PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vsftp und user



housekatze
15.05.03, 07:44
Hi,

Hab vsftpd laufen auf SuSE Linux 8.1
Nun meine Frage:

Ich kann da ja wunderschön jeden System-User auch per FTP reinlassen und sogar vorgeben was er in FTP darf und was nicht.... Nun gibt es dabei aber den Haken, daß die System-User auch per ssh reinkönnen und können sich dort einloggen und die Verzeichnise durchforsten... DAS WILL ICH ABER NICHT.

Kann man User NUR für vsftp vergeben? Wenn ja wie? Und/Oder kann man System-User auf bestimmte Dienste beschränken? Wenn ja wie?

Gruß, housekatze

teddy
15.05.03, 08:22
Hi,

Klar, kannst du das machen.

Ich schreibe dir hier, wie ich es gemahcht habe, und das sollte dir weiterhelfen.

1. /etc/hosts.deny:
hier habe ich die Zeile
...
ALL:ALL
...
eingefügt. D.h. ich verbiete erst einmal jedem alles (niemand darf ftp, ssh,.. benutzen)

2. /etc/hosts.allow:
hier habe ich die Zeilen
...
imapd: ALL # brauche wegen email
ftpd: ALL # ich weiss nich ob dein ftp daemon genauso heißt
sshd: ALL
...
eingefügt. D.h alle haben ssh, ftp und imap zugriff

Ergebnis: ich weiss welche Dienste nach aussen nutzbar sind

Die Berechtigungen für einzelne Benutzer kannst du dann in der regel für bestimmte dienste über die .conf dateien dieser Dieste regeln. Wie das bei vftp geht weiss ich nicht (ich hab proftp), musst du mal schauen, aber für ssh kann ich dir das sagen:

in der /etc/ssh/sshd_config musst du folgendes eintragen:

# Authentication: #gibt es eigentlich schon
AllowUsers user1 user3 #diesen usern ist der ssh zugriff erlaubt
LoginGraceTime 600 #gibt es auch schon
PermitRootLogin no #verbietet noch einmal ausdrücklich den root zugriff
StrictModes yes

wem du es verbietest brauchst du nicht angeben, denn es ist jedem der zugriff verboten, wenn du es ihm hier nicht erlaubt hast.

Das sollte dir auf jeden Fall etwas weiter helfen.

Cu

housekatze
15.05.03, 08:40
Besten Dank !

Die Dienste sind ja schon durch die Firewall auf ein Minimum begrenzt.
Die Einträge in der sshd_config zeigen Wirkung. Jetzt darf nur noch der SU da rein... was ja auch wohl sinnvoll ist. Muß nur noch rauskriegen, was man bei vsftpd einstellen muß

Gruß, housekatze

teddy
15.05.03, 13:13
moinsen

wenn du mit SU den root meinst, dann würde ich das an deiner stelle nicht freigeben, da jeder weiss, auf einem Linux system gibt immer es einen root also braucht man nur noch das Passwort.

ich habe es diesem grund nicht freigegeben, sondern logge mich per ssh als normaler benutzer ein und kann dann zum root wechseln.

das is nen bischen sicherer.

housekatze
15.05.03, 14:54
Stimmt allerdings, werde ich auch so machen. Bis zum root ist es in der ssh ja nur ein Login-Wurf entfernt :-)

thx, housekatze

miki
15.05.03, 22:15
stell doch einfach die shells für die User ab!

Also passwd bearbeiten und statt /bin/bash (oder was auch immer bei dir steht) gegen /bin/nologin (oder so ähnlich) austauschen.
Für ftp brauchen sie kein shell und ohne shell kein ssh ;)

So nutze ich das schon seit langem.

Es gibt nur ein Problem, wenn du das falsche bei shell angibst, können sie auch per ftp nicht mehr rein.
Ich meine bei suse heisst das /bin/false und bei redhat /bin/nologin
Ich denke, es müste bei den user, die keine öffentliche user sind das richtige stehen!

housekatze
15.05.03, 22:31
:)
COOL ! funktioniert !