Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-02-11 00:29:02

  Raptoor2 - Użytkownik

Raptoor2
Użytkownik
Zarejestrowany: 2017-08-22

użytkownik z brakiem dostępu poza swój katalog

hej, mam mały problem

chciałbym użyczyć troche miejsca na moim vps znajomemu, jednakże mam mały problem

otóż chciałbym aby znajomy zaraz po zalogowaniu poprzez protokół sftp lub też ssh był w w swoim domowym katalogu i nie mógł go opuścić, podglądać zawartości plików konfiguracyjnych np nginxa itd

jakie rozwiązanie mi polecicie?

Offline

 

#2  2018-02-11 00:42:04

  noyo - Użytkownik

noyo
Użytkownik
Skąd: Mazury
Zarejestrowany: 2014-05-06
Serwis

Re: użytkownik z brakiem dostępu poza swój katalog

Tworzysz użytkownika np. kolega , nadajesz mu katalog domowy.

Edytujesz linie związaną z nim w pliku /etc/passwd i zmieniasz /bin/bash na /dev/null

Następnie dodajesz w pliku /etc/ssh/sshd_config na końcu te linie:

Kod:

Subsystem sftp internal-sftp       
Match User kolega        
    ChrootDirectory %h  
    AllowTCPForwarding no          
    X11Forwarding no    
    ForceCommand internal-sftp    
Match all

Restartujesz ssh i działa.

Ostatnio edytowany przez noyo (2018-02-11 00:43:38)

Offline

 

#3  2018-02-11 00:55:16

  Raptoor2 - Użytkownik

Raptoor2
Użytkownik
Zarejestrowany: 2017-08-22

Re: użytkownik z brakiem dostępu poza swój katalog

rozumiem czyli jeżeli będe chciał dodać więcej niż jednego uzytkownika na takiej zasadzie to musze

dodać kilka wpisóœ do sshd tak?

Subsystem sftp internal-sftp       
Match User kolega       
    ChrootDirectory %h 
    AllowTCPForwarding no         
    X11Forwarding no   
    ForceCommand internal-sftp   
Match all

Subsystem sftp internal-sftp       
Match User kolega2       
    ChrootDirectory %h 
    AllowTCPForwarding no         
    X11Forwarding no   
    ForceCommand internal-sftp   
Match all

itd

Offline

 

#4  2018-02-11 01:00:51

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: użytkownik z brakiem dostępu poza swój katalog

Chroot w takiej konfiguracji owszem, zadziała, ale daleko w takim środowisku o bezpieczeństwo.

Jeżli ten VPS chodzi na KVM i masz tam własne jajo, to zainteresuj się Apparmorem i biblioteką libpam_appamor.

Ostatnio edytowany przez Jacekalex (2018-02-11 01:06:58)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2018-02-11 01:05:41

  Raptoor2 - Użytkownik

Raptoor2
Użytkownik
Zarejestrowany: 2017-08-22

Re: użytkownik z brakiem dostępu poza swój katalog

problem w tym że po tej konfiguracji przy próbie logowania dostaje komunikat:

Błąd:    Connection reset by peer
Błąd:    Nie można połączyć się z serwerem

Offline

 

#6  2018-02-11 01:07:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: użytkownik z brakiem dostępu poza swój katalog

Raptoor2 napisał(-a):

problem w tym że po tej konfiguracji przy próbie logowania dostaje komunikat:

Błąd:    Connection reset by peer
Błąd:    Nie można połączyć się z serwerem

To zobacz w /var/log/auth.log co jest grane.

Podejrzewam z resztą, że aktualna powłoka pacjenta nie widnieje w /etc/shells.

Edytujesz linie związaną z nim w pliku /etc/passwd i zmieniasz /bin/bash na /dev/null

/etc/passwd się NIE EDYTUJE, można w ten sposób uceglić PAM i cały serwer.

Służy do tego magiczna komenda

Kod:

usermod

RTFM:

Kod:

man usermod

NP:

Kod:

root ~> grep pies /etc/passwd
pies:x:1004:1004::/home/pies:/bin/zsh

root ~> usermod pies -s /bin/false

grep pies /etc/passwd
pies:x:1004:1004::/home/pies:/bin/false

Ostatnio edytowany przez Jacekalex (2018-02-11 01:52:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2018-02-11 01:58:00

  Raptoor2 - Użytkownik

Raptoor2
Użytkownik
Zarejestrowany: 2017-08-22

Re: użytkownik z brakiem dostępu poza swój katalog

Tak jak pisałeś wyżej zainteresuje się Apparmorem i libem :)

jak juz robic to porządie, przy okazji sie naucze czegos i nie bede z bezpieczenstwem na bakier

Ostatnio edytowany przez Raptoor2 (2018-02-11 01:58:35)

Offline

 

#8  2018-02-11 09:57:48

  noyo - Użytkownik

noyo
Użytkownik
Skąd: Mazury
Zarejestrowany: 2014-05-06
Serwis

Re: użytkownik z brakiem dostępu poza swój katalog

Niestety nie zawsze ma sie co sie chce, a innego rozwiązania bez KVM nie znalazłem.

Jacekalex napisał(-a):

Podejrzewam z resztą, że aktualna powłoka pacjenta nie widnieje w /etc/shells.

Dokładnie, zapomniałem dodać.

Jeszcze te linie w /etc/ssh/sshd_config czasem się różnią zależy jaki system.

Ostatnio edytowany przez noyo (2018-02-11 10:00:08)

Offline

 

#9  2018-02-11 14:22:18

  Raptoor2 - Użytkownik

Raptoor2
Użytkownik
Zarejestrowany: 2017-08-22

Re: użytkownik z brakiem dostępu poza swój katalog

mój vps oparty jest o technologie kvm
dodatkowo takie rozwiazanie moglby sie przydac takze na serwerze dedyowanym

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)