|
|
 | Adgang til FTP men ikke SSH
Fra : Stefan Bruhn |
Dato : 17-02-02 01:03 |
|
Hvordan gøres dette?
Jeg har prøvet at lave brugerens shell til /bin/false /bin/true og
/sbin/nologin men alle sammen deaktiverer både FTP (ProFTPd) og ssh. Der
*skal* være adgang til FTP, men der må helst ikke være til SSH, da man
så kan se lidt for meget, IMO.
Eller, måske er det muligt i SSH at forhindre at folk kan gå uden for
homedir? Det ville også være udemærket.
TIA
--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"
| |
 Stefan Bruhn (17-02-2002)
| Kommentar
Fra : Stefan Bruhn |
Dato : 17-02-02 01:12 |
|
On Sun, 17 Feb 2002 01:03:21 +0100, Stefan Bruhn <news005@3x7.dk> wrote:
>Hvordan gøres dette?
>Jeg har prøvet at lave brugerens shell til /bin/false /bin/true og
>/sbin/nologin men alle sammen deaktiverer både FTP (ProFTPd) og ssh. Der
>*skal* være adgang til FTP, men der må helst ikke være til SSH, da man
>så kan se lidt for meget, IMO.
>
>Eller, måske er det muligt i SSH at forhindre at folk kan gå uden for
>homedir? Det ville også være udemærket.
>
>TIA
Fandt lige AllowUsers kommandoen til sshd_config filen. Det ser ud til
at lukke brugere ude fra SSH.
Men hvad med at låse dem fast i homedir i SSH, er det muligt?
--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"
| |
Kent Friis (17-02-2002)
| Kommentar
Fra : Kent Friis |
Dato : 17-02-02 01:17 |
|
Den Sun, 17 Feb 2002 01:11:52 +0100 skrev Stefan Bruhn:
>On Sun, 17 Feb 2002 01:03:21 +0100, Stefan Bruhn <news005@3x7.dk> wrote:
>
>>Hvordan gøres dette?
>>Jeg har prøvet at lave brugerens shell til /bin/false /bin/true og
>>/sbin/nologin men alle sammen deaktiverer både FTP (ProFTPd) og ssh. Der
>>*skal* være adgang til FTP, men der må helst ikke være til SSH, da man
>>så kan se lidt for meget, IMO.
>>
>>Eller, måske er det muligt i SSH at forhindre at folk kan gå uden for
>>homedir? Det ville også være udemærket.
>>
>>TIA
>
>Fandt lige AllowUsers kommandoen til sshd_config filen. Det ser ud til
>at lukke brugere ude fra SSH.
>Men hvad med at låse dem fast i homedir i SSH, er det muligt?
Ja, men ubrugeligt. De kommandoer de skal bruge (fx. ls) ligger udenfor
brugerens homedir, så enten skal du til at kopiere halvdelen af systemet
til hver enkelt brugers homedir, eller også har de ingen kommandoer de
kan bruge.
Kan du ikke sætte proftpd til ikke at checke at brugeren har en gyldig
shell?
Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug
| |
 Stefan Bruhn (17-02-2002)
| Kommentar
Fra : Stefan Bruhn |
Dato : 17-02-02 01:20 |
|
On Sun, 17 Feb 2002 00:16:42 +0000 (UTC), kfr@fleggaard.dk (Kent Friis)
wrote:
>Ja, men ubrugeligt. De kommandoer de skal bruge (fx. ls) ligger udenfor
>brugerens homedir, så enten skal du til at kopiere halvdelen af systemet
>til hver enkelt brugers homedir, eller også har de ingen kommandoer de
>kan bruge.
>
>Kan du ikke sætte proftpd til ikke at checke at brugeren har en gyldig
>shell?
Jo, det kunne jeg. Men hvis det i praksis er umuligt at begrænse SSH
adgangen så tillader jeg bare kun SSH til mig selv, og så virker den
nuværende løsning fint :)
Men tak for hjælpen!
--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"
| |
Kent Friis (17-02-2002)
| Kommentar
Fra : Kent Friis |
Dato : 17-02-02 01:20 |
|
Den Sun, 17 Feb 2002 00:16:42 +0000 (UTC) skrev Kent Friis:
>Den Sun, 17 Feb 2002 01:11:52 +0100 skrev Stefan Bruhn:
>>On Sun, 17 Feb 2002 01:03:21 +0100, Stefan Bruhn <news005@3x7.dk> wrote:
>>
>>>Hvordan gøres dette?
