Home-Verzeichnis darf nicht verlassen werden

Rogge · 23. Juni 2010 um 12:42

Hallo,

Für einen FTP-Zugang wurde ein bestimmtes Verzeichnis angegeben, dass der User sehen soll, nachdem er sich angemeldet hat. Jetzt soll aber verhindert werden, dass der User dieses Verzeichnis verlassen kann, also in die übergeordneten Verzeichnisse wechseln kann.

Wie kann ich das einrichten? Wenn ich mich per WinSCP mit dem User einlogge, will ich also nur ein „/“ im Verzeichnis-Pfad sehen dürfen.

Vielen Dank!

Rogge · 23. Juni 2010 um 12:47

Mir ist gerade etwas aufgefallen…

Der User kann sich per FTP und SFTP einloggen. Wenn das Login per FTP stattfindet, ist es so, wie ich das will. Nur per SFTP kann der User die Verzeichnisse nach oben hin wechseln.

Wie kann ich den SFTP-Zugang entweder abschalten oder eben Restriktionen einstellen?

Thomas_Fischbach_ac0842 · 23. Juni 2010 um 14:34

Hallo,

das Zauberwort heißt „chroot“:

http://de.wikipedia.org/wiki/Chroot

Bei unterschiedliche Linuxdistributionen mit unterschiedlichen FTP-Servern gibt es in der Regel entsprechende Optionen. So kann dies z.B. bei aktuellen OpenSuSEs und dem „vsftp“ per Klick erledigt werden, in anderen Fällen ist ein wenig Handarbeit nötig.

mfg

tf

Rogge · 23. Juni 2010 um 15:51

Hi Thomas,

entschuldige, aber das hilft mir leider nicht weiter. Ich bin nicht so Unix-fixiert, dass ich genau wüsste, was ich zu tun habe.

Das was da bei Wiki steht ist für mich nur Kauderwelsch.

Ich hatte sowas einfaches erwartet wie…

>set -home „/var/www/dein_verzeichnis“ -user „user“ [ENTER]
>set -restircted_to_homeverzeichnis -user „user“

Ehrlich, ich hab kein Plan von der ganzen Materie und leider auch keine Zeit, mich durch 1000 Seiten zu lesen, um am Ende sowas wie oben ausführen zu können. Darum wäre ich sehr dankbar, für ein bisschen Hilfe, ohne auf andere Seiten verwiesen zu werden, die eher was für Fachleute bereithalten. Dafür bin ich zu viel Amateur um das zu verstehen und für mich wichtiges zu selektieren.

Danke!

Liebe Grüße,
Rogge

Rogge · 23. Juni 2010 um 16:20

Ok, ich habs selbst gelöst.

Nach ein bisschen googeln habe ich gefunden, dass die User in einer bestimmten Datei unter Unix gelistet werden. Die hab ich mal angesehen, und siehe da. Das Homeverzeichnis stand drin. Die Einträge sehen so aus…

arnold:x:501:100:Arnold:/home/arnold:/bin/bash

Bei den Nutzern, die sich nicht über SFTP einloggen können, muss es so aussehen…

arnold:x:501:100:Arnold:/home/arnold:/sbin/nologin

Warum auch immer, aber es geht, und mehr wollte ich nicht!

Vielen Dank trotzdem!

Anonym_32c745b282b3 · 23. Juni 2010 um 23:04

scponly
Bist du sicher, dass es dann wirklich ein scp zugang ist? Oder stellt dein Client automatisch auf ftp um?

Ich hab mal sowas gebastelt, da gab es eine extra ssh version dafür, in die passwd musste dann folgendes:

username:x:1008:1010::/home/web_users/username//upload:/usr/sbin/scponlyc

Hier ist der doppelte / als Trennzeichen für echtes Home-Dir und das, was der user sieht. scponly ist hier das google Stichwort

Rogge · 24. Juni 2010 um 11:06

Hallo David,

ich hatte das mit WinSCP ausprobiert. Wenn ich mich mit den Userdaten am Server anmelden möchte, klappt das nur, wenn ich „FTP“ ausgewählt habe. Bei „SFTP“ und „SCP“ wird die Verbindung immer mit Fehlermeldung geschlossen, also eine Anmeldung ist nicht möglich.

Wie bereits gesagt, ich kenne mich damit gar nicht aus und ich bin einfach nur froh, dass es jetzt soweit klappt.

Grüße,
Rogge