Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SSH: Benutzer nur Vollzugriff in einem Verzeichnis gestatten

Mitglied: 114801

114801 (Level 1)

03.07.2017, aktualisiert 17:30 Uhr, 1850 Aufrufe, 10 Kommentare

Jemand möchte für eine andere Person ein Verzeichnis auf Debian 8 Vollzugriff geben damit dieser dort Add-On's für ein Spiel ablegen kann, natürlich ohne weitere Rechte für die Konsole

Folgendermaßen könnte es aussehen:
Verzeichnis: /home/spiel1/addons

spiel1 wäre logischerweise das Konto und die Gruppe, der neue Benutzer "Hans" soll nur in den Ordner addons Zugriff haben dürfen und den Inhalt natürlich auch per SFTP sehen dürfen, ich hatte damals was gehabt wo man zwar Benutzer "einsperren" konnte, aber das bugt inzwischen rum.

So gesehen müsste der Benutzer "Hans" in die Gruppe spiel1 wo spiel1 einen Pfad für "Hans" vorgibt und dieser dort landet.

Ich fand im Netz zwar das, was ich im Prinzip auch hatte, aber der Benutzer "Hans" kann sich beispielsweise mit WinSCP nicht einloggen...

01.
Der Server lehnte die SFTP Verbindung ab, lauscht aber auf den FP-Port.
02.
Wollen Sie statt SFTP eine FTP Verindung aufbauen? Sie sollten eine verschlüsselte Verbindung bevorzugen.
Hier der Original-Auszug (sshd_config):
01.
Subsystem sftp internal-sftp
02.

03.
Match Group gmodserver
04.
	ChrootDirectory /home/gmodserver/serverfiles/garrysmod/addons
05.
	ForceCommand internal-sftp
06.
	AllowTCPForwarding no
Der neue Benutzer wurde folgendermaßen angelegt:
01.
adduser --no-create-home NAME_DES_USERS
02.
adduser NAME_DES_USERS gmodserver
Natürlich wurde SSH auch neu gestartet

Vielen Dank.


OT: Schön wäre es, wenn root einen anderen Port bekommen könnte wobei ein Sudoer besser sein sollte
Mitglied: maretz
03.07.2017 um 17:32 Uhr
Moin,

schön wäre es wenn root-remote-login einfach abgeschaltet is, dann is dir der Port egal. Wenn du dich anmelden willst dann erst nen normaler User und per su zu root werden!

Für das andere: Warum nicht ganz einfaches FTP? Schon braucht derjenige keinen Shell-Zugriff und du bist raus aus der Nummer... dann noch sein Home-Dir korrekt setzen und der bleibt auch in dem Verzeichnis (und je nach berechtigung kann er dann eigene Verzeichnisse anlegen oder nicht)
Bitte warten ..
Mitglied: 114801
03.07.2017, aktualisiert um 18:05 Uhr
Damals hatte ich in etwa das auch gehabt, ist lange her

Naja, muss mal schauen wie es mit FTP aussieht, auch schon lange her
Wie erwähnt soll und darf der Nutzer nur in dem erwähnten Verzeichnis Zugriff haben...

Die Person hat ein fast frisches Debian 8.8 mit Pleask 17 installiert, nur ich fand zu Plesk nichts weiteres, mit root kann man sich jedenfalls nicht anmelden... FTP scheint demzufolge installiert zu sein, da nach einem Passwort gefragt wird...

Edit: konnte das Passwort im Terminal ändern (support.plesk.com/hc/en-us/articles/213381869-How-to-get-or-reset-password-for-admin-account-in-Plesk) aber dachte dass mindestens eine Lizenz vom Webanbieter dabei wäre, ist aber nicht so...
Bitte warten ..
Mitglied: 133417
LÖSUNG 03.07.2017, aktualisiert um 18:02 Uhr
https://wiki.archlinux.org/index.php/SFTP_chroot
Klappt einwandfrei, wenn die chroot-dirs root gehören (chown root:root /dir/username) und du die Login-Shell auf /usr/sbin/nologin oder /bin/false festlegst.

Gruß
Bitte warten ..
Mitglied: 114801
03.07.2017, aktualisiert um 18:07 Uhr
Werde mich da mal durchwühlen
Wenn der Nutzer folgendermaßen sein müsste, damit dieser sich einloggen kann, kann man nicht den Addon-Ordner nicht linken?

