Sziasztok,
Felmerült bennem az igény, hogy a felhasználóimnak SFTP és/vagy SCP hozzáférést adjak chrootolva. A dolog pikantériája, hogy ami megoldást találtam (rssh / scponly) az két ponton bukik meg:
- be kell másolni egy vagon fájlt a jailbe
- a könyvtárat rootnak kell birtokolnia.
Ismertek-e olyan megoldást, ami a fenti problémák nélkül, kvázi "FTP style" megoldja a feladatot? Commercial megoldások is érdekelnek.
Köszi
- 1803 megtekintés
Hozzászólások
Ez miért okoz gondot a felhasználóidnak? Mivel ez nem csak úgymond virtuális chroot ott kell lennie, amire az scponlynak/sftp-servernek szükséges van. Régóta ilyet kapnak a felhasználóink és nincs problémájuk vele.
- A hozzászóláshoz be kell jelentkezni
be kell másolni egy vagon fájlt a jailbe
esetleg hardlink? mondjuk nem tudom, hogy ez mennyire eletkepes enterspajz kornyezetben...
- A hozzászóláshoz be kell jelentkezni
Nem szeretném, ha a felhasználóim mindenféle olyan dolgot lássanak ott ami összezavarhatja őket. Magyarán butajúzer-FTP replacement kellene.
- A hozzászóláshoz be kell jelentkezni
ssh-t is akarsz? Ha nem, akkor miert nem ftps-t hasznalsz?
- A hozzászóláshoz be kell jelentkezni
Nem akarok FTP protokollt látni semmiféle formájában, ha egy mód van rá. De lehet, hogy mégis az lesz.
- A hozzászóláshoz be kell jelentkezni
Pedig ha file-ok biztonsagos mozgatasa a cel, akkor sokkal robosztusabb es rugalmasabb rendszert kapsz egy vsftpd-vel, ami csak tls-t enged (esetleg csak kliens oldali cert-el), virtualis userekkel, stb..., mint egy ssh-t hekkelo megoldassal, valamint a biztonsag is ugyan akkora lesz mindket esetben. (sot en szemely szerint sokkal jobban bizom a vsftpd-s sracban, mint a tobbi ssh-t hekkeloben)
- A hozzászóláshoz be kell jelentkezni
FTPSre hogy is írunk normális tűzfalat? Mert azt még nem sikerült kiderítenem.
- A hozzászóláshoz be kell jelentkezni
Csak passziv modot engedj, korlatozd a data port range-t valahova, es azt engedd at, ennyi.
- A hozzászóláshoz be kell jelentkezni
Vágyaimban szerepel az a protokol, amelyikkel lehet fájlokat mozgatni mindenféle tartományok használata nélkül, egy porton megállapítva a szabályokat. Ezért (is) gondoltam az SSH fölötti megvalósításokra. Persze aztán FTPS lesz belőle, mert senki nem valósított meg még standalone SFTP szervert, de hát akkor is jó lenne.
- A hozzászóláshoz be kell jelentkezni
rssh-t egyszer hasznaltam, nem kellett egyik dolgot sem csinalni szerintem
- passwd-ben beallitod, hogy rssh legyen a shell
- rssh.conf-ban usernek milyen szintu joga legyen a konyvtarhoz, illetve a config bitekkel, hogy chrootolja is bele.
- A hozzászóláshoz be kell jelentkezni
Hasznaltam RSSH-t, nagyon konnyu osszerakni, egyaltalan nem kell "a könyvtárat rootnak birtokolnia".
A mai OpenSSH mar alapbol tudja a chrootot, nem kell a bohockodas valami trukkos shellel mint az RSSH. Viszont ezt nem lehet normalisan automatizalni, mert kezzel kell a /etc/ssh/sshd_conf-ot vezetni, no backend support (fixme).
Ha "FTP style" kell, akkor hasznald az FTPS-t. ProFTPD-vel fel ora alatt megvan, nullarol, sql-ben a userekkel. Ezzel csak az a gaz, hogy az FTP protokoll egy rakas hulladek, NAT/tuzfalakon csak azert megy at, mert az oprendszerek ki tujak olvasni a kontroll streambol hogy epp milyen random portokon akarja atvinni az adatot. Csakhogy ez a titkositassal ugrott. NAT-olt kliens pl. csak passziv FTPS-t fog tudni, a szerveren meg meg kell nyitni egy jokora portranget.
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Megnézem. Sajnos a legutóbbi összefutásom a ProFTPD-vel úgy végződött, hogy az Istennek nem tudtam rávenni hogy hagyja figyelmen kívül a .ftpaccess fájlt. Ettől függetlenül szívesen szabadulnék meg az FTPtől úgy ahogy van.
Szerk: az OpenSSH chrootja jónak tűnik, kiosztok a usereknek egy groupot, úgy elvileg jó lesz. Megnézem.
- A hozzászóláshoz be kell jelentkezni
# find scponly/ -mount | wc -l
50
# du -sx scponly/
6668 scponly/
Nem olyan sok ez.
- A hozzászóláshoz be kell jelentkezni