Re: sftp und virtual users

Autor: Håkan Källberg <hk_at_simulina.se>
Datum: Sat, 19 Mar 2011 22:02:30 +0100
On Sat, Mar 19, 2011 at 08:36:45PM +0100, Raphael Eiselstein wrote:
> > Oder einfach direkt mit OpenSSH, z.B.:
> >     Match Group sftponly
> >         ChrootDirectory %h
> >         ForceCommand internal-sftp
> > 	AllowTcpForwarding no
> > 	X11Forwarding no
> > 	AllowAgentForwarding no
> 
> 
> Ich würde hier auf "Echte" Homeverzeichnisse verzichten, d.h. 
>         ChrootDirectory /path/to/sftp/homes/%u
> 
> Und public keys über ein ausserhalb liegendes Verzeichnis:
>         AuthorizedKeysFile /path/to/sftp/keys/authorized_keys_%u

Genau, sowas... Also ein Unix-User und mehrere Keys in dem
Authorized_Keys file.

> Für sftp benötigt man keine "funktionierende Shell", aber für den Login
> wohl eine "gültige" in /etc/shells. Da sollte /usr/bin/false ausreichen. 

Ja, genau. /bin/false benutze ich.

> > Die Unix User müssen mit einem * in /etc/shadow angelegt sein.

> Das ist schade, weil ich die Verwaltung der Systemaccounts und die der
> Dienstbenutzer (sftp-Accounts) getrennt halten will (muss). Also brauche
> ich hier wohl tatsächlich ein chroot-environment, in dem der sshd läuft.

Das verstehe ich nicht ganz... Chroot macht doch sshd selber:

> >         ChrootDirectory %h

In dem Homeverzeichnis sollte es ein /dev/log liegen, damit syslog
Meldungen von dem Session bekommt.

Wenn ich ein "!" in dem Passwort-Feld in /etc/shadow statt ein "*"
eintrage verweigert sshd login. Das soll er auch. Natürlich kann ich
ja auch ein Passwort da eintragen, aber von Außen soll es so wie so
nicht zugelassen sein. 

Viele Grüße:				Håkan


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 19.03.2011

Dieses Archiv wurde generiert von hypermail 2.2.0 : 19.03.2011 CET