[todo] [Software 0000719]: FTP-User anlegen mit restriktiven Eigenschaften (scponly[c])

todo-notifyer at hostsharing.net todo-notifyer at hostsharing.net
Sat Sep 16 11:09:23 CEST 2006 

Eine Notiz wurde zu diesem Problem hinzugefügt. 
====================================================================== 
https://todo.hostsharing.net/view.php?id=719 
====================================================================== 
Berichtet von:              cglass
Zugewiesen an:              
====================================================================== 
Projekt:                    Software
Problem ID:                 719
Kategorie:                  Installationswünsche
Reproduzierbarkeit:         N/A
Auswirkung:                 Feature-Wunsch
Priorität:                  normal
Status:                     neu
====================================================================== 
Erstellt am:                04.09.2006 12:38 (CEST)
Letzte Aktualisierung:      16.09.2006 11:09 (CEST)
====================================================================== 
Zusammenfassung:            FTP-User anlegen mit restriktiven Eigenschaften
(scponly[c])
Beschreibung: 
Ich möchte einen FTP-User innerhalb meines DW/R anlegen, der sich 
lediglich per SSH einloggen kann (also z.B. nicht per normalem FTP).
Außerdem soll er auch nur einem bestimmten Verzeichnis arbeiten können, 
dort aber Vollzugriff haben.
D.h. insbesondere soll er auch nicht andere Verzeichnisse als dieses 
eine listen können.

Das soll der Beschreibung nach "scponly" bzw. "scponlyc" leisten können:

+++++++++++++++++++ schnipp +++++++++++++++++++
"scponly - scponlyc

scponly ist ein sehr praktisches Programm was meines Erachtens nach 
viele nicht anonyme ftp-Zugänge ersetzen könnte - scponly bietet dem 
Admin die Möglichkeit einem User einen ssh-gesicherten Datenzugang zum 
System zu ermöglichen ohne diesem einen Shellzugang geben zu müssen

 

scponly:

Ist das Programm für vollen Dateizugriff auf Benutzerebene - D.h. der 
User hat vollen Zugang zu allem ihm lesbaren Dateien im System - Es 
können z.B. viele Systemdateien in /etc /var usw. gelesen werden - Auch 
das kann für einen Admin unangenehm sein, denn dann muss er je nach 
Vertrauensbereich entsprechend aufwendiger administrieren

 

scponlyc:

Bietet als Zusatz ein Chroot-Jail auf das Homeverzeichnis des Users an - 
D.h. der User kann NUR Dateien in seinem Homeverzeichnis lesen und 
schreiben - Für mich der klare Favorit

 

 

Installation:

Unter Debian!:

 

aptitude install scponly

--> Es werden beide Programme installiert: scponly und scponlyc

 

Kurzfassung:

 

in der /etc/passwd als login-Shell /usr/bin/scponly statt /bin/bash 
eintragen

 

für scponlyc muss man unter /usr/share/doc/scponly/setup_chroot das 
setup_chroot.sh.tgz entpacken mit tar -zxvf setup_chroot.tgz

 

Danach setup_chroot.sh ausführen und neuen chrooteden User anlegen

In der /etc/passwd checken ob er als Login-Shell /usr/sbin/scponlyc 
eingetragen hat"
+++++++++++++++++++ schnapp +++++++++++++++++++

Quelle: http://frilug.fh-friedberg.de/ssh.html
====================================================================== 

---------------------------------------------------------------------- 
 paul - 13.09.06 20:20  
---------------------------------------------------------------------- 
scponly ist bei uns nicht ohne weiteres wie gewünscht einsetzbar, weil der
FTP-Server derzeit allen Accounts einen Login ermöglicht. 

---------------------------------------------------------------------- 
 cglass - 15.09.06 09:28  
---------------------------------------------------------------------- 
ok, wird das geändert?
Ist das änderbar?

Was ich vermutlich ja eigentlich nur brauche ist SSH Zugang.
Aber wenn ich Dich richtig verstehe, dann sind alle user (außer Mailusern)
auch direkt FTP-user mit Zugriff auf selbigen?!
Kann man vielleicht eine neue Userklasse anlegen, die dann in diesem Sinne
eben *nur* SSH Zugang hat?

Ich möchte meinen Kunden halt Zugriff (z.B. mit WinSCP3) auf ein
Verzeichnis geben, in dem sie dann Dateien hochladen/löschen können.
WinSCP3 hat ja fallback auf SCP, also *brauche* ich garkeinen S-FTP und
*möchte* keinen FTP :-) 

---------------------------------------------------------------------- 
 cglass - 16.09.06 11:09  
---------------------------------------------------------------------- 
Ich habe inzwischen erfahren, dass ich für mein Szenario lediglich
scponlyc benötige.

scponly brauche ich nicht!

Kann ich das scponlyc selbst wie oben beschrieben installieren oder muss
da ein root dran? 

Problem-Historie 
Änderungsdatum  Benutzername   Feld                     Änderung             
====================================================================== 
04.09.06 12:38  cglass         Neues Problem                                
13.09.06 20:20  paul           Problemnotiz hinzugefügt: 0001695                
   
15.09.06 09:28  cglass         Problemnotiz hinzugefügt: 0001698                
   
16.09.06 11:09  cglass         Problemnotiz hinzugefügt: 0001699                
   
======================================================================

More information about the Todo mailing list