114801
Jul 03, 2017, updated at 15:30:39 (UTC)
7872
10
0
SSH: Benutzer nur Vollzugriff in einem Verzeichnis gestatten
Jemand möchte für eine andere Person ein Verzeichnis auf Debian 8 Vollzugriff geben damit dieser dort Add-On's für ein Spiel ablegen kann, natürlich ohne weitere Rechte für die Konsole 
Folgendermaßen könnte es aussehen:
Verzeichnis: /home/spiel1/addons
spiel1 wäre logischerweise das Konto und die Gruppe, der neue Benutzer "Hans" soll nur in den Ordner addons Zugriff haben dürfen und den Inhalt natürlich auch per SFTP sehen dürfen, ich hatte damals was gehabt wo man zwar Benutzer "einsperren" konnte, aber das bugt inzwischen rum.
So gesehen müsste der Benutzer "Hans" in die Gruppe spiel1 wo spiel1 einen Pfad für "Hans" vorgibt und dieser dort landet.
Ich fand im Netz zwar das, was ich im Prinzip auch hatte, aber der Benutzer "Hans" kann sich beispielsweise mit WinSCP nicht einloggen...
Hier der Original-Auszug (sshd_config):
Der neue Benutzer wurde folgendermaßen angelegt:
Natürlich wurde SSH auch neu gestartet
Vielen Dank.
OT: Schön wäre es, wenn root einen anderen Port bekommen könnte wobei ein Sudoer besser sein sollte 
Folgendermaßen könnte es aussehen:
Verzeichnis: /home/spiel1/addons
spiel1 wäre logischerweise das Konto und die Gruppe, der neue Benutzer "Hans" soll nur in den Ordner addons Zugriff haben dürfen und den Inhalt natürlich auch per SFTP sehen dürfen, ich hatte damals was gehabt wo man zwar Benutzer "einsperren" konnte, aber das bugt inzwischen rum.
So gesehen müsste der Benutzer "Hans" in die Gruppe spiel1 wo spiel1 einen Pfad für "Hans" vorgibt und dieser dort landet.
Ich fand im Netz zwar das, was ich im Prinzip auch hatte, aber der Benutzer "Hans" kann sich beispielsweise mit WinSCP nicht einloggen...
Der Server lehnte die SFTP Verbindung ab, lauscht aber auf den FP-Port.
Wollen Sie statt SFTP eine FTP Verindung aufbauen? Sie sollten eine verschlüsselte Verbindung bevorzugen.Hier der Original-Auszug (sshd_config):
Subsystem sftp internal-sftp
Match Group gmodserver
ChrootDirectory /home/gmodserver/serverfiles/garrysmod/addons
ForceCommand internal-sftp
AllowTCPForwarding noDer neue Benutzer wurde folgendermaßen angelegt:
adduser --no-create-home NAME_DES_USERS
adduser NAME_DES_USERS gmodserverVielen Dank.
OT: Schön wäre es, wenn root einen anderen Port bekommen könnte
wobei ein Sudoer besser sein sollte
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 342302
Url: https://administrator.de/contentid/342302
Printed on: April 19, 2024 at 07:04 o'clock
10 Comments
Latest comment
Moin,
schön wäre es wenn root-remote-login einfach abgeschaltet is, dann is dir der Port egal. Wenn du dich anmelden willst dann erst nen normaler User und per su zu root werden!
Für das andere: Warum nicht ganz einfaches FTP? Schon braucht derjenige keinen Shell-Zugriff und du bist raus aus der Nummer... dann noch sein Home-Dir korrekt setzen und der bleibt auch in dem Verzeichnis (und je nach berechtigung kann er dann eigene Verzeichnisse anlegen oder nicht)
schön wäre es wenn root-remote-login einfach abgeschaltet is, dann is dir der Port egal. Wenn du dich anmelden willst dann erst nen normaler User und per su zu root werden!
Für das andere: Warum nicht ganz einfaches FTP? Schon braucht derjenige keinen Shell-Zugriff und du bist raus aus der Nummer... dann noch sein Home-Dir korrekt setzen und der bleibt auch in dem Verzeichnis (und je nach berechtigung kann er dann eigene Verzeichnisse anlegen oder nicht)
Damals hatte ich in etwa das auch gehabt, ist lange her
Naja, muss mal schauen wie es mit FTP aussieht, auch schon lange her
Wie erwähnt soll und darf der Nutzer nur in dem erwähnten Verzeichnis Zugriff haben...
