vsftpd und benutzer ohne shell

[daster]

Hallo,

ich versuche vsftpd mit benutzern zum laufen zu bekommen, ohne dass diese sich per ssh einloggen können.
doch irgendwie scheint das mit vsftpd nicht zu funktionieren.
ich habe auch die "check_shell=NO" gesetzt, allerdings steht in der FAQ dass es irgendwie nicht mit PAM geht.
hat jemand auch dieses problem oder weiss eine abhilfe?

herzlichen dank,
daster

[oxygen]

Stell die Shell der user auf /bin/false oder /usr/bin/passwd. Dann können sie sich nicht mehr einloggen oder nur noch ihr passwort ändern.

[daster]

hab ich schon versucht, hilft nichts, dann funktioniert ftp auch nicht mehr :(

[flo]

trag bin/false und /bin/passwd in /etc/shells ein, dann müsste das laufen ...

Grüße,

flo.

[daster]

*g* da stehts auch schon drinnen...

[flo]

sorry ... dann weiß ich nicht weiter ... bin uralt und verbockt und setze ProFTPd ein ... ;-)

Prüft vsftpd eventuell die Shells ab?

Grüße,

flo.

P.S.: Aber sicher ist er ja schon, wenn man sich nciht einloggen kann ... ;-)

[kase]

Normalerweise kopiert man /bin/false nach /bin/ftponly und trägt dann /bin/ftlonly in /etc/shells ein, aber wenn man /bin/false in /etc/shells direkt einträgt, müsste es eigentlich auch gehen, auch wenn das nicht gerade so super ist ( /bin/false sollte einfach keine gültige shell sein)

Warum es trotzdem nicht geht, weiß ich leider auch nicht, aber du suchfunktion spurckt auch schon einiges zu dem Thema aus, such mal nach bin + ftponly oder bin + false + ftp

[dodolin]

Servus. Du solltest das über PAM regeln. Poste mal deine /etc/pam.d/(vs)ftp(d). Normalerweise steht da was von

Code: Select all

auth            required        /lib/security/pam_shells.so

drin. Das müsstest du dann entfernen oder auskommentieren. Dann dem User z.B. /bin/false als Shell geben. Fertig.

Eine andere Möglichkeit wäre, dem User weiterhin seine Shell zu lassen und die Optionen AllowUsers, DenyUsers, AllowGroups und DenyGroups in der sshd_config zu nutzen. Wäre doch sicher ein Leichtes, alle reinen FTP-User der Gruppe ftponly (z.B.) zuzuordnen und dieser Gruppe keinen SSH Login zu erlauben.

Man sieht mal wieder: TMTOWTDI. :-D

[daster]

Ich würde es gerne mit dem DenyUser in der sshd_config machen. Welchen Eintrag brauche ich da :)?

[dodolin]

Code: Select all

man sshd

Hatte ich doch schon gesagt: DenyUser user

[daster]

Ich habe

DenyUser web1

eingetragen in die sshd_config, allerdings bringt mir dann der Restart von SSH ne Fehlermeldung: Falscher Eintrag...

[dodolin]

Jo, dann lies halt mal selbst die man-page. Ist das so schwierig? :evil:
Der Eintrag heisst DenyUsers, mit s. Sorry. Ich schreibe halt viele Dinge aus dem Kopf (Zeitersparnis) und gehe eigentlich davon aus, dass es nicht zu viel ist, dann selbst die genaue Syntax nachzuschlagen (was man eigentlich sowieso immer machen sollte, damit man auch weiss, was man da tut!).

BTW: Bei meinem RedHat stehts in der man-page von sshd, bei Debian gibt's wohl eine Extra man-page zu sshd_config.

[daster]

Danke Dodolin,

du hast mir geholfen,
es funktioniert :-D

Herzlichen Dank!