Beispiel:
/home/hans/<link-zu-addons> (Ziel: /home/gmodserver/serverfiles/garrysmod/addons)
Bitte warten ..
Mitglied: 133417
LÖSUNG 03.07.2017, aktualisiert um 18:38 Uhr
Bitte die verlinkte Seite ganz bis unten lesen, besonders den letzten Abschnitt (Write access to chroot dir). Dort steht alles ausführlichst, auch dein Fall.
Bitte warten ..
Mitglied: 114801
03.07.2017, aktualisiert um 21:53 Uhr
Danke, die Anleitung ist ein guter "Denkanstoß"

Die Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
Bitte warten ..
Mitglied: 133417
04.07.2017, aktualisiert um 07:38 Uhr
Zitat von 114801:

Die Verbindung klappt nun, das Wunschverzeichnis wurde eingebunden. Anmelden via "Schlüssel" will noch nicht.
Dann liegt deine authorized_keys nicht im Chroot-Home des Users
https://stackoverflow.com/questions/23448900/public-key-authorization-on ...
Das Log unter /var/log gibt dir genügend Anhaltspunkte was schief läuft.
Bitte warten ..
Mitglied: 114801
05.07.2017, aktualisiert um 22:02 Uhr
Hatte ich gehabt, klappte weder mit erzeugten Schlüsseln via Console noch mittels Puttygen nicht. Angeblich muss der bzw. die Schlüssel woanders abgelegt werden sonst kann der "eingesperrte" Benutzer sich nicht anmelden
-> wiki.archlinux.org/index.php/SFTP_chroot#Fixing_path_for_authorized_keys

Vor vielen Jahren hatte ich auch dies erfolgreich umsetzen können, aber nach vielen Jahren vergisst man auch wieder leider was...
Bitte warten ..
Mitglied: maretz
06.07.2017 um 20:06 Uhr
Wie sind denn die Berechtigungen deiner ~/.ssh/authorized_keys ? Sollte nicht grad Welt-Schreibbar sein...
Bitte warten ..
Mitglied: 114801
06.07.2017 um 21:46 Uhr
Ich steige bald nicht mehr durch

Welche Berechtigung erhält .ssh und die darauf folgenden Dateien?

Aktuelle Variante: root als Benutzer + Gruppe, chmod ist nun komplett 600, so wie es in einer Anleitung stand, aber auch damit klappt es nicht...
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Exchange 2010: Gruppe mit "Vollzugriff" herausnnehmen - jedoch Vollzugriff bleibt

gelöst Frage von schmidtjOutlook & Mail3 Kommentare

Hallo Zusammen, ich habe eine Gruppe im AD angelegt "Post01", welche im Exchange 2010 mit "Vollzugriff" und "senden als" ...

Exchange Server

Verständnisfrage: "Vollzugriff" in Exchange

gelöst Frage von honeybeeExchange Server17 Kommentare

Hallo, ich kann nicht so richtig herausfinden, was genau beim Vollzugriff so freigegeben wird. Unter "Vollzugriff" verstehe ich, dass ...

Netzwerke

SSH - Programm über SSH Client starten

Frage von VernoxVernaxNetzwerke9 Kommentare

Hallo. Ich habe eben es irgendwie geschafft mein Handy und meinen Pc über SSH zu verbinden. Mit der tollen ...

Windows Server

Exchange Outlook Autoeinrichtung Postfach Vollzugriff

Frage von opc123Windows Server6 Kommentare

Hallo, folgendes Problem tut sich auf. Postfach im Unternehmensnetzwerk wird automatisch beim öffnen von Outlook eingerichtet. Funktioniert alles auch ...

Neue Wissensbeiträge
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 7 StundenWindows 101 Kommentar

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 9 StundenMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Windows Server

Ein Feature, welches einem das Arbeiten mit Windows-2019-Coreservern erleichtern kann

Information von DerWoWusste vor 9 StundenWindows Server2 Kommentare

Man kann mittels Kommando nun folgendes auf Server 2019 in der Coreversion v1809 freischalten, so dass man es lokal ...

Windows 10
MS möchte offenbar lokale Konten abschaffen
Information von UweGri vor 1 TagWindows 1011 Kommentare

Guten Tag Admins, ab und an lese ich bei Dr.-Windows Bei dieser Meldung dachte ich, wird MS jetzt offen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
MS-Hotline-Telefonterror
Frage von HenereErkennung und -Abwehr22 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

Batch & Shell
Last Logon Datum per Powershell abrufen
gelöst Frage von DerWoWussteBatch & Shell12 Kommentare

Moin Kollegen. Wer ist vor 10 schon so fit, mir Folgendes zu erklären: Das zum Titel passende Skript ist ...

Windows 10
Windows 10 mit kaputtem .Net 4.8
Frage von krischeuWindows 1012 Kommentare

Hi, ich habe mit dem Programm ADDISON ein Stabilitätsproblem. Es stürzt regelmäßig während des Arbeitens ab. In der Ereignisanzeige ...