SFTP User einschränken

[kolka]

Hallo Leute,

ich brauche ein Rat von Security Spezialisten. Ich möchte einen User, der per sftp zugreift, auf sein home-Verzeichniss beschränken. Oder für den User den Befehl "cd" sperren. Ist das möglich?

P.S. Damit der User sich nur per sftp einloggen kann, habe ich seine login-shell als /usr/lib/ssh/sftp-server gesetzt.

[Jonny]

Hallo kolka,

erst mal herzlich willkommen hier im Forum

Von Produkten wie ftp kennt man halt die Geschichte mit dem "chroot jail".
Google sollte dazu jede Menge Treffer bringen.
Mit diesen Dingen für sftp habe ich mich noch nicht beschäftigt.
Ev. bietet die sshd_config dazu noch einige Optionen.

Wenn du eine Lösung für sftp erarbeitest, dann kannst du das ja auch gleich bei
unserem Content Wettbewerb als Beitrag einreichen

Gruß
Jonny

[mdjr]

Von Produkten wie ftp kennt man halt die Geschichte mit dem "chroot jail".
Google sollte dazu jede Menge Treffer bringen.

Hallo.

Soviel ich weiß bringt das "chroot jail" nichts bei SFTP, da SFTP selbst irgend welche Programme im [/usr]/[ s]bin bzw. [/usr]/lib- Directory startet, die wiederum auf /lib und /usr/lib zugreifen.

Das "chroot jail" müsste folglich so eingerichtet werden, dass der User noch Zugriff auf /usr, /bin und /lib (und ggf. /etc) hat - meiner Meinung nach ist das nicht das, was Kolka haben will.

Ich würde daher eher versuchen, SFTP durch dessen Konfigurationsdateien einzuschränken - falls dies möglich ist. Bei der mit "OpenSolaris" kommenden Version geht das nicht (s. Quellcode). Ansonsten bliebe noch SFTP zu modden (OpenSolaris- Version herunterladen und ein bisschen C programmieren). Das wäre zumindest das, was ich als Softwareentwickler machen würde...

Martin