benuter ohne SSH zugriff anlegen????

[user996]

Hallo, ich verwende auf meinem rootserver xlampp für FTP zugang.
Die FTP Benutzer werden mit Yast2 als benutzer angelegt.Allerdings ist
es ( im moment) noch möglich sich mit diesen logindaten sowohl mit einem FTP programm als auf mit putty ssh zugriff auf den server zu haben.Dies möchte ich jedoch nicht.Wie kann ich das einstellen unter Linux 9.1 das manche benutzer/oder gruppen keinen ssh login verwende dürfen/können?.

Also zusammnegfasst ich möchte benutzeranlegen ohen ssh zugriff!

Big thx für eure hilfe

[Roger Wilco]

Also zusammnegfasst ich möchte benutzeranlegen ohen ssh zugriff!

Dem Benutzer einfach keine Shell bzw. /bin/false als Shell zuweisen oder so etwas wie scponly benutzen.

[niemand]

OT und hat nichts mit der Frage zu tun: Es gibt kein Linux 9.1! Man möge mich als Erbsenzähler bezeichnen, aber das kann ich einfach nicht unkommentiert lassen.

cu

[moe``]

sudo verwenden

[user996]

@ Roger Wilco, big thx
das mit bei Shell /bin/false eintragen ist genau das was ich will. Beim einloggen per ssh kommt nun "accsess denied" aber der FTP Login funzt weiterhin.

Nur noch frage hat diese Lösung noch irgend ein schwachstelle oder ist das so sicher???

[Roger Wilco]

Nur noch frage hat diese Lösung noch irgend ein schwachstelle oder ist das so sicher???

Die Benutzer könnten noch den FTP-Daemon exploiten, wenn es eine anfällige Version ist ;)
Aber per SSH können sie sich auf jeden Fall nicht mehr einloggen, weil die Shell nichts macht, ausser der Boolschen Wert 'false' zurückzugeben, was von SSH als 'Zugriff verweigert' interpretiert wird.

[user996]

also ich will halt durch das abschalten oder deaktiviern des SSH zugangs für bestimmte benutzer sicherstellen das die nur FTP benutzen könne.
Habe gestest, wenn ich SSH auf false stellen geht auch der Login mit WinSCP nicht mehr. Ist also eingentlich alles so wie ich es will.

Währe es einem Hacker oder Cracker mit einem normalen benutzer möglich z.b. ein rootkit zu installieren und auszuführen?

FTP-Daemon exploiten muss ich ehrlich zugeben das ich nicht genau weis was das überhaupt ist! Allerdings läuft der FTP Login über lampp (proftpd)
und ich denkmal das das so sicher ist.In yast2 habe ich den FTP usern alles was ich ihnen an rechten wegnehmen kann weggenommen.

[darkspirit]

Wenn Dienste fürs Internet bei dir Schwachstellen haben, kann auch ein entfernter Angreifer im schlimmsten Fall Root-Zugriff bekommen, Rootkits installieren und sonstwas mit deinem System anstellen. Komplette Sicherheit gibt es nicht, außer, du ziehst das Netzwerkkabel.
Was nun deinen FTPD angeht, bist du mit der aktuellen Konfiguration erstmal auf der sicheren Seite, solange du den Daemon aktuell hältst. Ein entfernter Angreifer kann nur dann zu Root-Rechten kommen, wenn sowohl dein FTPD als auch ein unter Root laufender weiterer Dienst fehlerhaft ist bzw. dein Kernel ungepatchte Bugs beinhaltet.

[user996]

ok, bei mir ist alle auf dem neuesten stand, prüfe alle 2 tage via yast2 online update ob alle patches installiert sind.Und die xampp version ist auch aktuell.

http://www.root-tutorials.de.vu

[darkspirit]

Alle 2 Tage kann evtl. zu spät sein, wenn eine neue und kritische Lücke entdeckt wird. Lies lieber Bugtraq oder etwas vergleichbares und update zusätzlich immer sofort dann, wenn du von einer neuen Schwachstelle in einem deiner Dienste hörst.

[user996]

Bugtraq? was das, davon habe ich noch nie was gehört?Mir hat man gesagt ich soll/muss mit yast2 einfach auf Online Update schauen obs updates gibt und wenn ja installieren.

[tomek]

Ist das denn so schwer? In die /etc/ssh/sshd_config einfügen:

Code: Select all

DenyUsers Anton

User Anton darf sich nicht mehr per SSH einloggen.

[darkspirit]

Bugtraq? was das, davon habe ich noch nie was gehört?Mir hat man gesagt ich soll/muss mit yast2 einfach auf Online Update schauen obs updates gibt und wenn ja installieren.

Ja, aber woher willst du wissen, wann es Updates gibt, wenn du keine Mailinglist verfolgst..

@Tomek: Einfach die Shell auf /bin/false setzen ist IMHO einfacher und flexibler ;)

[user996]

habe strato root, da ist beim onlineupdate ein update server von denen eingetragen von dem verfügbar updates geladen werden :)

[Roger Wilco]

habe strato root, da ist beim onlineupdate ein update server von denen eingetragen von dem verfügbar updates geladen werden :)

Aber wie schnell dein Provider die Updates bereitstellt weißt du auch nicht.
Wenn ich du wäre, würde ich auch die Bugtraq verfolgen...