hallo leute,
ich habe mit ssh + scponly einen server installiert - funktioniert recht gut! habe jedoch noch zwei fragen diesbezüglich:

1) wie kann ich meine scpuser beim login direkt in ein verzeichnis des homedirectorys leiten? beim anmelden landet man immer direkt im homedirectory.
z.B. /home/user/ ich möchte aber /home/user/documents

2) wie kann ich meinen sshd so einschränken, das sich nur bestimmte user anmelden dürfen? ich habe die sshd_config bearbeitet und folgendes hinzugefügt:
AllowUser user
..funktioniert aber nicht.
möchte damit vermeiden das sich user ueber ssh anmelden und direkten shell-zugriff erhalten, es sollte nur ein login ueber scp (scponly) möglich sein!

Hallo,

ich bin mit der Acess Policy von ssh nicht vertraut, aber wenn du ein paar benutzer erlaubst, musst du dann nicht auch noch ein paar (alle anderen) verbieten?

hi ,

also frage 2) hat sich erledigt, ich war schon auf dem richtigen weg, hatte nur einen dummen tipfehler. hier ein auszug aus der manpage:
AllowUsers
This keyword can be followed by a list of user name patterns,
separated by spaces. If specified, login is allowed only for us-
er names that match one of the patterns. `*' and `?' can be used
as wildcards in the patterns. Only user names are valid; a nu-
merical user ID is not recognized. By default, login is allowed
for all users. If the pattern takes the form USER@HOST then USER
and HOST are separately checked, restricting logins to particular
users from particular hosts.

configfile: /etc/ssh/sshd_config

...bleibt also nur noch frage1)

Hallo!

Vielleicht interessiert es jemanden:
Im neuen Linuxmagazin ist ein Artikel zu scponly enthalten.

mfg
cane

Hi , so bin ich letzte Woche auf draufgestossen!!! Leider funktioniert bei mir das Beispiel mit dem ~/incoming nicht - hat jemand einen Tip. Oder was muss ich den nun beachten??

Und Du bist ganz sicher, dass Du wie in der Anleitung vorgegangen bist?

Hast Du configure auch als root ausgeführt?

Dann als root make jail und nicht make install?

Hast Du das Verzeichnis /incoming (oder wie auch immer) vorher (also bevor das Script danach fragt) erstellt und die richtigen Rechte gegeben?


Hast bestimmt nur einen kleinen Fehler gemacht :)

mfg
cane

Und Du bist ganz sicher, dass Du wie in der Anleitung vorgegangen bist?
Jetzt nicht mehr.... :confused:

Hast Du configure auch als root ausgeführt?
JA

Dann als root make jail und nicht make install?
NEIN. Habe make install durchgeführt und dann im Anschluss das setup-script ausführbar (chmod +x) gemacht, und manuell gestartet. Ich dachte, man muss make jail nur machen, wenn die Setup-Prozedur automatisch im Anschluss gleich anlaufen soll. alles natürlich unter root.

Hast Du das Verzeichnis /incoming (oder wie auch immer) vorher (also bevor das Script danach fragt) erstellt und die richtigen Rechte gegeben?
Nein. ging ja nicht, weil mit der einrichtung der chroot-umgebung bzw. mit dem ausführen des scriptes von scponly erst der user und das homedirectory erstellt wird. es besteht vorher nicht, so kann ich auch keine unterverzeichnisse erzeugen.

aber vielleicht hätte ich in der setup-prozedur schon dieses als homedirectory angeben müssen. kann ich mir nicht vorstellen: dann hätte scponly sicherlich auch dort die chroot-env. eingerichtet.

Hi!
Man könnte doch einfach in die .bash_profile / .bashrc ein cd <verzeichnis> reinpacken. Kann der Benutzer allerdings ändern.

könnte man....würde aber sicherlich nicht funktionieren, da die user innerhalb des scponly-käfig keine bash als shell nutzen, sondern eine modifizierte eben...scponlyc!!! oder hat das schon jemand versucht!!!! muss doch irgendwie über die passwd möglich sein.

Guten Morgen!

Probier mal make jail und poste ob es Unterschiede gibt...

mfg
cane

Hi!
Habe jetzt nicht den Artikel aus dem Linux Magazin gelesen, aber ein OpenSSH (http://www.openssh.org/portable.html) mit chroot Patch (http://chrootssh.sourceforge.net/) ist nicht wirklich schwer zu komplilieren/installieren. Danach kann man dann eben eine bash zur Verfügung stellen und die .bashrd / .bash_profile nutzen.

hi , Guten morgen,

ich glaube ich werde mit der Sache erstmal leben, ist ja auch nicht so schlimm!!! Desweiteren werde ich mit den openssh-chroot-patch antun, damit ich zukünftig in der lage bin, meinen eigenen "Käfig" um einen scp-user zu bauen.

Hier ein guter Topic über scponly der einfach und verständlich gehalten ist:

http://www.linuxforen.de/forums/showthread.php?t=153783&highlight=scponly

mfg
cane