Hallo,
ich soll für eine anderen Firmenteil "mal schnell" ein Unterverzeichnis zugänglich machen. WinSCP kann dort installiert werden, kommt durch deren Firewall und bei mir an.
Authentifizierung auf Grund deren IP ist (leider) nicht möglich.
Jetzt braucht ssh (als Grundlage von scp) ja eine login-shell (und vermutlich ein paar Programme, vielleicht ein home-Verzeichnis).
Wie läßt sich das minimal gestalten? (chroot login, ash, ....?)
Gibt es da Howto's / Links / Knowhow?
Bin für jeden Tip dankbar!
Bernhard
Heiko Schlittermann hs@schlittermann.de wrote:
Nie probiert, aber es gibt eine "scponly"-Shell.
Lange im Betrieb, funktioniert, kann dem Benutzer auch _nur_ sein Home zugänglich machen (chroot "mitgeliefert")
mfg, Fabian
Am Montag, 18. Dezember 2006 10:42 schrieb Bernhard Schiffner:
Hallo,
ich soll für eine anderen Firmenteil "mal schnell" ein Unterverzeichnis zugänglich machen. WinSCP kann dort installiert werden, kommt durch deren Firewall und bei mir an.
Authentifizierung auf Grund deren IP ist (leider) nicht möglich.
Soll das heißen, daß jeder Firmenteil sein NAT mit privaten Adressen im internen Netz hat? Wenn ja, dann müssen auch die NAT-Firewalls entsprechend konfiguriert werden, nix mehr mit "schnell".
Jetzt braucht ssh (als Grundlage von scp) ja eine login-shell (und vermutlich ein paar Programme, vielleicht ein home-Verzeichnis).
- beide Rechner müssen sich sehen - ping muß gehen - Es muß auf dem Rechner, auf den mit scp zugegriffen werden soll, der ssh-Dämon laufen. Bei richtigen Betriebssystemen ist das standardmäßig der Fall, ansonsten hilft cygwin weiter.
Hallo Bernhard,
On Mon, Dec 18, 2006 at 10:42:09 +0100, Bernhard Schiffner wrote:
ich soll fuer eine anderen Firmenteil "mal schnell" ein Unterverzeichnis zugaenglich machen. WinSCP kann dort installiert werden, kommt durch deren Firewall und bei mir an.
Authentifizierung auf Grund deren IP ist (leider) nicht moeglich.
???
Jetzt braucht ssh (als Grundlage von scp) ja eine login-shell (und vermutlich ein paar Programme, vielleicht ein home-Verzeichnis).
Fuer WinSCP braucht man nicht zwingend eine Login-Shell auf der Serverseite. Wenn man sich auf sftp als Protokoll festlegt, reicht auf der Serverseite ein sshd und sftp-server als Subsystem. Wenn Du einen eigenen User fuer den WinSCP-Zugang einrichtest, gibst Du diesem als Login-Shell /usr/lib/sftp-server (oder wo auch immer dein sftp-server Binary liegt).
Wie laesst sich das minimal gestalten? (chroot login, ash, ....?)
Fuer diesen Zweck habe ich vor einiger Zeit eine chroot-Umgebung "sshjail" gebaut. Sie besteht aus einem (selbstkompilierten) sshd nebst sftp-server. Eine Shell existiert nicht, /bin/sh ist ein Symlink auf sftp-server. Die Up-/Downloadbereiche fuer den User werden ueber bind-mounts in die chroot-Umgebung eingeblendet.
Dieses sshjail werde ich demnaechst im Rahmen der fuer die lug-dd Seite angeregten Kurztipps beschreiben. Vorlaeufig kann ich mein (etwas veraltetes) sshjail zum Download anbieten: http://chris.silmor.de/sshjail-0.2.tar.gz
Gruss, Chris
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Christian Perle -
Fabian Hänsel -
Heiko Schlittermann -
William Epler