|
|
 | SSH med user directories
Fra : Morten |
Dato : 05-10-05 22:10 |
|
Hej
Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
hvor der skal være
adgang udefra.
Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
logger på, så har brugeren
kun adgang til sit home directory.
Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
kan gøre hvad som helst med ?
Jeg har læst at den kan lade sig gøre med ftp ?
Er det hul i hovedet at lave det med SSH eller er der nogle der har input.
På forhånd tak.
Mvh
Morten Frederiksen
| |
 Christian Laursen (05-10-2005)
| Kommentar
Fra : Christian Laursen |
Dato : 05-10-05 22:15 |
|
"Morten" <pagh.frederiksen@tele2adsl.dk> writes:
> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.
Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af de
kommandoer, der ligger udenfor i fx. /usr/bin.
> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?
Man kan tvinge hans shell til at være noget andet.
> Er det hul i hovedet at lave det med SSH eller er der nogle der har input.
Måske kan scponly det du har brug for.
http://www.sublimation.org/scponly/
--
Christian Laursen
| |
Ivar Madsen (06-10-2005)
| Kommentar
Fra : Ivar Madsen |
Dato : 06-10-05 06:58 |
|
Christian Laursen wrote:
> Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af
> de kommandoer, der ligger udenfor i fx. /usr/bin.
Man kan godt sætte /home til at være lukket land for brugeren, så han ikke
kan vandre udfra /home/bruger, det hindre ikke at han kan hoppe direkte
til /usr/bin hvis det er sat op til at være åbent for brugeren, og han
kender stien.
Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
sikkerhedsnevau "højere".
--
Med venlig hilsen
Ivar Madsen
--------------------------------------------------------------------------------
| |
 Kasper Dupont (06-10-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 06-10-05 08:56 |
|
Ivar Madsen wrote:
>
> Christian Laursen wrote:
>
> > Hvis brugeren kun har adgang til sit homedir, kan han ikke køre nogen af
> > de kommandoer, der ligger udenfor i fx. /usr/bin.
>
> Man kan godt sætte /home til at være lukket land for brugeren,
Jeg afprøvede det lige. Hvis man ikke har execute rettigheder
til /home, så opstår der mange problemer, det giver f.eks.
problemer ved login med ssh, og man kan åbenlyst ikke få cd ~
til at virke.
Man kan fjerne læseadgang til /home og kun give execute
rettigheder. Det betyder, at man ikke kan se en liste over
brugere i /home, men man kan stadig verificere eksistensen,
hvis man kan gætte et navn. Og man kan få en liste med
brugernavne ad anden vej.
> det hindre ikke at han kan hoppe direkte
> til /usr/bin hvis det er sat op til at være åbent for brugeren, og han
> kender stien.
Og hvor mange brugere er det lige, der *ikke* kender stien
til /usr/bin?
>
> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
> sikkerhedsnevau "højere".
Hvordan er det??
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Ivar Madsen (06-10-2005)
| Kommentar
Fra : Ivar Madsen |
Dato : 06-10-05 18:57 |
|
Kasper Dupont wrote:
>> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
>> sikkerhedsnevau "højere".
> Hvordan er det??
Øhe hvad mener du med "det"
1. Det sætter man under installation, eller med drakconf.
2. På min server køre jeg med sikkerheds nevauet sat til det Mandrake kalder
"højere", så er der adgang til /home/brugeren og ikke nogen af de andre.
$ cd /home/mobil
bash: cd: /home/mobil: Permission denied
$ cd /home/mobile
bash: cd: /home/mobile: No such file or directory
$ cd /usr/bin
$ ls
ls: .: Permission denied
$
Jeg kan dog udføre hvad der ligger i /usr/bin, thivertifald noget af det,
andre programmer som jeg forventer ligger der kan jeg ikke køre, de er sat
til kun at kunne køres af ejere og gruppe, sådan er det med f.eks. telnet.
Det nytter ikke at ændre det, der går ikke så lang til inden systemmet
opdager det, og dels repotere fejlen, og dels så retter op på fejlen.
--
Med venlig hilsen
Ivar Madsen
--------------------------------------------------------------------------------
| |
Kasper Dupont (06-10-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 06-10-05 20:48 |
|
Ivar Madsen wrote:
>
> Kasper Dupont wrote:
>
> >> Sådan er f.eks. Mandriva sat op som default, hvis man sætter den til
> >> sikkerhedsnevau "højere".
> > Hvordan er det??
>
> Øhe hvad mener du med "det"
Fortæl os dog i stedet for hvad det er den gør.
>
> 1. Det sætter man under installation, eller med drakconf.
>
> 2. På min server køre jeg med sikkerheds nevauet sat til det Mandrake kalder
> "højere", så er der adgang til /home/brugeren og ikke nogen af de andre.
>
> $ cd /home/mobil
> bash: cd: /home/mobil: Permission denied
> $ cd /home/mobile
> bash: cd: /home/mobile: No such file or directory
Det beviser da også med al tydelighed, at der er adgang til /home.
> $ cd /usr/bin
> $ ls
> ls: .: Permission denied
> $
Ja, men så prøv at skrive:
ls -ld . .. hexdump rename write
Under alle omstændigheder er det ikke noget jeg har lyst til at
afprøve. For det første er det ret tvivlsomt om det overhovedet
forbedrer sikkerheden. For det andet ødelægger det completion.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Michael Rasmussen (05-10-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 05-10-05 23:07 |
| | |
torben (06-10-2005)
| Kommentar
Fra : torben |
Dato : 06-10-05 00:09 |
|
Morten wrote:
> Hej
>
> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.
>
> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?
>
> Jeg har læst at den kan lade sig gøre med ftp ?
>
> Er det hul i hovedet at lave det med SSH eller er der nogle der har input.
>
> På forhånd tak.
>
> Mvh
> Morten Frederiksen
>
>
Se http://www.sublimation.org/scponly/.
Som en del af et miniprojekt i 2004, lavede jeg en primitiv udvidelse af
ovenstående, hvor brugerne kunne tilgå dels sit home directory, dels et
"shared directory". Sig til, hvis det har interesse, så kan jeg sende
rapporten.
Torben
| |
Kasper Dupont (06-10-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 06-10-05 09:03 |
|
Morten wrote:
>
> Hej
>
> Jeg er igang med at konfigurere en Debian maskine der skal være filserver og
> hvor der skal være
> adgang udefra.
>
> Jeg tænkte at lave det med SSH og lave det sådan at når den enkelte bruger
> logger på, så har brugeren
> kun adgang til sit home directory.
>
> Kan dette lade sig gøre, problemet er vel at brugeren får en shell som han
> kan gøre hvad som helst med ?
Hvad skal kunne lade sig gøre? Man kan gøre en del med
passende opsætning af authorized_keys.
http://mongers.org/ssh#key_options
Se også sshd man siden.
Selvfølgelig kan du også ændre shell, hvilken af de to
muligheder, der fungerer bedst for dig, tør jeg ikke
udtale mig om.
Hvilke protokoler har du tænkt dig, at brugeren skal
kunne bruge til filoverførsel? scp, sftp, fish, etc.
>
> Jeg har læst at den kan lade sig gøre med ftp ?
SSH og FTP har ikke noget med hinanden at gøre.
Tænker du på sftp?
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
|
|