|
|
 | Opsætning af sshd
Fra : torben |
Dato : 23-04-04 14:24 |
|
Jeg har en ide om, at jeg gerne vil have lavet en opsætning, hvor en
lille gruppe personer skal have mulighed for at tilgå en server med sftp
og/eller scp.
Hver bruger i gruppen skal kun have mulighed for at have en "personlig"
mappe samt dele en fælles mappe (og undermapper til disse.).
I praksis vil de nok bruge winscp eller lignende windows program som klient.
Er der nogen, som har et forslag til, hvordan sådan noget skal sættes op ?
Jeg synes ikke der er mulighed for i sshd konfigurationsfilen at styre
sftp opsætningen.
Medvenlig hilsen
Torben Frøberg
| |
 Alex Holst (23-04-2004)
| Kommentar
Fra : Alex Holst |
Dato : 23-04-04 16:58 |
|
torben wrote:
> Er der nogen, som har et forslag til, hvordan sådan noget skal sættes op ?
> Jeg synes ikke der er mulighed for i sshd konfigurationsfilen at styre
> sftp opsætningen.
Korrekt. Det er en opgave for dit OS.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
torben (23-04-2004)
| Kommentar
Fra : torben |
Dato : 23-04-04 18:39 |
|
Alex Holst wrote:
> torben wrote:
>
>> Er der nogen, som har et forslag til, hvordan sådan noget skal sættes
>> op ?
>> Jeg synes ikke der er mulighed for i sshd konfigurationsfilen at styre
>> sftp opsætningen.
>
>
> Korrekt. Det er en opgave for dit OS.
>
>
Det var også min konklusion efter at have snuset lidt på google. Jeg
fandt linket http://www.tjw.org/chroot-login-HOWTO . Er der andre måder
at gøre det på ?
Med venlig hilsen
Torben Frøberg
| |
 Nikolaj Hansen (23-04-2004)
| Kommentar
Fra : Nikolaj Hansen |
Dato : 23-04-04 18:58 |
|
Jeg bruger det på den led. Det virker i øvrigt helt fint.
Dog er jeg rimelig træt af de meget ringe konfigurations muligheder i
/usr/local/libexec/sftp-server. Bare basal logging af hvilke filer læses
og skrives er svært at lave så vidt jeg kan se?
Kan man sætte en log switch på ovenstående? Noget lignende:
Subsystem sftp /usr/local/libexec/sftp-server -log
/var/log/sxferlog
| |
Alex Holst (24-04-2004)
| Kommentar
Fra : Alex Holst |
Dato : 24-04-04 17:03 |
|
torben wrote:
> Det var også min konklusion efter at have snuset lidt på google. Jeg
> fandt linket http://www.tjw.org/chroot-login-HOWTO . Er der andre måder
> at gøre det på ?
chroot paa den maade virker ikke i nyere sshd's, da de smider privs
langt foer man naar til det stadie. Du kan bruge command= i folks
keyfiles til at tvinge dem til kun at kunne koere sftp, og bruge grupper
i dit OS til at tillade/forhindre adgang til directories.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
torben (24-04-2004)
| Kommentar
Fra : torben |
Dato : 24-04-04 20:53 |
|
>
> chroot paa den maade virker ikke i nyere sshd's, da de smider privs
> langt foer man naar til det stadie. Du kan bruge command= i folks
> keyfiles til at tvinge dem til kun at kunne koere sftp, og bruge grupper
> i dit OS til at tillade/forhindre adgang til directories.
>
Tak for oplysningen.
Jeg har kastet mig ud i http://www.sublimation.org/scponly/ . Såvidt jeg
kan se, opnår jeg fuldt ud det, jeg gerne vil (Selv om det er noget
omstændeligt.). Jeg får chrooted folk, og det er mit indtryk, at de
ikke har en shell til rådighed.
Er der nogen problemer i denne løsning ?
Jeg har ikke været i stand til at finde noget ordentlig dokumentation på
command= i folks keyfiles. Hvis nogen kender et par links, vil jeg gerne
vide det.
Mvh. Torben
| |
Alex Holst (25-04-2004)
| Kommentar
Fra : Alex Holst |
Dato : 25-04-04 02:05 |
|
torben wrote:
> Jeg har kastet mig ud i http://www.sublimation.org/scponly/ . Såvidt jeg
> kan se, opnår jeg fuldt ud det, jeg gerne vil (Selv om det er noget
> omstændeligt.). Jeg får chrooted folk, og det er mit indtryk, at de
> ikke har en shell til rådighed.
> Er der nogen problemer i denne løsning ?
Jeg forstaar ikke besaettelsen med chroot i denne slags tilfaelde, men
du er langt fra den eneste der synes at det er en fantastisk ide.
Kan du forklare hvorfor du mener det er et sikkerhedsproblem at brugerne
kan hente world-readable som f.eks. /etc/motd og /bin/ls?
> Jeg har ikke været i stand til at finde noget ordentlig dokumentation på
> command= i folks keyfiles. Hvis nogen kender et par links, vil jeg gerne
> vide det.
Afsnit 4.1 i denne artikel kan hjaelpe:
http://mongers.org/ssh
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
torben (25-04-2004)
| Kommentar
Fra : torben |
Dato : 25-04-04 10:41 |
|
Alex Holst wrote:
>
>
> Jeg forstaar ikke besaettelsen med chroot i denne slags tilfaelde, men
> du er langt fra den eneste der synes at det er en fantastisk ide.
>
Jeg ved ikke om, det er en god ide. Men jeg kan se, at det kan bruges
til at opnå det jeg gerne vil. Nemlig, at de brugere, der skal benytte
den her løsning kun kan se to mapper. Deres egen mappe og en fælles mappe.
Det er ikke erfarne windows brugere, der skal tilgå det her med winscp.
De skulle helst ikke have for mange muligheder for at køre rundt i
stistrukturen. Så vil de vist slet ikke bruge det.
Hvis man kan opnå det samme på en anden måde er det meget fint for mig.
Det må bare ikke betyde, at jeg skal hen og ændre hele
standardopsætningen på den distro jeg bruger.
> Kan du forklare hvorfor du mener det er et sikkerhedsproblem at brugerne
> kan hente world-readable som f.eks. /etc/motd og /bin/ls?
>
Nej, det tror jeg heller ikke det er.
>
> http://mongers.org/ssh
>
Tak, meget fin artikel.
| |
|
|