Sie sind nicht angemeldet.

  • »Plankton« ist der Autor dieses Themas

Beiträge: 4

Registrierungsdatum: 27.09.2011

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

  • Nachricht senden

1

23.03.2013, 15:40

User im SSH, darf sein home verzeichnis nicht verlassen, wie?

Guten Tag,

ich möchte wissen ob es eine möglichkeit, einen user in seinem homeverzeichnis einzusperren, soll heißen, er darf nicht aus seinem homeverzeichnis raus. darin kann er von mir aus seine ordner usw erstellen, aber home nicht verlassen dürfen.

man stelle sich vor, der user verbindet sich per ssh auf den server, und sieht nur sein home verzeichnis und kann dort nicht raus, nur root sollte diese möglichkeit haben.

für hilfestellung wär ich sehr froh, danke.

lg.
plankton

Beiträge: 456

Registrierungsdatum: 14.03.2011

Derivat: Lubuntu

Architektur: 64-Bit PC

  • Nachricht senden

2

24.03.2013, 02:16

Hallo,

kannst du nicht die Zugriffsrechte von browsable für alle Ordner, außer Home, nur root setzten?

Gruß,
schmetterling

  • »floogy« ist männlich

Beiträge: 3 071

Registrierungsdatum: 10.03.2005

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: debian

  • Nachricht senden

3

24.03.2013, 09:51

Guck auch mal hier: http://wiki.ubuntuusers.de/Homeverzeichn…Benutzer-lesbar
Ooops, das ist aber nur der umgekehrte Fall.

Du könntest rbash als loginshell verwenden: http://www.ab-weblog.com/de/erstellen-ei…-ssh-tunneling/
oder eine chroot für ssh einrichten: http://sourceforge.net/projects/chrootssh/
Beim Ersteren bin ich mir nicht ganz sicher, ob es den gewünschten Effekt hat, die Dateien mit others read lassen sich wahrscheinlich immer noch lesen.

Zitat von »Roger Wilco«

Zitat von txc Beitrag anzeigen

Zitat

wie kann man einen User bei Debian anlegen, ihm aber nicht erlauben, das Verzeichnis in z.B. /etc zu wechseln?
Chroot ist zu aufwendig, da dies ja alles einschränkt.

Viele Dateien in /etc müssen auch von normalen Benutzern gelesen werden können, etwa die /etc/resolv.conf oder /etc/hosts.

Du könntest den Zugriff auf bestimmte Dateien mit POSIX ACL verbieten (`man setfacl`, `man getfacl`) oder auf eine Kernelerweiterung mit zusätzlichem Rechtesystem (RSBAC, RBAC von grsecurity oder MLS von SELinux) zurückgreifen. Im Endeffekt ist alles aufwendiger, als eine kleine chroot Umgebung zu erstellen...

http://serversupportforum.de/forum/165300-post2.html

In dem thread wird auf diese Blogs verlinkt:
http://blog.schalanda.name/archives/154-…r-OpenSSH.html/
http://binblog.info/2008/04/06/openssh-c…for-webhosting/

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »floogy« (24.03.2013, 10:10)