Die Person hat ein fast frisches Debian 8.8 mit Pleask 17 installiert, nur ich fand zu Plesk nichts weiteres, mit root kann man sich jedenfalls nicht anmelden... FTP scheint demzufolge installiert zu sein, da nach einem Passwort gefragt wird...
Edit: konnte das Passwort im Terminal ändern (support.plesk.com/hc/en-us/articles/213381869-How-to-get-or-reset-password-for-admin-account-in-Plesk) aber dachte dass mindestens eine Lizenz vom Webanbieter dabei wäre, ist aber nicht so...
Naja, muss mal schauen wie es mit FTP aussieht, auch schon lange her
Wie erwähnt soll und darf der Nutzer nur in dem erwähnten Verzeichnis Zugriff haben...
Die Person hat ein fast frisches Debian 8.8 mit Pleask 17 installiert, nur ich fand zu Plesk nichts weiteres, mit root kann man sich jedenfalls nicht anmelden... FTP scheint demzufolge installiert zu sein, da nach einem Passwort gefragt wird...
Edit: konnte das Passwort im Terminal ändern
(support.plesk.com/hc/en-us/articles/213381869-How-to-get-or-reset-password-for-admin-account-in-Plesk) aber dachte dass mindestens eine Lizenz vom Webanbieter dabei wäre, ist aber nicht so...
https://wiki.archlinux.org/index.php/SFTP_chroot
Klappt einwandfrei, wenn die chroot-dirs root gehören (chown root:root /dir/username) und du die Login-Shell auf
Gruß
Klappt einwandfrei, wenn die chroot-dirs root gehören (chown root:root /dir/username) und du die Login-Shell auf
/usr/sbin/nologin oder /bin/false festlegst.Gruß
Werde mich da mal durchwühlen
Wenn der Nutzer folgendermaßen sein müsste, damit dieser sich einloggen kann, kann man nicht den Addon-Ordner nicht linken?
Beispiel:
/home/hans/<link-zu-addons> (Ziel: /home/gmodserver/serverfiles/garrysmod/addons)
Wenn der Nutzer folgendermaßen sein müsste, damit dieser sich einloggen kann, kann man nicht den Addon-Ordner nicht linken?
Beispiel:
/home/hans/<link-zu-addons> (Ziel: /home/gmodserver/serverfiles/garrysmod/addons)
Bitte die verlinkte Seite ganz bis unten lesen, besonders den letzten Abschnitt (
Write access to chroot dir). Dort steht alles ausführlichst, auch dein Fall.
Danke, die Anleitung ist ein guter "Denkanstoß" 
Die Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
Die Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
Zitat von @114801:
Die Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
Dann liegt deine authorized_keys nicht im Chroot-Home des UsersDie Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
https://stackoverflow.com/questions/23448900/public-key-authorization-on ...
Das Log unter /var/log gibt dir genügend Anhaltspunkte was schief läuft.
Hatte ich gehabt, klappte weder mit erzeugten Schlüsseln via Console noch mittels Puttygen nicht. Angeblich muss der bzw. die Schlüssel woanders abgelegt werden sonst kann der "eingesperrte" Benutzer sich nicht anmelden
-> wiki.archlinux.org/index.php/SFTP_chroot#Fixing_path_for_authorized_keys
Vor vielen Jahren hatte ich auch dies erfolgreich umsetzen können, aber nach vielen Jahren vergisst man auch wieder leider was...
-> wiki.archlinux.org/index.php/SFTP_chroot#Fixing_path_for_authorized_keys
Vor vielen Jahren hatte ich auch dies erfolgreich umsetzen können, aber nach vielen Jahren vergisst man auch wieder leider was...
Wie sind denn die Berechtigungen deiner ~/.ssh/authorized_keys ? Sollte nicht grad Welt-Schreibbar sein...
Ich steige bald nicht mehr durch
Welche Berechtigung erhält .ssh und die darauf folgenden Dateien?
Aktuelle Variante: root als Benutzer + Gruppe, chmod ist nun komplett 600, so wie es in einer Anleitung stand, aber auch damit klappt es nicht...
Welche Berechtigung erhält .ssh und die darauf folgenden Dateien?
Aktuelle Variante: root als Benutzer + Gruppe, chmod ist nun komplett 600, so wie es in einer Anleitung stand, aber auch damit klappt es nicht...
