Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » użytkownik z brakiem dostępu poza swój katalog
#1 2018-02-11 00:29:02
Raptoor2 - 
Użytkownik
- Raptoor2
- Użytkownik
- Zarejestrowany: 2017-08-22
użytkownik z brakiem dostępu poza swój katalog
hej, mam mały problem
chciałbym użyczyć troche miejsca na moim vps znajomemu, jednakże mam mały problem
otóż chciałbym aby znajomy zaraz po zalogowaniu poprzez protokół sftp lub też ssh był w w swoim domowym katalogu i nie mógł go opuścić, podglądać zawartości plików konfiguracyjnych np nginxa itd
jakie rozwiązanie mi polecicie?
Offline
#2 2018-02-11 00:42:04
noyo - Użytkownik
Re: użytkownik z brakiem dostępu poza swój katalog
Tworzysz użytkownika np. kolega , nadajesz mu katalog domowy.
Edytujesz linie związaną z nim w pliku /etc/passwd i zmieniasz /bin/bash na /dev/null
Następnie dodajesz w pliku /etc/ssh/sshd_config na końcu te linie:
Kod:
Subsystem sftp internal-sftp
Match User kolega
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Match allRestartujesz ssh i działa.
Ostatnio edytowany przez noyo (2018-02-11 00:43:38)
Offline
#3 2018-02-11 00:55:16
Raptoor2 - Użytkownik
- Raptoor2
- Użytkownik
- Zarejestrowany: 2017-08-22
Re: użytkownik z brakiem dostępu poza swój katalog
rozumiem czyli jeżeli będe chciał dodać więcej niż jednego uzytkownika na takiej zasadzie to musze
dodać kilka wpisóœ do sshd tak?
Subsystem sftp internal-sftp
Match User kolega
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Match all
Subsystem sftp internal-sftp
Match User kolega2
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Match all
itd
Offline
#4 2018-02-11 01:00:51
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: użytkownik z brakiem dostępu poza swój katalog
Chroot w takiej konfiguracji owszem, zadziała, ale daleko w takim środowisku o bezpieczeństwo.
Jeżli ten VPS chodzi na KVM i masz tam własne jajo, to zainteresuj się Apparmorem i biblioteką libpam_appamor.
Ostatnio edytowany przez Jacekalex (2018-02-11 01:06:58)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2018-02-11 01:05:41
Raptoor2 - Użytkownik
- Raptoor2
- Użytkownik
- Zarejestrowany: 2017-08-22
Re: użytkownik z brakiem dostępu poza swój katalog
problem w tym że po tej konfiguracji przy próbie logowania dostaje komunikat:
Błąd: Connection reset by peer
Błąd: Nie można połączyć się z serwerem
Offline
#6 2018-02-11 01:07:48
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: użytkownik z brakiem dostępu poza swój katalog
Raptoor2 napisał(-a):
problem w tym że po tej konfiguracji przy próbie logowania dostaje komunikat:
Błąd: Connection reset by peer
Błąd: Nie można połączyć się z serwerem
To zobacz w /var/log/auth.log co jest grane.
Podejrzewam z resztą, że aktualna powłoka pacjenta nie widnieje w /etc/shells.
Edytujesz linie związaną z nim w pliku /etc/passwd i zmieniasz /bin/bash na /dev/null
/etc/passwd się NIE EDYTUJE, można w ten sposób uceglić PAM i cały serwer.
Służy do tego magiczna komenda
Kod:
usermod
RTFM:
Kod:
man usermod
NP:
Kod:
root ~> grep pies /etc/passwd pies:x:1004:1004::/home/pies:/bin/zsh root ~> usermod pies -s /bin/false grep pies /etc/passwd pies:x:1004:1004::/home/pies:/bin/false
Ostatnio edytowany przez Jacekalex (2018-02-11 01:52:33)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2018-02-11 01:58:00
Raptoor2 - Użytkownik
- Raptoor2
- Użytkownik
- Zarejestrowany: 2017-08-22
Re: użytkownik z brakiem dostępu poza swój katalog
Tak jak pisałeś wyżej zainteresuje się Apparmorem i libem :)
jak juz robic to porządie, przy okazji sie naucze czegos i nie bede z bezpieczenstwem na bakier
Ostatnio edytowany przez Raptoor2 (2018-02-11 01:58:35)
Offline
#8 2018-02-11 09:57:48
noyo - Użytkownik
Re: użytkownik z brakiem dostępu poza swój katalog
Niestety nie zawsze ma sie co sie chce, a innego rozwiązania bez KVM nie znalazłem.
Jacekalex napisał(-a):
Podejrzewam z resztą, że aktualna powłoka pacjenta nie widnieje w /etc/shells.
Dokładnie, zapomniałem dodać.
Jeszcze te linie w /etc/ssh/sshd_config czasem się różnią zależy jaki system.
Ostatnio edytowany przez noyo (2018-02-11 10:00:08)
Offline
#9 2018-02-11 14:22:18
Raptoor2 - Użytkownik
- Raptoor2
- Użytkownik
- Zarejestrowany: 2017-08-22
Re: użytkownik z brakiem dostępu poza swój katalog
mój vps oparty jest o technologie kvm
dodatkowo takie rozwiazanie moglby sie przydac takze na serwerze dedyowanym
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » użytkownik z brakiem dostępu poza swój katalog