scp/sftp verbieten, ssh soll aber weiterhin funktionieren. [Archiv]

PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : scp/sftp verbieten, ssh soll aber weiterhin funktionieren.

T0MM

23.08.03, 20:19

Hi,

kann man irgendwie scp/sftp verbieten, aber so, dass (open)ssh weiterhin funktioniert?

Danke
T.

Radiohead

23.08.03, 20:31

Scp läuft doch über Port 22 oder ? Dann kannst du es wohl nicht verbieten.
Aber Scp is doch sicher...warum willst du es denn verbieten ??

MfG

derRichard

23.08.03, 21:01

Original geschrieben von T0MM
Hi,

kann man irgendwie scp/sftp verbieten, aber so, dass (open)ssh weiterhin funktioniert?

Danke
T.
hallo!

sftp kannst abstellen, du musst nur in der sshd_config das sftp-subsystem entfernen.
bei scp bin ich mir nicht sicher.

//richard

T0MM

23.08.03, 22:16

Hallo,

vielen dank an derRichard:
sftp ist schon weg: "Request for subsystem 'sftp' failed on channel 0"

nur, wenn aber scp immernoch geht, nutzt das deaktivieren von sftp nicht so viel. :(

@Radiohead:
> Aber Scp is doch sicher...warum willst du es denn verbieten ??
um zb "scp ganz_grosse_gb_datei tomm:/tmp" von vornherein zu verbieten. "quota" retet mich nicht, da das ssh-account für mehrere gleichzeitig zuf verfügung stehen soll. Und ja, ich weiss, dass wenn die eingelogt sind, dann können die eh zb 'cat /dev/urandom > bigfile' machen... trotzdem möchte ich scp verbieten können... damit sichere ich zumindest, dass die bandbreite nicht mit sowas blockert werden kann...

Geht das wirklich nicht? Habe jetz bischen gegoogelt aber nix gefunden :(
Gruß
T.

Stubentigger

09.09.05, 13:50

So genau habe ich mich mit der Thematik jetzt nicht beschäftigt. Finde es schon fragwürdig, wenn man User hat, die Spasseshalber mal nen paar GB transferieren...

Soweit ich weiß arbeitet scp wie eine normale SSH-Verbindung, nur das sie nicht an eine pty gebunden ist. Sobald die SSH-Verbindung steht, wird serverseitig ebenfalls eine scp-Instanz gestartet, allerdings mit den undokumentierten Parametern -d und -t.

Laut man-page gibt scp bei erfolg 0 andernfalls was anderes zurück. Im Prinzip sollte es daher möglich sein auf dem Server einfach die scp-binary zu entfernen (oder umzubenennen - das würde ich vorziehen) und an deren stelle ein Bash-Skript der z.B. so aussieht:

#!/bin/sh

exit 1;

Das sollte alles unterbinden. Und wenn die scp-binary nun scp.bin heißt, sollte vom Server aus immernoch ein scp-transfer gestartet werden können...

Ansonsten: Wie wäre es SSH ganz abzuschaffen und Telnet durch nen stunnel zu schicken? :D

rep

12.10.05, 09:53

Hi Leute,

ich habe das mal einfach kurz getestet... also eine Datei kann man dann in der Tat nicht mehr kopieren...

Aber der Login und das Browsing geht weiterhin, nur zur info :)

Gruß