Autor Thema: SFTP User einschränken  (Gelesen 2423 mal)

kolka

  • Gast
SFTP User einschränken
« am: 19. Juni 2006, 11:52:29 »
Hallo Leute,

ich brauche ein Rat von Security Spezialisten. Ich möchte einen User, der per sftp zugreift, auf sein home-Verzeichniss beschränken. Oder für den User den Befehl "cd" sperren. Ist das möglich?

P.S. Damit der User sich nur per sftp einloggen kann, habe ich seine login-shell als /usr/lib/ssh/sftp-server gesetzt.

sonnenblen.de - Das unabhängige Sun User Forum

SFTP User einschränken
« am: 19. Juni 2006, 11:52:29 »

Offline Jonny

  • Global Moderator
  • Sobl Guru
  • *****
  • Beiträge: 1063
Re: SFTP User einschränken
« Antwort #1 am: 19. Juni 2006, 18:08:37 »
Hallo kolka,

erst mal herzlich willkommen hier im Forum :D

Von Produkten wie ftp kennt man halt die Geschichte mit dem "chroot jail".
Google sollte dazu jede Menge Treffer bringen.
Mit diesen Dingen für sftp habe ich mich noch nicht beschäftigt.
Ev. bietet die sshd_config dazu noch einige Optionen.

Wenn du eine Lösung für sftp erarbeitest, dann kannst du das ja auch gleich bei
unserem Content Wettbewerb als Beitrag einreichen ;)

Gruß
Jonny
solaris is like a wigwam :
no windows, no gates and a apache inside !

mdjr

  • Gast
Re: SFTP User einschränken
« Antwort #2 am: 19. Juni 2006, 19:35:30 »
Von Produkten wie ftp kennt man halt die Geschichte mit dem "chroot jail".
Google sollte dazu jede Menge Treffer bringen.

Hallo.

Soviel ich weiß bringt das "chroot jail" nichts bei SFTP, da SFTP selbst irgend welche Programme im [/usr]/[ s]bin bzw. [/usr]/lib- Directory startet, die wiederum auf /lib und /usr/lib zugreifen.

Das "chroot jail" müsste folglich so eingerichtet werden, dass der User noch Zugriff auf /usr, /bin und /lib (und ggf. /etc) hat - meiner Meinung nach ist das nicht das, was Kolka haben will.

Ich würde daher eher versuchen, SFTP durch dessen Konfigurationsdateien einzuschränken - falls dies möglich ist. Bei der mit "OpenSolaris" kommenden Version geht das nicht (s. Quellcode). Ansonsten bliebe noch SFTP zu modden (OpenSolaris- Version herunterladen und ein bisschen C programmieren). Das wäre zumindest das, was ich als Softwareentwickler machen würde...

Martin