User auf meinem Root ...

[hans3]

Hi,

ich habe vor einigen Leuten Zugang als User auf meinem Root zu gewähren, habe aber Angst dass ein paar dieser User aus Versehen irgendwas relevantes löschen.

Die User habe ich ganz normal über adduser geaddet (adduser test123) und die Ordnerstruktur schaut dann so aus:

/home/test123/

einige User sollen durchaus über winscp in andere Ordner gehen können (z.B.: /var/www = der Webordner meines Roots) aber ein paar bestimmte User würde ich gerne in ihrem Homeordner "einsperren", also dass sie den Ordner "test123" gar nicht verlassen können oder zu mindest keine Files von anderen Usern löschen können möchte dabei aber nicht die Berechtigungen ändern weil sonst andere User da nichts ändern können ...

Also kurz gesagt: Einem bestimmten User das Recht zum Löschen und Überschreiben nehmen oder am Besten: Ihn nicht aus seinem Ordner "raus lassen" (= /home/test123), er soll nur in seinem Homeordner operieren können, auch wenn er irgendwelche Scripts laufen lässt, die sollen nur seinen Homeordner betreffen ...

Geht das und wenn ja: Wie?

Oder gibt es andere Möglichkeiten?


Mein Betriebssystem ist Debian.



Vielen Dank schon mal und mfg ;)

[daemotron]

Für die erste Gruppe hilft nur eine saubere Rechtevergabe oder ein Symlink-Konstrukt. Für die zweite Gruppe (nur $HOME) kannst Du schärfere Restriktionen anwenden - klassisches chroot, rssh oder OpenSSH mit chroot-Funktion (dafür musst Du aber noch die OpenSSH-Quellen direkt aus dem CVS auschecken und selber kompilieren).

[hans3]

Danke für die Antwort jfreund, aber wie mach ich das Schritt für Schritt dass der user123 nicht aus seinem Home Ordner (/home/user123) raus kann?

Könntest du mir das bitte Schritt für Schritt erklären? Also einfach alle Befehle die ich eingeben muss und welche Dateien ich umschreiben muss, am besten von Anfang an (adduser user123 ...)

Wäre wirklich nett :)

[f4rr3ll]

http://www.howtoforge.de/howto/sshsftp- ... -fedora-7/

lässt sich sinngemäß auch auf andere Distris übertragen ;)

[daemotron]

Einfaches, klassisches chroot hilft nicht viel, wenn Deine User nicht zu dumm/faul sind, um bei Google nach chroot + ausbrechen zu suchen (kleiner Tipp: chdir()-Hack als Stichwort). Wenn es wirklich um Sicherheit und nicht um das Abschirmen vor einem "Versehen" geht, musst Du schwerere Geschütze auffahren (RSBAC, grsecurity).

Wie man klassische chroot-Shellzugänge einrichtet, wird hier beschrieben:
http://www.gentoo-wiki.com/Chroot/Home_directory_jail
http://de.gentoo-wiki.com/SSH_Login_ins_Chroot

Allerdings solltest Du noch mal präzisieren, was genau Du brauchst. Sollen die User am Ende gar nur per SCP/SFTP auf den Server zugreifen können? Oder wird ein interaktiver Shell-Zugang benötigt?

[hans3]

Danke für euer reges Interrese + Infos :)


Wenn ich die mit "adduser" adde, dann können die mit FTP Programmen aber auch mit Winscp / Putty connecten ... also sie sollten auch SSH access haben, wäre aber auch kein Problem wenn du nur via FTP drauf können (solange es einfach zum einrichten is :P )

Also wieder ganz kurz: Ich brauch nur etwas damit die in ihren home Ordner können aber ohne dort auszubrechen, auch wennse die beste google Hilfe ham (sie müssen halt nur mit einem grafischem Programm wie Winscp oder Filezilla oder so in ihren Homeordner rein können um dort Änderungen vorzunehmen) :)

[f4rr3ll]

wenns um reines FTP connceten geht und einfach.. dazu habe ich hier nen recht leichtes copy past howto geschrieben->

http://www.silverarea.de/wiki/doku.php? ... d_tls_auth

Das wäre nur für Proftp.

[hans3]

Hab mir die Links angeschaut und das sieht nach ziemlich viel Aufwand aus um nur 1 - 2 User in ihren Homeordner zu sperren :(

Gibts da nix einfacheres, zum Beispiel ein Programm bei dem man eintragen kann welcher user wo hin darf und was er wo löschen kann? Das wäre am besten, aber ich glaub nicht dass es das gibt :/

Oder irgendwie die Berichtung als Root verstellen dass der normale User einfach nicht seinen Ordner verlassen kann ... kann doch nicht sein dass man da so einen Aufwand hat :(



Hab mal das: http://www.gentoo-wiki.com/Chroot/Home_directory_jail ausprobiert ... nun kam diese Meldung als ich mich mit winscp eingeloggt hab:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Und als ich bei putty das passwort für den User eingegeben habe, ist putty einfach aus gegangen :/

Brauch ich ein anderes Programm oder hab ich irgendwas falsch gemacht?

[rudelgurke]

Bei Putty kann man "Close Window on exit" auf Never stellen - dann bekommt man eine Fehlermeldung.
Und natürlich die SSH Logs durchsehen, was dort genau schief geht.

Vielleicht beim Erstellen des CHROOT etwas vergessen

[daemotron]

Hab mir die Links angeschaut und das sieht nach ziemlich viel Aufwand aus um nur 1 - 2 User in ihren Homeordner zu sperren

So ist das halt... Unixoide Systeme sind so ausgelegt, dass User per se erst mal viel sehen dürfen. Die Berechtigungen auf's Dateisystem sind im Vergleich zu anderen Systemen (z. B. Novell Netware) eher primitiv. Allerdings kann man doch relativ viel damit umsetzen; sind z. B. alle Home-Verzeichnisse auf 0700 gesetzt, sieht kein User, was ein anderer in seinem Home-Verzeichnis hat. Der Default (bei den meisten Systemen 0755) ist da eindeutig zu lasch Wer darüber hinaus noch weitere Abschirmung braucht (Stichwort chroot), muss halt in den sauren Apfel beißen und eine passende Umgebung selbst zusammenbasteln.

Hab mal das: http://www.gentoo-wiki.com/Chroot/Home_directory_jail ausprobiert ... nun kam diese Meldung als ich mich mit winscp eingeloggt hab:

Cannot initialize SFTP protocol. Is the host running a SFTP server?

Welche Linux-Distribution verwendest Du denn (Das HOWTO bezieht sich auf Gentoo, da liegen relativ viele Binaries unter /bin bzw. /sbin, die bei anderen Distributionen unter /usr/bin bzw. /usr/sbin zu finden wären)? Welche Version hat Dein OpenSSH? Wie sieht die sshd_config aus (bitte ohne Kommentarzeilen posten)? Ist sudo installiert, liegen die Binaries dort, wo das Skript sie sucht? Hast Du die Pseudo-Shell in /etc/shells eingetragen?

Irgendwo stand auch, dass das Skript Probleme mit SCP-Logins hat wegen Whitespaces in den Login-Parametern...