>>>Jeg har prøvet at lave brugerens shell til /bin/false /bin/true og
>>>/sbin/nologin men alle sammen deaktiverer både FTP (ProFTPd) og ssh. Der
>>>*skal* være adgang til FTP, men der må helst ikke være til SSH, da man
>>>så kan se lidt for meget, IMO.
>>>
>>>Eller, måske er det muligt i SSH at forhindre at folk kan gå uden for
>>>homedir? Det ville også være udemærket.
>>>
>>>TIA
>>
>>Fandt lige AllowUsers kommandoen til sshd_config filen. Det ser ud til
>>at lukke brugere ude fra SSH.
>>Men hvad med at låse dem fast i homedir i SSH, er det muligt?
>
>Ja, men ubrugeligt. De kommandoer de skal bruge (fx. ls) ligger udenfor
>brugerens homedir, så enten skal du til at kopiere halvdelen af systemet
>til hver enkelt brugers homedir, eller også har de ingen kommandoer de
>kan bruge.
>
>Kan du ikke sætte proftpd til ikke at checke at brugeren har en gyldig
>shell?
Ved nærmere eftersyn har jeg selv proftpd installeret, så det var
hurtigt at checke... Du skal bare sætte RequireValidShell til "no", så
burde man kunne logge ind med ftp, selvom man ikke har shell-adgang.
Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?
| |
Stefan Bruhn (17-02-2002)
| Kommentar
Fra : Stefan Bruhn |
Dato : 17-02-02 01:25 |
|
On Sun, 17 Feb 2002 00:19:54 +0000 (UTC), kfr@fleggaard.dk (Kent Friis)
wrote:
>Ved nærmere eftersyn har jeg selv proftpd installeret, så det var
>hurtigt at checke... Du skal bare sætte RequireValidShell til "no", så
>burde man kunne logge ind med ftp, selvom man ikke har shell-adgang.
Nu prøvede jeg at sætte den alligevel for det ville jo ikke skade. Og
jo, nu kan man logge ind fra FTP uden at have shell adgang og anonym
trafik kommer også lidt længere :)
Det må jeg så kigge på i morgen!
--
Mvh. Stefan
Website: http://www.3x7.dk/ | http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"
| |
Thorbjoern Ravn Ande~ (17-02-2002)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 17-02-02 17:41 |
|
kfr@fleggaard.dk (Kent Friis) writes:
> Ja, men ubrugeligt. De kommandoer de skal bruge (fx. ls) ligger udenfor
> brugerens homedir, så enten skal du til at kopiere halvdelen af systemet
> til hver enkelt brugers homedir, eller også har de ingen kommandoer de
> kan bruge.
Hvis det er samme filsystem som /usr kan man klare sig med hardlinks.
Det er dog en omstaendig affaere.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear
| |
Kent Friis (17-02-2002)
| Kommentar
Fra : Kent Friis |
Dato : 17-02-02 17:58 |
|
Den 17 Feb 2002 17:40:57 +0100 skrev Thorbjoern Ravn Andersen:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> Ja, men ubrugeligt. De kommandoer de skal bruge (fx. ls) ligger udenfor
>> brugerens homedir, så enten skal du til at kopiere halvdelen af systemet
>> til hver enkelt brugers homedir, eller også har de ingen kommandoer de
>> kan bruge.
>
>Hvis det er samme filsystem som /usr kan man klare sig med hardlinks.
>Det er dog en omstaendig affaere.
Halvdelen af kommandoerne ligger under /bin, og /bin ligger normalt
på /, hvorimod /usr har sin egen partition.
Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^
| |
Thorbjoern Ravn Ande~ (17-02-2002)
| Kommentar
Fra : Thorbjoern Ravn Ande~ |
Dato : 17-02-02 20:48 |
|
kfr@fleggaard.dk (Kent Friis) writes:
> Halvdelen af kommandoerne ligger under /bin, og /bin ligger normalt
> på /, hvorimod /usr har sin egen partition.
Et ftp-jail kraever meget faa kommandoer. Disse kunne fx vaere
statisk linede, og saa hardlinkede til hinanden.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear
| |
Kent Friis (17-02-2002)
| Kommentar
Fra : Kent Friis |
Dato : 17-02-02 20:51 |
|
Den 17 Feb 2002 20:48:23 +0100 skrev Thorbjoern Ravn Andersen:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> Halvdelen af kommandoerne ligger under /bin, og /bin ligger normalt
>> på /, hvorimod /usr har sin egen partition.
>
>Et ftp-jail kraever meget faa kommandoer. Disse kunne fx vaere
>statisk linede, og saa hardlinkede til hinanden.
Vi snakker om et SSH-jail, ikke FTP-jail.
Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug
| |
|
|