PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : problem mit sftp und user in chroot...



derRichard
05.09.02, 12:26
hallo!

ein bestimmter user in meinem system lebt in einer chroot-umgebung und er meldet sich via ssh(openssh 3.4)ans system an.
es klappt auch super.
nur mit dem dateitransfer gibt es noch probleme.
wenn der user unter windows dateien mit winscp2 hochalden will dann geht das super und ohne fehler.
nur wenn er eine sftp-verbindung machen will, mit z.b: konqueror oder dem ssh-client von ssh.com unter winn dann geht da garnichts.

die chroot-umgebung des users:

.
|-- bin
| |-- cp
| |-- groups
| |-- id
| |-- ls
| |-- mkdir
| |-- mv
| |-- rm
| |-- rmdir
| |-- scp
| |-- sftp
| |-- sftp-server -> /usr/local/libexec/sftp-server
| `-- sh
|-- dev
| |-- null
| |-- pts
| | |-- 1
| | `-- 3
| |-- tty
| |-- vc
| | |-- 1
| | `-- 2
| `-- zero
|-- etc
| |-- group
| |-- ld.so.cache
| |-- ld.so.preload
| |-- nsswitch.conf
| `-- passwd
|-- lib
| |-- ld-linux.so.2
| |-- libc.so.6
| |-- libcrypt.so.1
| |-- libdl.so.2
| |-- libncurses.so.5
| |-- libnsl.so.1
| |-- libnss_compat.so.2
| |-- libpthread.so.0
| |-- librt.so.1
| `-- libutil.so.1
`-- usr
|-- lib
| |-- libcrypto.so.0.9.6
| `-- libz.so.1
`-- local
`-- libexec
`-- sftp-server

hab ich da was vergessen?
oder muss ich in der sshd_config noch was einstllen?

mfg
richard

jonasge
05.09.02, 13:49
hi,
kann dir zwar nicht helfen, aber hats du mir ne URL mit Dokus zu dem Thema ?

Gruss
Jonas

derRichard
05.09.02, 13:54
hallo!

mit docus schauts sehr schlecht aus zu dem thema...
schau dur mal das an http://chrootssh.sourceforge.net/?node=docs,
aber die is für solaris oder so.
kannst mich ja per icq ansprechen wenn einen tipp brauchst...

mfg
richard

tomes
05.09.02, 14:23
den -v Schalter ?
Wenn nicht, was passiert den wenn du das Ganze von einem UNX/Linux - Clienten machst ?
T;o)Mes

derRichard
05.09.02, 15:05
Original geschrieben von tomes
den -v Schalter ?
Wenn nicht, was passiert den wenn du das Ganze von einem UNX/Linux - Clienten machst ?
T;o)Mes

wenn ich die -v funktion bei linux mach kann bekomm ich folgendes:


richard@al richard $ ssh affe@192.168.0.2 -v -p 23 -s sftp
OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: needpriv 0
debug1: Connecting to 192.168.0.2 [192.168.0.2] port 23.
debug1: Connection established.
debug1: identity file /home/richard/.ssh/identity type -1
debug1: identity file /home/richard/.ssh/id_rsa type -1
debug1: identity file /home/richard/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.4p1
debug1: match: OpenSSH_3.4p1 pat OpenSSH*
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.4p1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: dh_gen_key: priv key bits set: 127/256
debug1: bits set: 1582/3191
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.0.2' is known and matches the RSA host key.
debug1: Found key in /home/richard/.ssh/known_hosts:1
debug1: bits set: 1564/3191
debug1: ssh_rsa_verify: signature correct
debug1: kex_derive_keys
debug1: newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: waiting for SSH2_MSG_NEWKEYS
debug1: newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: done: ssh_kex2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: try privkey: /home/richard/.ssh/identity
debug1: try privkey: /home/richard/.ssh/id_rsa
debug1: try privkey: /home/richard/.ssh/id_dsa
debug1: next auth method to try is keyboard-interactive
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is password
affe@192.168.0.2's password:
debug1: ssh-userauth2 successful: method password
debug1: channel 0: new [client-session]
debug1: send channel open 0
debug1: Entering interactive session.
debug1: ssh_session2_setup: id 0
debug1: Sending subsystem: sftp
debug1: channel request 0: subsystem
debug1: channel 0: open confirm rwindow 0 rmax 32768
-------da hängt dann ssh bis ich <strg> + <c> mache------


mfg
richard

tomes
05.09.02, 15:35
wenn ich den Befehl "genauso" wie du ausfuehre haengt er bei mir auch an dieser Stelle.
Theoretisch muesste an dieser Stelle eigendlich die ftp-Shell kommen.
Kann dein User nicht einfach sftp Name@Host machen ?
Oder *funct* das bei dir auch nicht ?

