har skrevet en dansk artikel om SSH som kan hjaelpe:

http://a.area51.dk/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Christian Hemmingsen <postmaster@hemmingsen.nospam.kampsax.k-net.dk> wrote:
> > Kan man ikke lave noget pserver + stunnel?
>
> Hvorfor er folk saa glade for tunneler!? CVS har native support for at
> tale via $CVS_RSH. SSH tilbyder langt staerkere muligher for
> brugervalidering end pserver goer. Brug det dog og goer livet lettere
> for digselv.
>
> Jeg har skrevet en dansk artikel om SSH som kan hjaelpe:
>
> http://a.area51.dk/ssh

Personen havde i forvejen besluttet sig for at gøre tingene besværligt
ved ikke bare at oprette shell accounts til sine udviklere. Desuden er
jeg ikke specielt "glad for tunneller" jeg prøvede bare at hjælpe, og
det virkede ikke som han han syntes at ssh var den løsning han kunne
bruge, så jeg foreslog et alternativ.

--
Christian Hemmingsen

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrnabphus.ovs.a@C-Tower.Area51.DK...

> Uha. FY, Thorbjorn! Lad ~/.ssh/authorized_keys indeholde:
>
> command="/usr/bin/cvs server" 1024 89..resten af din key..

Kan du forklare den lidt nærmere?

Jeg har oprettet en brugeren "test" med "adduser --shell /bin/false test",
men når jeg f.eks. fra en klient skriver:

export CVS_RSH=ssh
cvd -d test@server:/cvs/someproject co www.someproject.dk

spørger den godt nok om et password, men når det er indtastet, siger den:

cvs [checkout aborted]: end of file from server

jeg får altså lov at connecte, men så heller ikke mere...?


--
Mvh
Tonni Aagesen
agent29@mail1.stofanet.dk

---

Tonni Aagesen <use.my@signature.com> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
>> command="/usr/bin/cvs server" 1024 89..resten af din key..
>
> Kan du forklare den lidt nærmere?
>
> Jeg har oprettet en brugeren "test" med "adduser --shell /bin/false test",
> men når jeg f.eks. fra en klient skriver:
>
> export CVS_RSH=ssh
> cvd -d test@server:/cvs/someproject co www.someproject.dk

Naturligvis vil dette fejle. Du skal give brugeren en normal shell, og i
filen ~/.ssh/authorized_keys (du BRUGER keys, goer du ikke?), indsaette
command som fortaeller sshd at brugeren skal tvinges til at koere en
kommando, og intet andet.

F.eks. er de foerste 60 cifre i min public key:

oldasdirt$ cat /home/holsta/.ssh/authorized_keys
1024 37 126122222469898789349816931919010467734403394673396858610...

Hvis jeg ikke stolede paa migselv kunne jeg aendre linien til:

command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...

saaledes at brugeren bliver tvunget til at koere /usr/bin/cvs med
argumentet "server." -- Hvis brugeren specificerer en kommando at
udfoere vil den blot blive smidt vaek.

> cvs [checkout aborted]: end of file from server
>
> jeg får altså lov at connecte, men så heller ikke mere...?

Det er fordi /bin/false afslutter med det samme og brugeren bliver
logget ud.

Hvis du skal bruge hjaelpe til at arbejde med keys, saa kig paa

http://a.area51.dk/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Naturligvis vil dette fejle. Du skal give brugeren en normal shell, og i

Maaske var det en ide at pinde dette ud i detaljer paa en webside, paa
hoved-under-armen-niveau?

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

Thorbjørn Ravn Andersen <thunderbear@bigfoot.com> wrote:
> Alex Holst <a@area51.dk> writes:
>
>> Naturligvis vil dette fejle. Du skal give brugeren en normal shell, og i
>
> Maaske var det en ide at pinde dette ud i detaljer paa en webside, paa
> hoved-under-armen-niveau?

Ja, god ide. Det vil blive tilfoejet til /ssh snart. Jeg skal have
opdateret siden til OpenSSH 3.2, og jeg har allerede 90 liniers diff til
siden der ikke er committed endnu.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrnac124i.k9g.a@C-Tower.Area51.DK...

> Naturligvis vil dette fejle. Du skal give brugeren en normal shell...

Oki.

> filen ~/.ssh/authorized_keys (du BRUGER keys, goer du ikke?)...

Jo, det er i hvert fald meningen Men det er ikke noget ~/.ssh dir?


> Hvis jeg ikke stolede paa migselv kunne jeg aendre linien til:
> command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...
> saaledes at brugeren bliver tvunget til at koere /usr/bin/cvs med
> argumentet "server." -- Hvis brugeren specificerer en kommando at
> udfoere vil den blot blive smidt vaek.

Mht. argumentet "server" vil det vel forhindre f.eks. "-d" som det første
argument? Eller vil dette stadig virke:

cvs -d user@host:/cvs/someproject co www.someproject.dk

I øvrigt bruger jeg DSA nøgler, er det et problem?


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

Tonni Aagesen <use.my@signature.com> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
>> filen ~/.ssh/authorized_keys (du BRUGER keys, goer du ikke?)...
>
> Jo, det er i hvert fald meningen Men det er ikke noget ~/.ssh dir?

Nej? Jeg ville gaette paa at din administrator har lagt authorized_keys
et andet sted, men du er din egen administrator, fornemmer jeg.

