• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

SSH-Rechte von neuem User beschränken und gutes Buch

elninio2000

Registered User
Hallo,

ich habe auf meinem VServer (Suse9) Teamspeak installiert, auf der TS-Seite war empfohlen, TS nicht als root laufen zu lassen, sondern extra dafür einen User anzlegen.

Jetzt habe ich einen User tss mit useradd angelegt. Als Group wurde automatisch die Gruppe 100 (Users) vergeben.

Meine Fragen
- der Zugriff über SSH soll auf Homedir und Subdirs von tts beschränkt werden. Ein cd / oder cd .. im ~ soll also nicht möglich sein
- ich habe FTP Zugriff wenn ich mich als TSS einlogge. Das will ich aber nicht

Wie man ssh ganz abstellt ist mit bekannt (statt bin/bash einfach /dev/null in der etc/users eintragen). Das hilft mir aber hier nicht weiter. Ich muss also denke ich eine neue Gruppe anlegen die nur SSH im tss - dir erlaubt.

Wie geht das? Und ich brauche mal ein Buch wo solche Befehle drin stehn, am Besten kein reines Kompedium sondern was auch zum "durchlesen" geeignet ist. Dabei interessieren mich allerdings nur Konsolenbefehle und nich GUIs wie KDE oder sowas. Wenn jemand da einen Vorschlag hat bin ich sehr dankbar.

edit: Durch aufrufen des Befehls "users" ist mir aufgefallen, dass TSS automatisch zusätzlich zu Users den Gruppen uucp, dialout, audio und video angehört. Wo kann ich sehen, welche Rechte ihm damit eingeräumt wurden?
 
Last edited by a moderator:
Warum soll der User tss überhaupt per ssh auf das System zugreifen können bzw warum braucht der überhaupt eine gültige shell? Es gibt keine einfache Möglichkeit einen User mit shell in seinem Home Verzeichnis einzusperren, aber schau dir das da mal an: http://chrootssh.sourceforge.net/index.php (was natürlich ein selbstkompiliertes ssh benötigt)
IMHO wär es sinnvoller Teamspeak per chroot abzusichern
- ich habe FTP Zugriff wenn ich mich als TSS einlogge. Das will ich aber nicht
Was für einen ftp Server hast du installiert?
 
Last edited by a moderator:
Der user tss braucht deswegen ssh-Zugriff, da Teamspeak unter diesem User ausführt werden soll. Außerem kann Teamspeak ja mal abstürzen und muss dann neu gestartet werden. Und ich möchte niemandem, der die Rechte hat, ts neu zu starten, Zugriff auf andere Verzeichnisse in meinem Server geben.

Eine selbstkompilierte SSH fällt deswegen leider weg, da ich bei Fehlern nicht mehr auf den Rechner komme (außer Re-Install), schließlich steht mein VServer nicht neben meinem Schreibtisch :-/

Wo seh ich denn was ich für einen FTP habe? Ich benutze den, der beim VServer dabei war (unter Suse 9.0)
 
Außerem kann Teamspeak ja mal abstürzen und muss dann neu gestartet werden. Und ich möchte niemandem, der die Rechte hat, ts neu zu starten, Zugriff auf andere Verzeichnisse in meinem Server geben.
Dann bastel dir ein entsprechendes cgi-script zusammen. Nicht vertrauenswürdige User mit Shellzugriff können auch mit beschränkten Verzeichnisszugriff zu viel Unsinn machen, z.b. die Festplatte vollmüllen, Spam versenden, P2P Software installieren oder DoS Attacken ausführen.
Eine selbstkompilierte SSH fällt deswegen leider weg, da ich bei Fehlern nicht mehr auf den Rechner komme (außer Re-Install), schließlich steht mein VServer nicht neben meinem Schreibtisch :-/
Man kann problemlos mehrere sshd Versionen gleichzeitig laufen lassen sollange man sie an unterschiedliche Ports lauschen läßt.
Wo seh ich denn was ich für einen FTP habe?
Code:
netstat -ltnp | egrep :21
 
Last edited by a moderator:
Jo danke für Deine Antwort, wenn ich den Befehl eingebe erscheint folgendes:


vs15XXXX:/srv/www/web2/html # netstat -ltnp | egrep :21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 10786/xinetd

bzw.
vs15XXXX:/etc/xinetd.d # ls -la | grep ftp
-rw-r--r-- 1 root root 310 May 31 2004 proftpd
 
Last edited by a moderator:
Back
Top