5
SFTP oder SCP-Serverzugriff ohne root aber mit "sudo" über einen Dateimanger von Linux
Hallo Community,
ich habe für einen Windows-Client einen sftp-Zugriff auf einen Linux-Server (Ubuntu 14.04) über WinSCP eingerichtet. Ziel dabei war es, dies ohne root-Benutzer zu ermöglichen. Dies wurde so gelöst, dass der Benutzer nur einen Serverzugriff über ssh mit ssh-Schlüssel und Passprhase eingerichtet bekommen hat und dieser Benutzer per "sudo" arbeiten kann. Dank einer Anleitung mit einer kleinen Ergänzung gelang dies auch mit dem Dateimanger WinSCP. Es musste nur folgendes in der /etc/sudoes.tmp hinzugefügt werden:
benutzernamer ALL=NOPASSWD: /bin/su -c /usr/lib/openssh/sftp-server
So kann man nun auch Verzeichnisse erstellen und Dateien verschieben, ohne mit dem Benutzer root zu arbeiten, wenn auch mit root-Rechten.
Danach stellten sich mir 2 Fragen zu denen ich gerne eine Antwort hätte:
1. Diese Methode scheint mir doch sicherer zu sein wie z.B. bei Arbeiten im Webverzeichnis den Benutzer der Gruppe des Apache-Webservers "www-data" hinzuzufügen und der Gruppe Bearbeitungsrechte zu geben, da man damit auch den Webserver ein generelles Schreibrecht ermöglicht. Der Benutzerzugriff über ssh-Schlüssel und Passphrase ist relativ sicher, auch wenn er mit sudo den sftp-Server startet um damit für die Session root-Rechte erlangt. Habe ich hier etwas übersehen. Wie seht Ihr das?
2. Wie muß ich einen Dateimanger unter einem LinuxClient ansprechen um dieses auch von Linux zu ermöglichen?
Vielen Dank schon mal für Euer Wissen
Gruß
Christofer
ich habe für einen Windows-Client einen sftp-Zugriff auf einen Linux-Server (Ubuntu 14.04) über WinSCP eingerichtet. Ziel dabei war es, dies ohne root-Benutzer zu ermöglichen. Dies wurde so gelöst, dass der Benutzer nur einen Serverzugriff über ssh mit ssh-Schlüssel und Passprhase eingerichtet bekommen hat und dieser Benutzer per "sudo" arbeiten kann. Dank einer Anleitung mit einer kleinen Ergänzung gelang dies auch mit dem Dateimanger WinSCP. Es musste nur folgendes in der /etc/sudoes.tmp hinzugefügt werden:
benutzernamer ALL=NOPASSWD: /bin/su -c /usr/lib/openssh/sftp-server
So kann man nun auch Verzeichnisse erstellen und Dateien verschieben, ohne mit dem Benutzer root zu arbeiten, wenn auch mit root-Rechten.
Danach stellten sich mir 2 Fragen zu denen ich gerne eine Antwort hätte:
1. Diese Methode scheint mir doch sicherer zu sein wie z.B. bei Arbeiten im Webverzeichnis den Benutzer der Gruppe des Apache-Webservers "www-data" hinzuzufügen und der Gruppe Bearbeitungsrechte zu geben, da man damit auch den Webserver ein generelles Schreibrecht ermöglicht. Der Benutzerzugriff über ssh-Schlüssel und Passphrase ist relativ sicher, auch wenn er mit sudo den sftp-Server startet um damit für die Session root-Rechte erlangt. Habe ich hier etwas übersehen. Wie seht Ihr das?
2. Wie muß ich einen Dateimanger unter einem LinuxClient ansprechen um dieses auch von Linux zu ermöglichen?
Vielen Dank schon mal für Euer Wissen
Gruß
Christofer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281324
Url: https://administrator.de/contentid/281324
Printed on: April 26, 2024 at 22:04 o'clock
5 Comments
Latest comment
Moin,
Die Frage ist doch, wogegen Du dich absichern willst? Sicher beinhaltet auch imerm eine Vorgabe, was der Angriffsvektor ist. Soll der User in seinen Rechten beschränkt werden, daß er keien Blödsinn anstellt?
Soll verhindert werden, daß der Account gekapert udn mißbraucht wird?
was soll denn erreicht werden?
Erst dann kann man eine Aussage darüber treffen, was "sicher" ist.
lks
Die Frage ist doch, wogegen Du dich absichern willst? Sicher beinhaltet auch imerm eine Vorgabe, was der Angriffsvektor ist. Soll der User in seinen Rechten beschränkt werden, daß er keien Blödsinn anstellt?
