RootForum Community

Hi Leute

Wie kann ich die User einer speziellen Gruppe so begrenzen, dass sie sich per SSH nur in ihrem Home-Verzeichniss bewegen können?

Gruss epox

Stichwort chroot-Umgebung und z.B. jail -> dazu Boardsuche *g*

thx

Unter Umständen ist auch die "rbash" für dich interessant.

rbash ist nur eine scheinbare Sicherheit, da die Beschränkungen derselben nicht mehr greifen, wenn z.B. ein weiteres Shellscript aus ihr heraus aufgerufen wird.

Jepp, rbash ist schon mit vi hinüber, weil vi Kommandos ausführen kann, für die die Beschränkungen dann nicht mehr gelten. Das kann man sich also genausogut sparen. Wenn schon, dann richtig, mit chroot, wie schon erwähnt.

dodolin wrote:Jepp, rbash ist schon mit vi hinüber, weil vi Kommandos ausführen kann, für die die Beschränkungen dann nicht mehr gelten. Das kann man sich also genausogut sparen. Wenn schon, dann richtig, mit chroot, wie schon erwähnt.

Man muss den Leuten ja nicht "vi" geben. Für bestimmte Aufgaben kann die "rbash" durchaus ausreichend sein. Ich habe sie z.B. schon auf Rechnern gesehen, die dafür gedacht waren per SSH in ein ansonsten vom Internet aus nicht zugängliches Netzwerk zu kommen: Man hatte einen SSH-Account auf dem einzigen Rechner, der sowohl im Netzwerk als auch im Internet hing und bei diesem SSH-Account die "rbash" als Shell mit "ssh" als einzigen verfügbaren Kommando, damit man von da aus auf eine andere Kiste im Netzwerk (mit "voller" Shell) gehen konnte.
Der Vorteil: Selbst wenn es einem Angreifer gelingt einen Benutzerzugang zu kompromittieren, kann er nichts machen, weil ihm als einziges Tool, um von dort einen Angriff auf andere Rechner im Netzwerk zu starten, OpenSSH zur Verfügung stand.

Eine anderer denkbarer Einsatz wäre z.B. auch ein "CVS"-Account, den man über SSH erreicht. In diesem Fall würde man die rbash so konfigurieren, dass der Benutzer nur das "cvs"-Kommando aufrufen kann, um CVS-Verbindungen über SSH tunneln zu können.

Also pauschal zu sagen "die rbash ist nutzlos" und "eine chroot() Umgebung ist besser" halte ich für falsch. Man muss immer wissen, was man will.

@MajorTermi: Also dein erstes Szenario ist doch genau der Einsatzzweck für einen SSH-Tunnel, der gegebenenfalls per Key weiter restriktiert wird. Das fände ich jedenfalls deutlich eleganter und auch komfortabler als mit rbash.

Mit CVS kenne ich mich zu wenig aus, als dass ich hierzu was sagen könnte...

Also pauschal zu sagen "die rbash ist nutzlos" und "eine chroot() Umgebung ist besser" halte ich für falsch. Man muss immer wissen, was man will.

Einverstanden. Ok, sagen wir so: Wenn ich einen vollwertigen Shellaccount haben will, bei dem die Einschränkung lediglich daraus besteht, dass ich nicht aus dem Home-Verzeichnis rauskomme, dann ist die rbash jedenfalls nutzlos (IMHO) - und genau darum ging es dem OP, IIRC.

dodolin wrote:Also dein erstes Szenario ist doch genau der Einsatzzweck für einen SSH-Tunnel, der gegebenenfalls per Key weiter restriktiert wird. Das fände ich jedenfalls deutlich eleganter und auch komfortabler als mit rbash.

AFAIK wurde das inzwischen auf IPsec Tunnel umgestellt, das ist ja eigentlich auch die sinnvollste Lösung dafür (ich plane gerade das gleiche für mein WLAN).

Einverstanden. Ok, sagen wir so: Wenn ich einen vollwertigen Shellaccount haben will, bei dem die Einschränkung lediglich daraus besteht, dass ich nicht aus dem Home-Verzeichnis rauskomme, dann ist die rbash jedenfalls nutzlos (IMHO)

ACK