[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: sftp und virtual users
[Thread Prev] | [Thread Next]
- Subject: Re: sftp und virtual users
- From: Håkan Kaellberg <hk@xxxxxxxxxxx>
- Date: Sat, 19 Mar 2011 22:02:30 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Sat, Mar 19, 2011 at 08:36:45PM +0100, Raphael Eiselstein wrote: > > Oder einfach direkt mit OpenSSH, z.B.: > > Match Group sftponly > > ChrootDirectory %h > > ForceCommand internal-sftp > > AllowTcpForwarding no > > X11Forwarding no > > AllowAgentForwarding no > > > Ich wuerde hier auf "Echte" Homeverzeichnisse verzichten, d.h. > ChrootDirectory /path/to/sftp/homes/%u > > Und public keys ueber ein ausserhalb liegendes Verzeichnis: > AuthorizedKeysFile /path/to/sftp/keys/authorized_keys_%u Genau, sowas... Also ein Unix-User und mehrere Keys in dem Authorized_Keys file. > Fuer sftp benoetigt man keine "funktionierende Shell", aber fuer den Login > wohl eine "gueltige" in /etc/shells. Da sollte /usr/bin/false ausreichen. Ja, genau. /bin/false benutze ich. > > Die Unix User muessen mit einem * in /etc/shadow angelegt sein. > Das ist schade, weil ich die Verwaltung der Systemaccounts und die der > Dienstbenutzer (sftp-Accounts) getrennt halten will (muss). Also brauche > ich hier wohl tatsaechlich ein chroot-environment, in dem der sshd laeuft. Das verstehe ich nicht ganz... Chroot macht doch sshd selber: > > ChrootDirectory %h In dem Homeverzeichnis sollte es ein /dev/log liegen, damit syslog Meldungen von dem Session bekommt. Wenn ich ein "!" in dem Passwort-Feld in /etc/shadow statt ein "*" eintrage verweigert sshd login. Das soll er auch. Natuerlich kann ich ja auch ein Passwort da eintragen, aber von Aussen soll es so wie so nicht zugelassen sein. Viele Gruesse: HÃ¥kan -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/