begrenzter SSH-Zugang?

[roreh]

Hallo liebe Rootserver-Gemeinde,

ich hoffe doch stark, daß man mir diesmal helfen kann 8)

Ich möchte jemandem einen SSH-Zugang gewähren, aber nur auf sein Vezeichnis web5.
Wie stell ich das an? Hab Webmin und Confixx Pro drauf.

Gruß Roreh :o)

[captaincrunch]

ch möchte jemandem einen SSH-Zugang gewähren, aber nur auf sein Vezeichnis web5.
Wie stell ich das an? Hab Webmin und Confixx Pro drauf.

Ich glaube kaum, dass du das unter diesen Umständen möchtest ... Shell-Zugang ist böse :twisted:

Mal ernsthaft : Wenn du dich mal sehr ernsthaft damit auseinandergesetzt hast, wie du ssh ins chroot bringen kannst, könntest du dir die Möglichkeit noch mal gut durch den Kopf gehen lassen ...

[silenthill]

Vielleicht möchte er ja dem web5 gewähren einen Chat am laufen zu haben
zb freeware-chat
dafür braucht man ja auch shell zugang um ihn starten stoppen und rebooten zu können, oder bei fehler einen kill machen zu können.

Das selbe wollte ich auch schon machen, aber da ich keine ahnung hatte wie man einen shell zugang nur auf das verzeichnis des web kunden beschränkt muß ich den chat per hand starten

[kase]

den Shell Zugang NUR auf sein eigenes Verzeichnis zu beschränken ist alles andere als leicht. Vor allem ist es MIT CONFIXX NICHT MÃ?GLICH, wenn ich mich nicht gerade total irre.

Zudem stellt ein SSH Zugang ein großes Sicherheitsrisko dar. Und wenn man dem, der SSH haben soll, so wenig vertraut, dass er nicht die restlichen Sachen sehn soll, dann würde ich ihm erst gar kein Zugang geben.

Sollte nur ein Programm restartet werden, falls dies mal abstürzt, kann ja der "Root" einfach einen Cronjob einrichten...

[roreh]

Alles gut und schön. Des Risikos bin ich mir ja im Klaren.
Ich wollte ja auch nicht wissen wie gefährlich es ist, sondern ob und wie es möglich ist.

Gruß Roreh 8O

[captaincrunch]

Ich wollte ja auch nicht wissen wie gefährlich es ist, sondern ob und wie es möglich ist.

Möglich : Ja.
Wie : ssh im chroot, hatte ich aber auch schon angesprochen ...

[roreh]

Danke Captain 8)

Aber kann mir noch Jemand detailliert erklären wie ich das mache?

Gruß Roreh :P

[captaincrunch]

Nach zwei Minuten googlen dieses hier als relativ guten Einstieg gefunden, genau hab ich's mir zwar nicht angesehen, sieht aber für dein Einsatzgebiet OK aus :
http://tjw.org/chroot-login-HOWTO/

[roreh]

Danke erst mal :-D

werd versuchen das zu verstehen :lol:

Gruß Roreh 8O

[flo]

Ist gar nicht schwer, bei SuSE kannst Du das dann auch über /etc/skel und /usr/sbin/useradd.local automatisieren.

Grüße,

flo.

[klet]

Ich hab das mal gemacht aber wenn ich mich einloggen will mit "su test" kommt nur ein "Sorry" als Ausgabe und das wars. Ich denke der Fehler liegt in der /etc/sudoers -Datei. Die sieht derzeit so aus:

Code: Select all

test  ALL= NOPASSWD: /usr/sbin/chroot /home/test /bin/su - test*

System ist Debian. Kann mir da jemand helfen?

[captaincrunch]

Hast du die sudoers per visudo erstellt ?

[flo]

Code: Select all

zeus:~ # su doedelschaedel
su: user doedelschaedel does not exist

Nachdem bei Dir nur ein "Sorry" kommt, schätze ich also den User test gibt es, leider bei mir auch, deshalb der blöde Benutzername. ;-)

Ich denke, eher, daß das Problem darin liegt, daß Du Dich nciht einloggst, sondern su auf diesen Benutzer machst.

Geh doch mal per SSH auf den Rechner als User "test".

Grüße,

flo.

[klet]

Also ich habe versucht per SSH eine Verbindung aufzubauen aber da kommt wieder nur das "Sorry". Die Veränderungen habe ich auch mit visudo gemacht und auch checken lassen. War alles ok.

[jtb]

Hi,

hat vielleicht einer noch eine Anleitung, wie man eine andere Shell verwenden kann??
Auf den Boot-CDs gibt es doch immer solche mini-Shells, die die ganzen wichtigen Befehel schon eingebaut haben (ls, chmod usw)..
Gibt es eventl. für diese Zwecke sogar spezielle Shells?

[Matthias Diehl]

Ich nehme mal an das die Problematik entsteht, weil die Shadow-Suite benutzt wird, aber die Datei shadow nicht erstellt wird. Den User gibt es zwar im "normalen" Umfeld, aber sobald man in die chroot-shell wechselt gibt es ihn nicht mehr.
Ich habs nur überflogen, denke aber das nur die Erstellung der passwd-Datei innerhalb des chroots nicht ausreicht.