ssh Login mit User ohne Rechte

sundriver

sundriver

Registered User
Hallo@all,

ich habe grad im Moment ein Verständnisproblem wo ich eine Lösung suche..
System: Root auf SuSe9.3 mit Apache2

Ich habe eine Gruppe "login" mit "groupadd" angelegt, ID113 sowie mit "useradd -g login -d /home/login -s /bin/bash foobar" einen User angelegt der sein eigenes Verzeichnis in /home/login/ hat. Ich habe keine weiteren Rechte vergeben.

Zweck ist es mit diesem User einen ssh Login zu tätigen um dann per "su root" auf die Konsole zu switchen. Ein direktes Login für root habe ich abgeschaltet.

Soweit klappt das ja auch aber, was ich nicht möchte ist, das sich der User aus seinem /home/login/ Verzeichnis befreien kann. So wie es jetzt ist kann ich mit diesem user problemlos einige Verzeichnisse wie /etc/ oder /var/log/ durchblättern ohne jedoch eine Datei öffnen zu können da er keine Rechte hat.

Meine Frage ist nun, WIE kann ich verhindern das der User, mit dem ich lediglich einen Login einleiten möchte, mit einem simplen cd /* aus seinem /home/login/ Verzeichnis heraus kommt?


cu
Sundriver
 
Ich habe mich nur mal kurz damit beschäftigt und habe keine andere Möglichkeit gefunden als SSH zu patchen - Anleitungen gibts mehr als genug bei Google: chroot ssh - Google-Suche

Ne einfache Möglichkeit gibt es AFAIK nicht :(
 
Welche Vorteile versprichst Du Dir davon? Ein normaler Benutzer hat schon keine weitreichenden Rechte (wir sprechen hier von UNIX), also kann er auch nichts großartig Böses[1] anstellen. Und da Du ein sicheres Passwort verwendest oder gar einen SSH-Key, solltest Du nichts zu befürchten haben.
Der Vorteil, root-Login per ssh zu verbieten liegt darin, dass der Name "root" eben bekannt ist und daher leichter einer "bruteforce"-Attacke zum Opfer fallen könnte.
Falls Du Deinen Benutzer in ein chroot-Umgebung einsperrst, gilt das auch für alle von ihm erzeugten Prozesse -- ein 'su' kann somit (theoretisch) dieses Gefängnis ebenfalls nicht verlassen.

Was Du wahrscheinlich eher suchst, ist eine "restricted shell", aber der Aufwand, die richtig einzurichten, lohnt sich nicht wirklich...

LinuxAdmin

[1] also die Sicherheit Deines Systems kompromittieren -- das setzt allerdings voraus, dass es immer auf dem aktuellen Stand gehalten wird. Natürlich kann der Benutzer noch anderen Unfug treiben wie z.B. SPAM versenden, etc. Aus diesem Grund vergibt man shell-Accounts auch nur Leuten, denen man vertraut.
 
@ Marco,

Danke, da werd ich direkt mal rein schnorcheln.. ;-)

@ LinuxAdmin,

i.d.R. verwende ich meistens die ssh Keyfiles, manchmal logge ich mich aber auch von einem anderen Rechner aus ein wo ich diese keyfiles nicht bei hab, dann benötige ich den root Login mit einem PW oberhalb 12 Zeichen..
Abgesehen davon das ich ja auch meinen Port geändert habe, rechnete ich damit auch die sehr beliebten Wörterbuch attacken ein wenig zu entschärfen. Es ist für einen Hacker sicher schwerer wenn root garnicht erst für einen ssh Login existiert. Er müsste somit erstmal den richtigen login User ausmachen + das dazu passende PW und dann noch das PW für root hacken..
Sinn des Einsperrens ist es, zu verhindern das in Verzeichnissen gestöbert werden kann. Sicher kann er ohne Rechte nix anstellen aber man muss ihn ja auch nicht in andere Verzeichnisse rein schauen lassen.

Naja, wenn ich mir den aufwand ansehe das ssh zu patchen wird es vielleicht besser sein bei einem schönen langen und Kryptischen PW zu bleiben.

cu
Sundriver
 
Last edited by a moderator:
Jut, dann lehn Dich zurück und investiere Deine Kraf in ordentliche Monitoring Tools und halte den Server up2date.
 
You must log in or register to reply here.
Back
Top