Soll verhindert werden, daß der Account gekapert udn mißbraucht wird?
was soll denn erreicht werden?
Erst dann kann man eine Aussage darüber treffen, was "sicher" ist.
lks
Moin lks,
ja richtig, diese Frage muß man sicherlich stellen. Es geht hierbei nicht um die Möglichkeiten des Benuteraccount einzuschränken, sondern lediglich darum das er von außen gekapert werden könnte.
Es gibt hier nur 2 Leute die überhaupt auf den Server als Benutzer zugreifen können. Ich als Hauptadmin arbeite vornehmlich mit dem Server und greife von einem Linux-Clienten drauf zu. Mein Kollege macht Urlaubsvertretung und ist auch die Rückversicherung wenn ich mal vor den Bus laufen sollte
Er arbeitet unter Windows und kann sich leider nicht mit der Konsole anfreunden. Ich würde aber auch gerne die meisten Arbeiten mit dem Dateimanager von meinem Linux-Clienten machen, da es schon einfacher ist wie auf der Konsole, die ich natürlich auch immer benutze. Bei vielen Verzeichnissen in denen man hin und her wechselt ist es einfach übersichtlicher wenn man mit dem Dateimanager arbeitet und den Server in der 2. Ansicht (bei 2-spaltigen Layout al la Midnight Commander) neben dem Desktop setzen kann.
Gruß
Christofer
ja richtig, diese Frage muß man sicherlich stellen. Es geht hierbei nicht um die Möglichkeiten des Benuteraccount einzuschränken, sondern lediglich darum das er von außen gekapert werden könnte.
Es gibt hier nur 2 Leute die überhaupt auf den Server als Benutzer zugreifen können. Ich als Hauptadmin arbeite vornehmlich mit dem Server und greife von einem Linux-Clienten drauf zu. Mein Kollege macht Urlaubsvertretung und ist auch die Rückversicherung wenn ich mal vor den Bus laufen sollte
Er arbeitet unter Windows und kann sich leider nicht mit der Konsole anfreunden. Ich würde aber auch gerne die meisten Arbeiten mit dem Dateimanager von meinem Linux-Clienten machen, da es schon einfacher ist wie auf der Konsole, die ich natürlich auch immer benutze. Bei vielen Verzeichnissen in denen man hin und her wechselt ist es einfach übersichtlicher wenn man mit dem Dateimanager arbeitet und den Server in der 2. Ansicht (bei 2-spaltigen Layout al la Midnight Commander) neben dem Desktop setzen kann.Gruß
Christofer
Zitat von @Christofer:
Moin lks,
ja richtig, diese Frage muß man sicherlich stellen. Es geht hierbei nicht um die Möglichkeiten des Benuteraccount
einzuschränken, sondern lediglich darum das er von außen gekapert werden könnte.
Moin lks,
ja richtig, diese Frage muß man sicherlich stellen. Es geht hierbei nicht um die Möglichkeiten des Benuteraccount
einzuschränken, sondern lediglich darum das er von außen gekapert werden könnte.
o.k. Dann reichtes, den ssh-zugang mit Zertifikat abzusichern, passphrase vernünftig wählen und passwortanmeldung über ssh deaktivieren!
wichtiig ist, daß ssh auf dem aktuellen stand ist udn die Keys nicht irgendwie anfällig sind. In dr vergangenheit gab es da nämlich einige Pannen. bei ssh, bzw den Distributionen, wenn der Zufall eben nicht "richtiger" Zufall war.
Und wenn DU X-Forwardinh machst, kannst Du ophen weiteres dateimaner auf dem Server aufrufen.
lks
PS. Unter Windows nehme ich für solche Anwendungsfälle cygwin. das bringt schon einen x-server mit.
X-Forwarding wäre natürlich auch eine Lösung an die ich noch nicht gedacht habe. Das werde ich mal ausprobieren.
Danke und Gruß
Christofer
Danke und Gruß
Christofer
Zitat von @Christofer:
X-Forwarding wäre natürlich auch eine Lösung an die ich noch nicht gedacht habe. Das werde ich mal ausprobieren.
X-Forwarding wäre natürlich auch eine Lösung an die ich noch nicht gedacht habe. Das werde ich mal ausprobieren.
Bedenke aber, daß X-Forwarding nur zu Maschinen gemacht werden soltle, denen man vertraut. Ansonsten gibt Du Dein lokales System unter die Kontrolle des externen Systems.
lks