[Support] FTP-User anlegen mit restriktiven Eigenschaften

Christian Glass christian.glass at t-online.de
Mon Sep 4 12:11:27 CEST 2006 

> Ich möchte einen FTP-User innerhalb meines DW/R anlegen, der sich 
> lediglich per SSH einloggen kann (also z.B. nicht per normalem FTP).
> Außerdem soll er auch nur einem bestimmten Verzeichnis arbeiten können, 
> dort aber Vollzugriff haben.
> D.h. insbesondere soll er auch nicht andere Verzeichnisse als dieses 
> eine listen können.
>
> Ist eine derart spezielle Konfiguration möglich bei uns und falls ja: 
> wie kann ich das umsetzen?


Dies hier könnte da evtl. helfen. Würde es das tun? :)



"scponly - scponlyc

scponly ist ein sehr praktisches Programm was meines Erachtens nach 
viele nicht anonyme ftp-Zugänge ersetzen könnte - scponly bietet dem 
Admin die Möglichkeit einem User einen ssh-gesicherten Datenzugang zum 
System zu ermöglichen ohne diesem einen Shellzugang geben zu müssen

 

scponly:

Ist das Programm für vollen Dateizugriff auf Benutzerebene - D.h. der 
User hat vollen Zugang zu allem ihm lesbaren Dateien im System - Es 
können z.B. viele Systemdateien in /etc /var usw. gelesen werden - Auch 
das kann für einen Admin unangenehm sein, denn dann muss er je nach 
Vertrauensbereich entsprechend aufwendiger administrieren

 

scponlyc:

Bietet als Zusatz ein Chroot-Jail auf das Homeverzeichnis des Users an - 
D.h. der User kann NUR Dateien in seinem Homeverzeichnis lesen und 
schreiben - Für mich der klare Favorit

 

 

Installation:

Unter Debian!:

 

aptitude install scponly

--> Es werden beide Programme installiert: scponly und scponlyc

 

Kurzfassung:

 

in der /etc/passwd als login-Shell /usr/bin/scponly statt /bin/bash 
eintragen

 

für scponlyc muss man unter /usr/share/doc/scponly/setup_chroot das 
setup_chroot.sh.tgz entpacken mit tar -zxvf setup_chroot.tgz

 

Danach setup_chroot.sh ausführen und neuen chrooteden User anlegen

In der /etc/passwd checken ob er als Login-Shell /usr/sbin/scponlyc 
eingetragen hat - Schreib ich noch mal neu - nur keine Zeit imMo ;-)

 

 

...Rest des Artikels folgt -"



Quelle: http://frilug.fh-friedberg.de/ssh.html

More information about the Support mailing list