Re: sftp und virtual users

Autor: Håkan Källberg <hk_at_simulina.se>
Datum: Sat, 19 Mar 2011 07:24:15 +0100
Hallo zusammen,

On Fri, Mar 18, 2011 at 10:41:22PM +0100, Raphael Eiselstein wrote:
> ich recherchiere derzeit, ob und wie man einen reinen sftp-Server
> betreiben kann, der (aus Unix-Sicht) virtuelle Benutzer authentifiziert,
> ohne dass diese Benutzer eine echte Unix-UserID haben müssen (d.h. User,
> stehen nicht in /etc/passwd oder nis oder dergleichen). User sollen rein 
> schlüsselbasiert authentifiziert werden.
> 
> Aus Unix-Sicht ist das dann so, dass alle Benutzer die gleiche Unix
> User ID haben und jeweils in eigene Homeverzeichnisse ge-chroot-et
> werden. Insbesondere irgendwelche Zugriffe auf eine interaktive Shell
> soll es nicht geben.
> 
> Das Szenario entspricht in etwa dem Setup, was für vsftpd unter
> http://howto.gumph.org/content/setup-virtual-users-and-directories-in-vsftpd/
> beschrieben ist. Das Kernfeature ist hier, dass die Authentifizierung
> via PAM erfolgt, allerdings (für vsftpd) eben gegen eine einfache 
> Passwort-Datei, wie man sie von "htpasswd" kennt, siehe
> http://cpbotha.net/software/pam_pwdfile/ 
> 
> Mein aktueller Plan ist, ein relativ minimalistisches chroot zu
> betreiben (lenny, ca 120MB), in dem ein gestrippter open-sshd läuft, 
> der über das (im chroot befindliche) pam gegen das im chroot liegende 
> /etc/passwd authentifiziert mit Benutzern, die alle die selbe UID haben. 
> Das halte ich allerdings für Overkill und suche daher eine Lösung, die
> "echte virtuelle User" für sftp implementiert.

Es gibt ein paar Lösungen dafür. Leider werden keine "echte virtuelle User"
damit geschaffen, aber die Endergebniss ist dieselbe. Mit rssh kannst
Du normale Unix-User in Chroot-Umgebung auf einem Dienst, z.B. sftp
einschränken.

    http://www.pizzashack.org/rssh/

Oder einfach direkt mit OpenSSH, z.B.:

    /etc/ssh/sshd_config:

    Match Group sftponly
        ChrootDirectory %h
        ForceCommand internal-sftp
	AllowTcpForwarding no
	X11Forwarding no
	AllowAgentForwarding no

Die Unix User müssen mit einem * in /etc/shadow angelegt sein.

Gruß:					Håkan

-- 
GF: Håkan Källberg                Tel:   +49-6203-92 20 41
Simulina GmbH                       Amtsgericht Mannheim
Trajanstraße  8                          HRB 432087
DE-68526  LADENBURG               <http://www.simulina.se>


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 19.03.2011

Dieses Archiv wurde generiert von hypermail 2.2.0 : 19.03.2011 CET