Hvorfor tror du, at du bruger keys?

>> Hvis jeg ikke stolede paa migselv kunne jeg aendre linien til:
>> command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...
>> saaledes at brugeren bliver tvunget til at koere /usr/bin/cvs med
>> argumentet "server." -- Hvis brugeren specificerer en kommando at
>> udfoere vil den blot blive smidt vaek.
>
> Mht. argumentet "server" vil det vel forhindre f.eks. "-d" som det første
> argument? Eller vil dette stadig virke:
>
> cvs -d user@host:/cvs/someproject co www.someproject.dk

Nej, det har ikke nogen indflydelse overhovedet. Naar CVS klienten
opnaar en forbindelse til serveren, forventer den at kommandoen "cvs
server" bliver koert i den anden ende. Derefter taler CVS sin egen
protokol over den session du nu har oprettet.

I dit tilfaelde vil user@host blive givet til klientens ssh, og cvs
lader ssh om at skabe den rette forbindelse. Med den rigtige host entry
i ~/.ssh/config kan -d h:/cvs/someproject vaere rigeligt:

Host h
Hostname host
User user
Protocol 2
...

> I øvrigt bruger jeg DSA nøgler, er det et problem?

Nej, det virker paa samme maade. Vi skal blot finde ud af hvad du har
gjort af din ~/.ssh/authorized_keys foerst.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrnac9dat.1c4k.a@C-Tower.Area51.DK...

> Nej? Jeg ville gaette paa at din administrator har lagt authorized_keys
> et andet sted, men du er din egen administrator, fornemmer jeg.

Korrekt

> Hvorfor tror du, at du bruger keys?

Det er jeg heller ikke sikker på, at jeg gør, men det skal jeg. Jeg har ikke
foretaget mig andet, end at installere ssh og rette i sshd_config.

> Nej, det virker paa samme maade. Vi skal blot finde ud af hvad du har
> gjort af din ~/.ssh/authorized_keys foerst.

Skal jeg oprette disse manuelt eller burde de være der pr. automatik?


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

Tonni Aagesen <use.my@signature.com> wrote:
> "Alex Holst" <a@area51.dk> skrev i en meddelelse
>> Hvorfor tror du, at du bruger keys?
>
> Det er jeg heller ikke sikker på, at jeg gør, men det skal jeg. Jeg har ikke
> foretaget mig andet, end at installere ssh og rette i sshd_config.
[...]

Start med at laese her:

http://a.area51.dk/ssh

Det giver dig baggrundsviden til at komme videre.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrnacbapg.1b07.a@C-Tower.Area51.DK...

> http://a.area51.dk/ssh
>
> Det giver dig baggrundsviden til at komme videre.

At læse noget mere end end gang, hjælper faktisk nogle gange

Det fungerer som jeg gerne vil det nu - tak!


--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

> oldasdirt$ cat /home/holsta/.ssh/authorized_keys
> 1024 37 126122222469898789349816931919010467734403394673396858610...
>
> Hvis jeg ikke stolede paa migselv kunne jeg aendre linien til:
>
> command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...

Vil det sige at jeg i pricippet kan ha' forskellig keys liggende, og
lade keyen afgøre hvilken komando der skal køres?

--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

---

Henning Petersen <henning.petersen.020424@hpc.dk> wrote:
>> command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...
>
> Vil det sige at jeg i pricippet kan ha' forskellig keys liggende, og
> lade keyen afgøre hvilken komando der skal køres?

Det er korrekt. Vaer dog opmaerksom paa, at denne kommando skal
forhindre brugeren i at kunne redigere sin authorized_keys fil, da hun
ellers vil kunne omgaa de angivne begraensninger.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Wed, 24 Apr 2002 18:48:02 +0200, Alex Holst <a@area51.dk> wrote:

> Henning Petersen <henning.petersen.020424@hpc.dk> wrote:
> >> command="/usr/bin/cvs server" 1024 37 126122222469898789349816931...
> >
> > Vil det sige at jeg i pricippet kan ha' forskellig keys liggende, og
> > lade keyen afgøre hvilken komando der skal køres?
>
> Det er korrekt. Vaer dog opmaerksom paa, at denne kommando skal
> forhindre brugeren i at kunne redigere sin authorized_keys fil, da hun
> ellers vil kunne omgaa de angivne begraensninger.

Selvfølgelig, men det giver stadigvæk nogle muligheder, hvis ikke man
har mulighed for at oprette flere brugere på et system

--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

---

On Fri, 19 Apr 2002 23:13:54 +0200, Alex Holst wrote:

> oldasdirt$ cat /home/holsta/.ssh/authorized_keys 1024 37
> 126122222469898789349816931919010467734403394673396858610...

Bruger du v1?


Mvh.

--
"Ett, två, tre, pang på rödbetan." Adam Sjøgren
asjo@koldfront.dk

---

Adam Sjøgren <spamtrap@koldfront.dk> wrote:
> On Fri, 19 Apr 2002 23:13:54 +0200, Alex Holst wrote:
>
>> oldasdirt$ cat /home/holsta/.ssh/authorized_keys 1024 37
>> 126122222469898789349816931919010467734403394673396858610...
>
> Bruger du v1?

Ja, lidt endnu. Det tager ubehageligt lang tid for min 486 at behandle
protocol 2 forhandling og validering.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/