T;o)Mes

derRichard
05.09.02, 15:41
hallo!

wenn ich sftp user@host mache dann hängt der beim passwd...


al richard # sftp affe@192.168.0.2
Connecting to 192.168.0.2...
affe@192.168.0.2's password:
*fest häng*


mfg
richard

tomes
05.09.02, 16:21
ist ja komisch

Also ein ldd sftp-server bringt bei mir folgendes:
libpam.so.0
libdl.so.2
libz.so.1
libnsl.so.1
libutil.so.1
libc.so.6
/lib/ld-linux.so.2

T;o)Mes

derRichard
05.09.02, 16:30
Original geschrieben von tomes
ist ja komisch

Also ein ldd sftp-server bringt bei mir folgendes:
libpam.so.0
libdl.so.2
libz.so.1
libnsl.so.1
libutil.so.1
libc.so.6
/lib/ld-linux.so.2

T;o)Mes

hmm, noch komischer:


al ssh_jail # ldd usr/local/libexec/sftp-server
libutil.so.1 => /lib/libutil.so.1 (0x40031000)
libz.so.1 => /usr/lib/libz.so.1 (0x40034000)
libnsl.so.1 => /lib/libnsl.so.1 (0x40042000)
libcrypto.so.0.9.6 => /usr/lib/libcrypto.so.0.9.6 (0x40058000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x40113000)
libc.so.6 => /lib/libc.so.6 (0x40140000)
libdl.so.2 => /lib/libdl.so.2 (0x4026f000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

ich hab zwar jetzt mal deine libs in das jail kopiert aber ohne erfolg :-(

mfg
richard

tomes
05.09.02, 17:31
einen zweiten kompilieren und sehn was passiert, was anders ist.

Da ein normales ssh *funct* kann es ja nicht an der Authentifizierung liegen.
Vielleicht an den Protokollen ?

T;o)Mes

derRichard
05.09.02, 17:55
Original geschrieben von tomes
ist ja komisch

Also ein ldd sftp-server bringt bei mir folgendes:
libpam.so.0
libdl.so.2
libz.so.1
libnsl.so.1
libutil.so.1
libc.so.6
/lib/ld-linux.so.2

T;o)Mes

hallo!

hast du ldd mit der der "standard" openssh-version gemacht oder mit der mit dem chroot-patch?

mfg
richard

tomes
05.09.02, 18:00
Hier laeuft keine chroot- Umgebung.

T;o)Mes

derRichard
05.09.02, 18:26
hat denn niemand sowas mal gemacht?
oder bin der einzige der einen sftp-server mit usern in chroot haben will...

mfg
richard

Harry
05.09.02, 19:09
Original geschrieben von derRichard
hat denn niemand sowas mal gemacht?
oder bin der einzige der einen sftp-server mit usern in chroot haben will...


Hi Du ... :)
Warum nimmst Du dazu nicht die ssh-chroot-Umgebung, die Du Dir vor zwei Tagen von mir gezogen hast und bastelst Dir das sftp-Subsystem da noch rein?
Wie gesagt: Diese Umgebung ist eine echte sshd-chroot Umgebung und die User werden gegen die Account-DB innerhalb der Umgebung authentifiziert.

tststs ... :D

Harry

derRichard
06.09.02, 12:01
Original geschrieben von Harry
Hi Du ... :)
Warum nimmst Du dazu nicht die ssh-chroot-Umgebung, die Du Dir vor zwei Tagen von mir gezogen hast und bastelst Dir das sftp-Subsystem da noch rein?
Wie gesagt: Diese Umgebung ist eine echte sshd-chroot Umgebung und die User werden gegen die Account-DB innerhalb der Umgebung authentifiziert.

tststs ... :D

Harry

da geht leider nicht so gut, weil jeder user sein eigenes chroot benötigt(like "defaultroot ~" bei proftpd).
aber irgendwie werde ich das schon schaukeln...

mfg
richard

derRichard
06.09.02, 13:20
servus!

jetzt geht es, es lag zum teil an der shell.
ich tipp jetzt mal ein howto für das forum hier...

mfg
richard

:D :D :D :D