/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
SSH med user directories
Fra : Morten


Dato : 05-10-05 22:10

Hej

Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
hvor der skal være
adgang udefra.

Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
logger på, så har brugeren
kun adgang til sit home directory.

Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
kan gøre hvad som helst med ?

Jeg har læst at den kan lade sig gøre med ftp ?

Er det hul i hovedet at lave det med SSH eller er der nogle der har input.

På forhånd tak.

Mvh
Morten Frederiksen



 
 
Christian Laursen (05-10-2005)
Kommentar
Fra : Christian Laursen


Dato : 05-10-05 22:15

"Morten" <pagh.frederiksen@tele2adsl.dk> writes:

> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.

Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af de
kommandoer, der ligger udenfor i fx. /usr/bin.

> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?

Man kan tvinge hans shell til at være noget andet.

> Er det hul i hovedet at lave det med SSH eller er der nogle der har input.

Måske kan scponly det du har brug for.

http://www.sublimation.org/scponly/

--
Christian Laursen

Ivar Madsen (06-10-2005)
Kommentar
Fra : Ivar Madsen


Dato : 06-10-05 06:58

Christian Laursen wrote:

> Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af
> de kommandoer, der ligger udenfor i fx. /usr/bin.

Man kan godt sætte /home til at være lukket land for brugeren, så han ikke
kan vandre udfra /home/bruger, det hindre ikke at han kan hoppe direkte
til /usr/bin hvis det er sat op til at være åbent for brugeren, og han
kender stien.

Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
sikkerhedsnevau "højere".

--
Med venlig hilsen
Ivar Madsen
--------------------------------------------------------------------------------

Kasper Dupont (06-10-2005)
Kommentar
Fra : Kasper Dupont


Dato : 06-10-05 08:56

Ivar Madsen wrote:
>
> Christian Laursen wrote:
>
> > Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af
> > de kommandoer, der ligger udenfor i fx. /usr/bin.
>
> Man kan godt sætte /home til at være lukket land for brugeren,

Jeg afprøvede det lige. Hvis man ikke har execute rettigheder
til /home, så opstår der mange problemer, det giver f.eks.
problemer ved login med ssh, og man kan åbenlyst ikke få cd ~
til at virke.

Man kan fjerne læseadgang til /home og kun give execute
rettigheder. Det betyder, at man ikke kan se en liste over
brugere i /home, men man kan stadig verificere eksistensen,
hvis man kan gætte et navn. Og man kan få en liste med
brugernavne ad anden vej.

> det hindre ikke at han kan hoppe direkte
> til /usr/bin hvis det er sat op til at være åbent for brugeren, og han
> kender stien.

Og hvor mange brugere er det lige, der *ikke* kender stien
til /usr/bin?

>
> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
> sikkerhedsnevau "højere".

Hvordan er det??

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

Ivar Madsen (06-10-2005)
Kommentar
Fra : Ivar Madsen


Dato : 06-10-05 18:57

Kasper Dupont wrote:

>> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
>> sikkerhedsnevau "højere".
> Hvordan er det??

Øhe hvad mener du med "det"

1. Det sætter man under installation, eller med drakconf.


2. På min server køre jeg med sikkerheds nevauet sat til det Mandrake kalder
"højere", så er der adgang til /home/brugeren og ikke nogen af de andre.

$ cd /home/mobil
bash: cd: /home/mobil: Permission denied
$ cd /home/mobile
bash: cd: /home/mobile: No such file or directory
$ cd /usr/bin
$ ls
ls: .: Permission denied
$

Jeg kan dog udføre hvad der ligger i /usr/bin, thivertifald noget af det,
andre programmer som jeg forventer ligger der kan jeg ikke køre, de er sat
til kun at kunne køres af ejere og gruppe, sådan er det med f.eks. telnet.

Det nytter ikke at ændre det, der går ikke så lang til inden systemmet
opdager det, og dels repotere fejlen, og dels så retter op på fejlen.



--
Med venlig hilsen
Ivar Madsen
--------------------------------------------------------------------------------

Kasper Dupont (06-10-2005)
Kommentar
Fra : Kasper Dupont


Dato : 06-10-05 20:48

Ivar Madsen wrote:
>
> Kasper Dupont wrote:
>
> >> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
> >> sikkerhedsnevau "højere".
> > Hvordan er det??
>
> Øhe hvad mener du med "det"

Fortæl os dog i stedet for hvad det er den gør.

>
> 1. Det sætter man under installation, eller med drakconf.
>
> 2. På min server køre jeg med sikkerheds nevauet sat til det Mandrake kalder
> "højere", så er der adgang til /home/brugeren og ikke nogen af de andre.
>
> $ cd /home/mobil
> bash: cd: /home/mobil: Permission denied
> $ cd /home/mobile
> bash: cd: /home/mobile: No such file or directory

Det beviser da også med al tydelighed, at der er adgang til /home.

> $ cd /usr/bin
> $ ls
> ls: .: Permission denied
> $

Ja, men så prøv at skrive:
ls -ld . .. hexdump rename write

Under alle omstændigheder er det ikke noget jeg har lyst til at
afprøve. For det første er det ret tvivlsomt om det overhovedet
forbedrer sikkerheden. For det andet ødelægger det completion.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

Michael Rasmussen (05-10-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 05-10-05 23:07

On Wed, 05 Oct 2005 23:09:31 +0200, Morten wrote:

>
> Jeg har læst at den kan lade sig gøre med ftp ?
>
sftp som gratis følger med når du installerer ssh, kan løse dit problem:
http://www.coding-zone.com/chroot+sftp-server.patch
http://icepick.info/2003/08
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


torben (06-10-2005)
Kommentar
Fra : torben


Dato : 06-10-05 00:09

Morten wrote:
> Hej
>
> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.
>
> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?
>
> Jeg har læst at den kan lade sig gøre med ftp ?
>
> Er det hul i hovedet at lave det med SSH eller er der nogle der har input.
>
> På forhånd tak.
>
> Mvh
> Morten Frederiksen
>
>
Se http://www.sublimation.org/scponly/.

Som en del af et miniprojekt i 2004, lavede jeg en primitiv udvidelse af
ovenstående, hvor brugerne kunne tilgå dels sit home directory, dels et
"shared directory". Sig til, hvis det har interesse, så kan jeg sende
rapporten.

Torben


Kasper Dupont (06-10-2005)
Kommentar
Fra : Kasper Dupont


Dato : 06-10-05 09:03

Morten wrote:
>
> Hej
>
> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.
>
> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?

Hvad skal kunne lade sig gøre? Man kan gøre en del med
passende opsætning af authorized_keys.
http://mongers.org/ssh#key_options
Se også sshd man siden.

Selvfølgelig kan du også ændre shell, hvilken af de to
muligheder, der fungerer bedst for dig, tør jeg ikke
udtale mig om.

Hvilke protokoler har du tænkt dig, at brugeren skal
kunne bruge til filoverførsel? scp, sftp, fish, etc.

>
> Jeg har læst at den kan lade sig gøre med ftp ?

SSH og FTP har ikke noget med hinanden at gøre.
Tænker du på sftp?

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste