hallo allerseits, ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo??? Wer kann mir Tips geben, a) ob das geht b) wenn ja wie. Danke schon mal Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer schrieb:
hallo allerseits,
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Wer kann mir Tips geben, a) ob das geht b) wenn ja wie.
Danke schon mal
Jürgen
http://www.sublimation.org/scponly/ Grüße Andreas
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke. Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0 Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt. Ich habe scponly als chroot installiert. 2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen. Geht das? wenn ja wie? Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0 Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt.
Ich habe scponly als chroot installiert.
(SCPONLY 3.11, 4er habe ich noch nicht getestet) Ich habe das Archiv entpackt, in das Verzeichnis gewechselt. Die Datei 'setup_chroot.sh' an meine Bedürnisse angepaßt, unter anderen Namen abgespeichert. Du führst das Script jeweils für jeden neuen User aus, das legt die notwendigen Dateien an. Scponly wird nicht als Daemon gestartet, anschließend steht in der /etc/passwd user:x:1001:100::/srv/www/user:/usr/local/sbin/scponlyc dieses. Damit wird bei jedem Login mit WinSCP scponly gestartet und alles so gesetzt wie gewünscht.
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen.
Geht das? wenn ja wie?
Jürgen
SSH, Port 22 und der sollte ja ohnehin vorhanden sein... ;-) Grüße Andreas
Am Donnerstag, 3. Februar 2005 14:28 schrieb Andreas Ernst:
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0 Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt.
Ich habe scponly als chroot installiert.
(SCPONLY 3.11, 4er habe ich noch nicht getestet)
Ich habe das Archiv entpackt, in das Verzeichnis gewechselt. Die Datei 'setup_chroot.sh' an meine Bedürnisse angepaßt, unter anderen Namen abgespeichert. Du führst das Script jeweils für jeden neuen User aus, das legt die notwendigen Dateien an. Scponly wird nicht als Daemon gestartet, anschließend steht in der
/etc/passwd user:x:1001:100::/srv/www/user:/usr/local/sbin/scponlyc
lokal läuft der Zugang via scponly schon.
dieses. Damit wird bei jedem Login mit WinSCP scponly gestartet und alles so gesetzt wie gewünscht.
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen.
Geht das? wenn ja wie?
Jürgen
SSH, Port 22 und der sollte ja ohnehin vorhanden sein... ;-)
klar. Ich möchte das noch weiter einschränken: Port 22 (oder welcher auch immer) soll _nur_ offen sein für Benutzer, welche einen scponly-Acount haben. Für sonst niemand. Ein "normaler" ssh Zugang soll nicht möglich sein. Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer schrieb:
Am Donnerstag, 3. Februar 2005 14:28 schrieb Andreas Ernst:
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0
Ich habe jetzt den 4er mal getestet, die Fehlermeldung erscheint, WinSCP klappt aber.
Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt.
Ich habe scponly als chroot installiert.
(SCPONLY 3.11, 4er habe ich noch nicht getestet)
Ich habe das Archiv entpackt, in das Verzeichnis gewechselt. Die Datei 'setup_chroot.sh' an meine Bedürnisse angepaßt, unter anderen Namen abgespeichert. Du führst das Script jeweils für jeden neuen User aus, das legt die notwendigen Dateien an. Scponly wird nicht als Daemon gestartet, anschließend steht in der
/etc/passwd user:x:1001:100::/srv/www/user:/usr/local/sbin/scponlyc
lokal läuft der Zugang via scponly schon.
dieses. Damit wird bei jedem Login mit WinSCP scponly gestartet und alles so gesetzt wie gewünscht.
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen.
Geht das? wenn ja wie?
Jürgen
SSH, Port 22 und der sollte ja ohnehin vorhanden sein... ;-)
klar. Ich möchte das noch weiter einschränken: Port 22 (oder welcher auch immer) soll _nur_ offen sein für Benutzer, welche einen scponly-Acount haben. Für sonst niemand.
Ein "normaler" ssh Zugang soll nicht möglich sein.
Jürgen
Tja, das ist wie mit deiner Haustüre.... es können nur die rein, die einen Schlüssel haben, aber jeder kann jederzeit seinen - nicht passenden - Schlüssel an deiner Haustür testen. Ob mit Scponly und WinSCP auch mit Keys geht, weiß ich nicht. Andreas
Am Donnerstag, 3. Februar 2005 14:51 schrieb Andreas Ernst:
Tja, das ist wie mit deiner Haustüre.... es können nur die rein, die einen Schlüssel haben, aber jeder kann jederzeit seinen - nicht passenden - Schlüssel an deiner Haustür testen. Ob mit Scponly und WinSCP auch mit Keys geht, weiß ich nicht.
nun ja, es macht schon einen Unterschied, ob die Haustüre nur in den Keller führt und der nur diese eine Türe hat oder nicht: Die scponly-user finden sich im chroot-Gefängnis eingefangen, die "nromalen" ssh-user aber nicht. Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Andreas Ernst schrieb:
Dr. Jürgen Vollmer schrieb:
Am Donnerstag, 3. Februar 2005 14:28 schrieb Andreas Ernst:
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0
WinSCP auf SFTP setzen: https://lists.ccs.neu.edu/pipermail/scponly/2004-January/000437.html Andreas
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0 Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt.
Ich habe scponly als chroot installiert.
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen.
Geht das? wenn ja wie?
Jürgen
Ich habe nochmal in meinen Unterlagen geguckt: cd scponly-3.11 ./configure --enable-rsync-compat --enable-chrooted-binary make make install make jail Benutzer anlegen ./setup_ae.sh eigenes Script für Benutzer anzulegen anmelden geht nur über WinSCP, SSH oder Putty funktioniert nicht So habe ich das gemacht und das klappt. ;-) Andreas
Hallo,
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken).
Jup!
Das möchte ich vermeiden.
Dann lass die FW zu! ;-)
Ich würde also gerne die Firewall "nur für scponly" öffnen.
Das solltest Du auf jeden Fall! Port 22 einfach zum Host (der Hoffentlich in der DMZ steht) forwarden UND(!!!) versuche gleich eine Beschränkung auf div. IPs zu machen! Ich hatte solche Attacken, seitdem ich aber nur Zugriffe von 134.x.x.x erlaube ist damit Ruhe (ist keine 100% Sicherheit, aber besser als nix)!
Geht das? wenn ja wie?
Ohje! FW-Buch lesen, ansonsten rate ich von dem Vorhaben ab! *Sorry* Gruß Bernd
Dr. Jürgen Vollmer wrote: Hallo, würde dir http://www.pizzashack.org/rssh/ empfehlen. Hier in nem Fachbereich (FH) mit über 500 Usern erfolgreich am laufen. Gruss Patrick Klaus
participants (4)
-
Andreas Ernst
-
Bernd Schwendele
-
Dr. Jürgen Vollmer
-
Patrick Klaus