Dr. Jürgen Vollmer schrieb:
Am Donnerstag, 3. Februar 2005 14:28 schrieb Andreas Ernst:
Dr. Jürgen Vollmer schrieb:
ich:
ich hab' irgendwo gelesen, daß es möglich ist entfernten Benutzern einen sftp-Zugang (lesen+schreiben) zu ermöglichen, ohne jedoch gleichzeitig eine ssh anzubieten. Nur wo???
Am Donnerstag, 3. Februar 2005 12:32 schrieb Andreas Ernst:
Danke.
Noch zwei Fragen: 1. wenn ich nun ssh auf einen scponly Account mache, dann wird das Passwort abgefragt, ok, aber dann passiert nichts, u.U. erscheint die Meldung WinSCP: this is end-of-file:0
Ich habe jetzt den 4er mal getestet, die Fehlermeldung erscheint, WinSCP klappt aber.
Ich hätte gedacht, daß daß ssh für einen scponly-Account die Verbindung einfach wieder kappt.
Ich habe scponly als chroot installiert.
(SCPONLY 3.11, 4er habe ich noch nicht getestet)
Ich habe das Archiv entpackt, in das Verzeichnis gewechselt. Die Datei 'setup_chroot.sh' an meine Bedürnisse angepaßt, unter anderen Namen abgespeichert. Du führst das Script jeweils für jeden neuen User aus, das legt die notwendigen Dateien an. Scponly wird nicht als Daemon gestartet, anschließend steht in der
/etc/passwd user:x:1001:100::/srv/www/user:/usr/local/sbin/scponlyc
lokal läuft der Zugang via scponly schon.
dieses. Damit wird bei jedem Login mit WinSCP scponly gestartet und alles so gesetzt wie gewünscht.
2. Wenn scyonly nun für "die große weite Welt" freigegeben werden soll, dann muß ich ja ein "Loch" in der Firewall aufmachen. Damit kann aber ein Bösewicht versuchen auf meinen "regulären" Accounts einzubrechen (z.B. mit Passwortattacken). Das möchte ich vermeiden. Ich würde also gerne die Firewall "nur für scponly" öffnen.
Geht das? wenn ja wie?
Jürgen
SSH, Port 22 und der sollte ja ohnehin vorhanden sein... ;-)
klar. Ich möchte das noch weiter einschränken: Port 22 (oder welcher auch immer) soll _nur_ offen sein für Benutzer, welche einen scponly-Acount haben. Für sonst niemand.
Ein "normaler" ssh Zugang soll nicht möglich sein.
Jürgen
Tja, das ist wie mit deiner Haustüre.... es können nur die rein, die einen Schlüssel haben, aber jeder kann jederzeit seinen - nicht passenden - Schlüssel an deiner Haustür testen. Ob mit Scponly und WinSCP auch mit Keys geht, weiß ich nicht. Andreas