Hallo,
ich möchte auf einem Ubuntu 20.4 Server via FTP Zugang auf einen bestimmten Ordner im /opt/ordner Verzeichnis gewähren.
Und nur dieser Ordner darf über FTP (von außen über WinSCP) erreichbar sein! Der User darf nirgends woanders hin, er soll wirklich nur Zugriff auf diesen einen Ordner haben.
--> verhindert das (logischerweise)Code:chroot_local_user=YES
Ich habe irgendwas mitergoogelt, was mir aber auch nicht geholfen hat.Code:mout --bind
Weiß jemand wie man das genau macht?
LG
Falls der User nur sftp/scp machen können soll ohne eine shell starten zu dürfen:
*****
1. sudo groupadd -g 50000 -K GID_MAX=60000 sftponly
2. sudo mkdir -p /opt/chroot/austausch/transfer
3. sudo useradd -d /opt/chroot/austausch -g sftponly -M -N -K UID_MAX=99999 -s /bin/false -u 60000 austausch
4. sudo chown austausch:sftponly /opt/chroot/austausch/transfer
5.
sshd_config:
Für FTP - im Fall von vsftpd - lässt sich gute Doku finden. Der Anfang mit "chroot_local_user=YES" war schon mal gut.Code:... ... # Group sftponly Match Group sftponly ChrootDirectory %h ForceCommand internal-sftp -d transfer X11Forwarding no AllowTcpForwarding no Banner none PermitTTY no
Vielen Dank für die detaillierte Antwort. "chroot_local_user=YES" verhindert doch, dass der User außerhalb von /home/user Zugriff hat. Oder habe ich das falsch verstanden?Zitat von temir
LG
Stimmt, damit werden alle in $HOME eingesperrt.
Besser wäre:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
Inhalt von /etc/vsftpd.chroot_list :
austausch
Aber:
Seitens vsftpd wird der User austausch nur nach /opt/chroot/austausch "eingesperrt",
muss dann via "cd transfer" ins Verzeichnis mit Schreibrechten wechseln.
Mögliche Lösung:
1. sudo usermod -d /opt/chroot/austausch/transfer
2. sshd_config:
ChrootDirectory /opt/chroot/%u
==> der Rest bleibt. Dann soll es von beiden Seiten klappen.
Geändert von temir (09.11.22 um 09:05 Uhr)
Schließe ich mich dann damit SSH-seitig nicht selber aus?
Zum einen: muss du immer den ganzen Beitrag zitieren? Begrenze dich doch bitte aufs Wesentliche.
Zum zweiten: nicht zweifeln, testen! Wie sieht es mit der Eigeninitiative aus?
Ich habe es getestet und man schließt sich dann SSL-seitig aus. Deswegen meine Frage. Danke für deinen Beitrag. Du musst ja nicht gleich ausrasten und respektlos werden. Ich wollte dich in keiner Weise provozieren oder kränken.
Wo bin ich denn ausgerastet? Es ist einfach mühsam, viel Text durchscrollen zu müssen, um an eine/paar Zeilen Infos zu kommen.
Wenn man dich bittet:
betrachtest du es als respektlos? Bin ich denn alleine, wenn ich nur den schwarzen Text auf hellem Untergrund sehe?Begrenze dich doch bitte aufs Wesentliche.
Keine Emotionen, nur Text.
OK, offtopic beiseite.
Was genau hast du gemacht und wie sperrst du dich aus?
Zumindest komme ich so nicht mehr über SCP rein.
Und was heißt hier der Rest bleibt (sshd_config wohl gemeint)?ChrootDirectory /opt/chroot/%u
==> der Rest bleibt. Dann soll es von beiden Seiten klappen.
Schau dir meinen ersten Beitrag an. Wenn du keinen "Match" angibst, dann gilt es selbstverständlich für alle.
Deswegen extra group / user.
So, es scheint zu funktionieren Match User 'user' hatte ich tatsächlich vergessen auszukommentieren bzw. die config zu speichern. Vielen Dank erstmal!
Berechtigungen
Zitieren
Lesezeichen