Forums Neueste Beiträge
 

(SSH-) Zugriff auf Benutzerverzeichnis beschränken?

19/02/2015 - 15:44 von Edzard Egberts | Report spam
Gibt es eigentlich eine Möglichkeit, den SSH-Zugriff auf das Verzeichnis
des angemeldeten Benutzers zu beschrànken?

Weiß gerade gar nicht, wo ich da schrauben müsste, das ist eigentlich
kein ssh-Problem, sondern fàngt schon beim Terminal an, da kann man ja
auch als "nicht privilegierter User" auf das gesamte Dateisystem
zugreifen, wenn auch nur lesend. Also allgemeiner gefragt, wie
verhindere ich, dass ein User sein home in Richtung Dateisystem
verlàsst, so dass z.B. ein "cd .." ab /home/user ein "Permission denied"
ergibt (von mir auch ein leeres Verzeichnis)?

Es stört mich auch, dass beim sshfs nicht nur "/home/user" möglich ist,
sondern der user z.B. auch "/" mounten kann. Was tun?
 

Lesen sie die antworten

#1 Christoph Mehdorn Weber
19/02/2015 - 18:03 | Warnen spam
Hallo!

* Edzard Egberts :

Gibt es eigentlich eine Möglichkeit, den SSH-Zugriff auf das Verzeichnis
des angemeldeten Benutzers zu beschrànken?



Wenn dir Datenübertragung per integriertem sftp genügt, kannst
du so was machen:

Match User|Group|Host|Address Pattern
ChrootDirectory /home/chroot
ForceCommand internal-sftp

Bei ChrootDirectory sind auch Platzhalter wie "%h" für das Home
und "%u" für den Nutzernamen möglich. Als ich das benutzt habe,
war aber das Ziel, daß mehrere Nutzer da drin bei Bedarf Daten
austauschen können sollen, wenn sie die Rechte entsprechend
vergeben (die offiziellen Homes der Nutzer liegen innerhalb von
/home/chroot).


Weiß gerade gar nicht, wo ich da schrauben müsste, das ist eigentlich
kein ssh-Problem, sondern fàngt schon beim Terminal an, da kann man ja
auch als "nicht privilegierter User" auf das gesamte Dateisystem
zugreifen, wenn auch nur lesend.



Im Prinzip gibt es noch Ansàtze wie "rbash", die den Nutzer
stark einschrànken (ob man dann noch vernünftig arbeiten kann,
ist eine andere Frage), die aber auch meist lückenhaft sind. So
reicht es, eine Anwendung zu starten, die weitere Anwendungen
aufrufen kann (z.B. kann man im Lynx einen externen Editor für
Formulare öffnen, den man selbst festlegt), und kann sich dort
dann eine normale Shell holen.


Also allgemeiner gefragt, wie verhindere ich, dass ein User sein
home in Richtung Dateisystem verlàsst, so dass z.B. ein "cd .."
ab /home/user ein "Permission denied" ergibt (von mir auch ein
leeres Verzeichnis)?



Mit Standard-Dateirechten ist das kaum einzuschrànken, da du
ggf. Zugriff auf diverse Programme und Libs benötigst. (Obige
sftp-only-Variante hat den Vorteil, daß keine weiteren Programme
nötig sind.)

Meist baut man als Workaround Chroots. Da kann der Nutzer zwar
innerhalb vom chroot auch aus seinem Home, aber normalerweise
nicht aus dem Chroot. Er sieht also nicht den Rest vom Server,
sondern nur das, was man ihm darin zur Verfügung stellt. Wenn man
in Chroots arbeiten können soll, kann aber relativ viel an Tools
und zugehörigen Libs zusammenkommen.

Christoph

Nachdem heute abend unser Geschirrschrank ein Problem mit seiner
strukturellen Integritaet hatte, sind wir nun glueckliche Besitzer
einer groesseren Menge Porzellan- und Glasscherben.
(Nikki Britz)

Ähnliche fragen