sshd und scponly

#1 moin!

hoffe, ich bin hier im richtigen forum! habe ssh-dämon installiert, und möchte den benutzern beschränkte benutzerumgebung geben, sprich sie sollen aus ihrem /home verzeichnis nicht ausbüchsen
scponly scheint da ja sinn zu machen. wenn ich neuen user anlegen,. sowohl als gechrooteter, als auch nur mit scponly, erscheint beim einloggen auf jeden befehl diese meldung:

Zitat

WinSCP: this is end-of-file:0

soviel einschränkung soll natürlich nicht sein ;o)
kann mit der meldung nix anfangen....

gruss
ralph

#2 scponly? - scp (1) - secure copy (remote file copy program)

Ich glaub scp ist nicht das was du willst - das benutzt man um Dateien über ssh zu kopieren, mehr nicht - das wars schon. Wie haste du denn dein OpenSSH installiert, wie hast du die chroot Umgebung hergestellt, mit PAM? - Bitte beschreibe dein System ein wenig näher, kernel release, distribution etc.

MFG

Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Benutze mandrake 10.0, kernel 2.6.3-7. openssh war in der distri amstart, hab da also kaum in der .config was ändern müssen.
PAM sagt mir nix, was dir jetzt wahrscheinlich was sagen wird^^
scponly ist version 3.11, und installation war problemlos über tar. hab neuen benutzer über "make jail" angelegt, bzw auch über "setup_chroot.sh", also für nicht gechrooteten benuter. in beide user-accounts logg ich mich remote über ssh ein, motd wird auch brav angezeigt, aber mehr ist dann nicht....
Hm, blosses scp ist natürlich nicht meine absicht. die benutzer sollen schon eine shell haben, in ihren verzeichnissen surfen, und natürlich auch up/downloaden können.


prost
ralph



/zwangsläufig edit, weil no doppelposts.....nc/


also scponly kopiert jede menge zeugs in das /home verzeichnis des neu angelegten benutzers. unter anderem die befehle ls, mkdir, rm, mv.....also NUR scp kann so nicht ganz stimmen

wenn ich über shell zum neu angelegten bnutzer wechsel, folgendes:

Zitat

[root@localhost neutest]# su neutest

WinSCP: this is end-of-file:0
ls
WinSCP: this is end-of-file:0
egal welcher befehl, immer nur
WinSCP: this is end-of-file:0

dasselbe bild natürlich über shh-login. also dat kann ja nicht der sinn von scponly sein ^^
bin für hilfe oder denkanstoss fett dankbar!
ralph

#4 Warum WinSCP? - Warum nicht putty?, scp kopiert Dateien nichts weiter. Hast du das ganze von einem GNU/Linux zum einem GNU/Linux ausprobiert - wie geht es denn da? Also über ssh localhost zb.

MFG

Georg Bege
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 von/zu GNU/linux dasselbe.
wenn ich die default shell ändere von scponlyc nach bash zb, hab ich ne normale umgebung, wobei dann aber natürlich der witz flöten geht mit gechrootetem user.
irgendwie scheint scponlyc was zu vermissen bei mir.....

#6 * net-misc/scponly
Latest version available: 3.11-r2
Latest version installed: [ Not Installed ]
Size of downloaded files: 81 kB
Homepage: http://www.sublimation.org/scponly/
Description: A tiny pseudoshell which only permits scp and sftp
License: as-is

Dies belegt das was ich dir vorher gesagt hab. Demnach ist doch scponly nicht das was du willst. Ich würde dir empfehlen das ganze mit PAM umzusätzen - bedenke das die chroot Umgebung alle Dateien enthalten muss die für eine funktionale UNIX/POSIX Umgebung benötigt werden - von device files bis hin zu libraries usw. usw. usw.

PAM selbst hat sehr viele funktionen:

* sys-libs/pam
Latest version available: 0.77-r1
Latest version installed: 0.77-r1
Size of downloaded files: 3,551 kB
Homepage: http://www.kernel.org/pub/linux/libs/pam/
Description: Pluggable Authentication Modules
License: PAM

* sys-apps/pam-login
Latest version available: 3.14
Latest version installed: 3.14
Size of downloaded files: 137 kB
Homepage: http://www.thkukuk.de/pam/pam_login/
Description: Based on the sources from util-linux, with added pam and shadow features
License: GPL-2

... es funktioniert gut aber du müßtest dir wohl noch mehr wissen aneignen bevor das fehlerlos läuft.

MFG

Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 jo, ich sehs ein, scponly is nich das was ich suche ;o)

bin auf http://chrootssh.sourceforge.net/index.php aufmerksam geworden.
kennt das jemand? also das sperrt einen gechrooteten user ein. tja, und da wäre ich auch schon. wie geht das mit dem chrooten? muss ich erst einen user anlegen unter /home/user und den dann chrooten? oder wie? ich find einfach keine coolen tutorials wo ich ne anleitung zu chroot finde, die ich schnalle!!

ach, und hat jemand vielleicht eine sinnvolle sshd_config, die er hier mal abposten würde? danke


ralph

#8 ich denke schon, dass scponly das ist, was du suchst (außer du willst sehr viele verschiedene befehle, die scponly nicht unterstützt, integrieren)

zu winscp & scponly:
-> WinSCP 2.0 compatibility

" This is only a problem when you are also using WinSCP compatibiliy,
because WinSCP will attempt to run "groups" upon connection initialization.

You have three choices:
- you can either put /bin/sh in your jail, which is a security problem
- you can deselect "lookup user groups" in the WinSCP configuration
- you can "make groups" using the provided groups.c and move the fake
groups program into your chroot.
"

greez