scp restricted shell?

 ( qzy | 2004. október 4., hétfő - 13:14 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sziasztok!

Érdekelne, hogy ki hogyan oldja meg azt a problémát, hogy ha egy host gépen azt szeretném, hogy a userek ne ftp-vel, hanem scp-vel töltsenek, akkor ne tudjanak ssh-val parancsot végrehajtani (csak nagyon korlátozott mértékben) és csak a saját home könyvtárukat lássák. Próbáltam az osh-t, nem az igazi, nem is nagyon supportált. Bash -r szintén nem jó. Csináltam olyat is, hogy a bejelentkezéskor chroot, ahol egy kövér busybox várja a user-t. Ez nem rossz, de nem is jó, pl. ha szeparálni akarom a usereket, akkor mindig on-the-fly kell létrehozni a chroot jail-t, ami lassú. Csináltam patch-et a bash-hez, ami a nem kívánt parancsokat elfogja, de ez sem tetszik.

Tehát, tudtok-e olyan _egyszerű_ megoldásról, mint amilyet a proftpd-vel lehet csinálni? Bonyolult megoldás - mint látható - van, úgyhogy az annyira nem érdekel.

Köszi,
Bálint

rssh? [url]http://www.pizzashack.org/rssh/index.shtml[/url]

[quote:395f99bb7e="kpl55"]rssh? [url]http://www.pizzashack.org/rssh/index.shtml[/url][/quote:395f99bb7e]

Ez szimpatikusnak tűnik. Köszönöm.

Üdv: Bálint

esetleg még scponly

sshd/sftp... :wink:

[quote:065b0ae5dd="hunger"]sshd/sftp... :wink:[/quote:065b0ae5dd]

Ezt lehet úgy konfigurálni, hogy ssh terminál belépést nem engedélyez csak sftp-t :?:

[quote:1dda5356ef="kpl55"][quote:1dda5356ef="hunger"]sshd/sftp... :wink:[/quote:1dda5356ef]

Ezt lehet úgy konfigurálni, hogy ssh terminál belépést nem engedélyez csak sftp-t :?:[/quote:1dda5356ef]

igen, ehhez kell átállítani a felhasználó shelljét valami furfangosra... pl. scponly pont erre van kitalálva (lehet chrootolni is)

[quote:54a5dbecaa="congo"][quote:54a5dbecaa="kpl55"][quote:54a5dbecaa="hunger"]sshd/sftp... :wink:[/quote:54a5dbecaa]

Ezt lehet úgy konfigurálni, hogy ssh terminál belépést nem engedélyez csak sftp-t :?:[/quote:54a5dbecaa]

igen, ehhez kell átállítani a felhasználó shelljét valami furfangosra... pl. scponly pont erre van kitalálva (lehet chrootolni is)[/quote:54a5dbecaa]

Viszont emlékeim szerint ez még nem oldja meg, hogy csak a home látszódjék. ("scp tavoligep:/etc/akarmi.conf .")

A chroot ezt már megcsinálja, viszont annál pár libraryt minden egyes felhasználó könyvtárába be kell másolni kézzel. Symlink nem jó, mert chroot után nem fog sehova mutatni. Hardlink jó, ha történetesen egy partíción van a /home, a /lib és esetleg a /usr/lib, ami szervernél ritka.

Kétségkívül működik, de nem szép megoldás. Ha frissülnek a libek a rendszeren, a felhasználók könnyen hoppon maradhatnak. Viszont egyszerű, elegáns megoldást én sem találtam.

emiatt nem használom én sem :(