• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Zusätzliche beschränkte Nutzer

C

counteam

Guest
Hidihow :)

Bisher habe ich an Projekten alleine gearbeitet. Jetzt möchte ich zusätzliche "Entwickler"-Accounts auf Basis von SSH/SFTP anlegen, die aber folgende Beschränkungen haben:

  • Der Nutzer darf ausschließlich in das Verzeichnis /srv/DEV/ via SFTP des SSH-Deamons Zugreifen
  • Der Nutzer Darf sich über Shell anmelden (zum Beispiel Putty), hat aber keine root-Rechte, darf nur einige wenige Befehle ausüben (zum Beispiel ausschließlich passwd, um sein Passwort zu ändern und pm2 um deren Prozesse zu verwalten

Hierzu müsste ich dann noch einen weiteren Nutzer anlegen, der den jeweiligen PM2-Prozess gestartet hat, der die gleiche Gruppe besitzt, da ich mit verschiedenen Nutzern sonst verschiedene Config-Ordner besäße... Wie kann ich das ganze so global setzen, dass ich pm2-Commands ausführe und diese über dem selben Nutzer laufen, ohne beispielsweise mit su zum jeweiligen Nutzer zu wechseln? Vielleicht alle mit dem gleichen Home-Directory?

Wie erledige ich das ganze recht simple?

Kurz zur Infrastruktur:
Es gibt ein "Produktives" (/srv/PROD/) und ein "Developer"-Verzeichnis (/srv/DEV/). Eine Node.js Applikation wird mittels PM2 gestartet/gestoppt/verwaltet.

Im SSH-Deamon hatte ich zum Beispiel probiert, die SFTP-Limitierungen einzusetzen, was auch funktioniert:
Match Group limited
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory /srv/DEV
ForceCommand internal-sftp
Der Nutzer kann sich aber allerdings nicht via Putty anmelden. Auch die File-Permissions scheinen nicht richtig zu funktionieren, obwohl alle Ordner und Datein der Gruppe "limited" angehören und der jeweilige Nutzer dieser Gruppe angehört.

In der auth.log gibt es dabei folgenden Eintrag:
Jul 28 15:19:44 XXXX sshd[21281]: fatal: bad ownership or modes for chroot directory "/srv/DEV"

Was mache ich ggf. falsch?
 
Last edited by a moderator:
Back
Top