---

Hejsa

Jeg har en server kørende med både SSH og ProFTP.

Hvis jeg vil tillade en bruger at logge ind gennem FTP, angiver jeg i
etc/passwd at han har adgang til /bin/bash.... og hvis han ikke har FTP, er
det bare /bin/false

Men det giver også adgang gennem SSH, og det er jeg IKKE interesseret i!
Jeg benytter funktionen i ProFTP så den automatisk chroot'er til brugerens
homedir således de ikke har adgang til andet end deres egen mappe.

Er der ikke en måde at begrænse adgangen i SSH?

/SF

---

On Thu, 24 Jan 2002 21:27:46 +0100, Søren Friis wrote:

> Hejsa
>
> Jeg har en server kørende med både SSH og ProFTP.
>
> Hvis jeg vil tillade en bruger at logge ind gennem FTP, angiver jeg i
> etc/passwd at han har adgang til /bin/bash.... og hvis han ikke har FTP,
> er det bare /bin/false
>
> Men det giver også adgang gennem SSH, og det er jeg IKKE interesseret i!
> Jeg benytter funktionen i ProFTP så den automatisk chroot'er til
> brugerens homedir således de ikke har adgang til andet end deres egen
> mappe.
>
> Er der ikke en måde at begrænse adgangen i SSH?
>
> /SF

AllowUsers alex ref

Allow only certain users to have access via ssh to this machine.

AllowGroups wheel admin

Allow only certain group members to have access via ssh to this machine. AllowGroups and AllowUsers have equivalent directives for denying access to a machine. Not surprisingly they are called "DenyUsers" and "DenyGroups".

/Rasmus

---

"Søren Friis" <soren@friis.mail.dk> wrote in message
news:3c506e6f$0$89095$edfadb0f@dspool01.news.tele.dk...
> Jeg har en server kørende med både SSH og ProFTP.
>
> Hvis jeg vil tillade en bruger at logge ind gennem FTP, angiver jeg i
> etc/passwd at han har adgang til /bin/bash.... og hvis han ikke har FTP,
er
> det bare /bin/false
>
> Men det giver også adgang gennem SSH, og det er jeg IKKE interesseret i!
> Jeg benytter funktionen i ProFTP så den automatisk chroot'er til brugerens
> homedir således de ikke har adgang til andet end deres egen mappe.
>
> Er der ikke en måde at begrænse adgangen i SSH?

Hvad med at bruge TCP-Wrapper?
http://hackingtruths.box.sk/tcpwrap.htm (hvis du ikke ved hvordan den
virker).

mvh
db

---

Den Thu, 24 Jan 2002 21:27:46 +0100 skrev Søren Friis:
>Hejsa
>
>Jeg har en server kørende med både SSH og ProFTP.
>
>Hvis jeg vil tillade en bruger at logge ind gennem FTP, angiver jeg i
>etc/passwd at han har adgang til /bin/bash.... og hvis han ikke har FTP, er
>det bare /bin/false
>
>Men det giver også adgang gennem SSH, og det er jeg IKKE interesseret i!
>Jeg benytter funktionen i ProFTP så den automatisk chroot'er til brugerens
>homedir således de ikke har adgang til andet end deres egen mappe.
>
>Er der ikke en måde at begrænse adgangen i SSH?

FTP har ikke brug for en shell. Jeg vil umiddelbart foreslå at forklare
din ftpd at man godt må logge ind med /bin/true, men ikke med /bin/false
- så har du tre muligheder:

/bin/false: ingen adgang
/bin/true: FTP adgang
/bin/bash: fuld adgang (fx. SSH).

Mvh
Kent
--
Der' ingen bånd der binder mig
ingen holder på mig, nej...

---

Søren Friis wrote:
>
> Jeg har en server kørende med både SSH og ProFTP.
> Er der ikke en måde at begrænse adgangen i SSH?

Nej, der _er_ en måde.

i sshd_config: DenyUsers john jim soeren ftpuser

De har stadig rigtige shells, så de kan ftp'e ind, men de
kan ikke lave ssh eller scp ind.

Vh,

Ole

--
power-lusers (read: running latest and greatest from Freshmeat,
insecure at extreme, owner does everything logged in as root cause
he finally got root on a Unix box and that makes his dick way longer).
-- Alexander Viro on comp.security.unix