[HELP] Lock d 1 Ssh-user nella sua home : come ?

[The X]

Come da topic, c'è 1 modo semplice d fare in modo che 1 user che logga via ssh (o meglio sftp) rimanga lockato nella sua home, come accade per l'FTP normale ?

Assegnandogli la shell "scponly" ho evitato ke esso possa accedere via console (ovvero può accedere solo via SFTP-Client); togliendo i diritti d lettura alla directory "home" ho evitato ke possa risalire e vedere la home...

Tutto questo, però, nn è molto efficace PERCHE' se 1 utente un minimo esperto digita un path specifico (es. /var/log/apache o /home/vpopmail/etc) potrà vedere quella directory e da lì anke tutte le altre...

Anke togliendo la lettura a tutte le directory principali dentro la / nn cambierebbe molto per l'esempio d sopra...

Qlc ha soluzioni ?

TNK

[e-Tip]

chroot probabilmente fa quello che ti serve

[The X]

Quote:

Originariamente inviato da e-Tip
chroot probabilmente fa quello che ti serve

azz.... solo col chroot ?

è 1 cosa impossibile da farsi....

[e-Tip]

mmm ho solo dato una rapida occhiata al sito debian sezione securing e da quello che ho letto pare fattibile come cosa... poi non so se esistano altre soluzioni

[The X]

Quote:

Originariamente inviato da e-Tip
mmm ho solo dato una rapida occhiata al sito debian sezione securing e da quello che ho letto pare fattibile come cosa... poi non so se esistano altre soluzioni

C ho dato 1 occhiata MA li dentro parlano d chroot d tutto il servizio SSH (ed è un poco complicato...); a me basterebbe fare il chroot del solo sftp....

[ilsensine]

ssh è un metodo di login, come il login locale. Quindi un utente con accesso ssh, può fare tutto ciò che può fare un utente con accesso diretto.
Se vuoi impedire l'accesso a sezioni specifiche del file system, devi fare come faresti con un utente locale: gestione appropriate dei permessi e dei gruppi.

Anche chroot è una via praticabile, ma più drastica.

[The X]

Quote:

Originariamente inviato da ilsensine
ssh è un metodo di login, come il login locale. Quindi un utente con accesso ssh, può fare tutto ciò che può fare un utente con accesso diretto.
Se vuoi impedire l'accesso a sezioni specifiche del file system, devi fare come faresti con un utente locale: gestione appropriate dei permessi e dei gruppi.

Anche chroot è una via praticabile, ma più drastica.

Esatto... ma x restringere l'accesso via diritti VUOL dire mettere mano a TUTTI i diritti di TUTTE le directory del file system... Sinceramente la vedo molto ardua xkè le probabilità d fare qlc errore x cui si danno resistrizione troppo severe ke causano poi malfunzionamenti vari è molto elevata...

Da questo punto trovare il modo d fare un chroot x il SOLO SFTP sarebbe + semplice, credo...

TU ne sai qlc a riguardo ?

[Maestro]

se ti interessa far loggare un utente solo per sftp, su freebsd c'e' la shell "scponlyc" da applicare all'utente in questione che permette di effettuare solo queste operazioni.

non so se esista l'equivalente su linux, questa cosa e' interessante e sto facendo delle ricerche a proposito.

eventualmente gli applichi una jail shell, con una directory con dentro i binari che servono (mv,cp,ls), su securing debian ci dovrebbe essere qualcosa in tal senso.


saluti

[The X]

Quote:

Originariamente inviato da Maestro
se ti interessa far loggare un utente solo per sftp, su freebsd c'e' la shell "scponlyc" da applicare all'utente in questione che permette di effettuare solo queste operazioni.

non so se esista l'equivalente su linux, questa cosa e' interessante e sto facendo delle ricerche a proposito.

Se leggi il mio post iniziale vedrai ke già ho applicato questa shell x gli utenti MA il problema rimane cmq nel senso ke gli utenti possono cmq andare in giro x il file system....

Quote:

Originariamente inviato da Maestro
eventualmente gli applichi una jail shell, con una directory con dentro i binari che servono (mv,cp,ls), su securing debian ci dovrebbe essere qualcosa in tal senso.

Ho seguito questa guida (http://www.brandonhutchinson.com/chroot_ssh.html) x fare appunto una jail shell MA provando a loggare via SFTP mi da "Error #4" e nn mi fa loggare....

[Maestro]

prova ad applicare agli utenti una shell "chrootata":

http://tjw.org/chroot-login-HOWTO/

qui trovi una guida su come fare, in questo modo non si puo' uscire della propria home.

[ilsensine]

Quote:

Originariamente inviato da The X
Esatto... ma x restringere l'accesso via diritti VUOL dire mettere mano a TUTTI i diritti di TUTTE le directory del file system...

Prendere o lasciare. Il login tramite ssh implica l'esecuzione di un "interprete" shell (bash ad es.) come per qualsiasi login.
Se non ti va di giocare con i permessi, devi usare il chroot.

[The X]

Quote:

Originariamente inviato da Maestro
prova ad applicare agli utenti una shell "chrootata":

http://tjw.org/chroot-login-HOWTO/

qui trovi una guida su come fare, in questo modo non si puo' uscire della propria home.

Uhmm... ora ho capito qlc....

Visto ke io voglio dare l'accesso SOLO via SFTP e non via SSH devo trovare il modo d fare un chroot limitato in quanto il chroot generale è molto + complesso....