ssh user auf sein eigenes Verzeichnis beschränken

[txc]

Hallo,

wie kann man einen User bei Debian anlegen, ihm aber nicht erlauben, das Verzeichnis in z.B. /etc zu wechseln?
Chroot ist zu aufwendig, da dies ja alles einschränkt.
Der User soll nur das wechseln aus sein Verzeichnis verboten werden.

Wie löst man dies am besten?

 

[Roger Wilco]

wie kann man einen User bei Debian anlegen, ihm aber nicht erlauben, das Verzeichnis in z.B. /etc zu wechseln?
Chroot ist zu aufwendig, da dies ja alles einschränkt.

Viele Dateien in /etc müssen auch von normalen Benutzern gelesen werden können, etwa die /etc/resolv.conf oder /etc/hosts.

Du könntest den Zugriff auf bestimmte Dateien mit POSIX ACL verbieten (`man setfacl`, `man getfacl`) oder auf eine Kernelerweiterung mit zusätzlichem Rechtesystem (RSBAC, RBAC von grsecurity oder MLS von SELinux) zurückgreifen. Im Endeffekt ist alles aufwendiger, als eine kleine chroot Umgebung zu erstellen...

 

[txc]

Er soll nur nicht per SFTP also winscp in andere Verzeichnisse wechseln können. Also das dies sein Homeverezcinis ist und er nicht wechseln kann.

 

[Roger Wilco]

Dann schau dir mal die neuen Features von OpenSSH 4.9 bzw. 5.0 an.

Google spuckt etwa chroot(2) Unterstützung für OpenSSH - Jochens Blog oder OpenSSH chrooted SFTP (e.g. for Webhosting) « #!/bin/blog aus...

 

[txc]

weis jemand wie Confixx dies handhabt wenn man einen Webspace Account anlegt und diesen dann SSH zuweißt?
Genauso möchte ich es haben.

 

[Ben.]

Hi,

Nur zum Verständnis: Du willst das Wechseln des Verzeichnisses per SSH für bestimmte User verbieten oder nur per SFTP?

Wenn du grundsätzlich den Konsolenzugriff auf das Home-Verzeichnis beschränken willst, kann ich dir nen einfachen Weg aufzeigen.