Zusätzliche SSH/SFTP Nutzer
Re: Zusätzliche SSH/SFTP Nutzer
Anscheinend mache ich wirklich was falsch, habe es gestern noch mal versucht aber, daran immer noch gescheitert.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Zusätzliche SSH/SFTP Nutzer
Eigendlich war ich mit dem Thema hier durch, aber ihr müsst ja selber wissen was ihr tut.
Persöhnlich würde ich warten, bis es ins Panel integriert wird.
Hinweiß: Auf eure eigene Verantwortung und ohne jegliche Garantie auf alles !
/etc/proftpd/proftpd.conf
Hinter den Anonymus Block
Dann noch den HostKey entweder neu erstellen oder den des SSH Servers nutzen
Nurnoch den FTP neu starten und glücklich sein.
Nebeninfo
Wenn ihr den Server nicht nur im SFTP sondern auch im normalen FTP betreiben wollt , sollte das hier helfen.
Und nochmal der Hinweiß ( !!! )
ALLES AUF EURE EIGENE VERANTWORTUNG !!!!
Zerschießt ihr euch irgendwas oder werdet durch irgendwelche Sicherheitsprobs geknackt = EUER PROBLEM !
Danke und Waldmannsheil (Info für Mod: https://de.wikipedia.org/wiki/Waidmannsheil - Also nichts zum Modden )
Das dunkle Olli war´s.
Persöhnlich würde ich warten, bis es ins Panel integriert wird.
Hinweiß: Auf eure eigene Verantwortung und ohne jegliche Garantie auf alles !
/etc/proftpd/proftpd.conf
Hinter den Anonymus Block
Code: Select all
<IfModule mod_sftp.c>
SFTPEngine on
SFTPLog /var/log/proftpd/sftp.log
SFTPAuthMethods password # keyboard-interactive
SFTPHostKey /etc/proftpd/ssh_host_rsa_key
# SFTPAuthorizedUserKeys file:~/.sftp/authorized_keys
SFTPCompression delayed
</IfModule>
Code: Select all
cp /etc/ssh/ssh_host_rsa_key /etc/proftpd/ssh_host_rsa_key
Nebeninfo
Wenn ihr den Server nicht nur im SFTP sondern auch im normalen FTP betreiben wollt , sollte das hier helfen.
Und nochmal der Hinweiß ( !!! )
ALLES AUF EURE EIGENE VERANTWORTUNG !!!!
Zerschießt ihr euch irgendwas oder werdet durch irgendwelche Sicherheitsprobs geknackt = EUER PROBLEM !
Danke und Waldmannsheil (Info für Mod: https://de.wikipedia.org/wiki/Waidmannsheil - Also nichts zum Modden )
Das dunkle Olli war´s.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Zusätzliche SSH/SFTP Nutzer
Olli, das wäre jetzt nicht notwendig gewesen aber.
Danke
Danke
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Zusätzliche SSH/SFTP Nutzer
Passt schon, das ist hier ja bald nen endlos Thema , von daher , lieber ne Übergangslösung posten bevor es garkeine Ruhe gibt.
Muss ja jeder selbst wissen was er tut, hauptsache ich bin aus der Verantwortung
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Zusätzliche SSH/SFTP Nutzer
Naja, spätestens dann. Wenn Alexander seine eigene Lösung gefunden hat und in KeyHelp implemtiert hat, wäre Ruhe
Mein Problem ist gerade:
Will ich normales FTP noch dazu, klappt SFTP wieder nicht..
Und ich habe mich genau an dem Link, was du zusätzlich gepostet hast gehalten.
Mein Problem ist gerade:
Will ich normales FTP noch dazu, klappt SFTP wieder nicht..
Und ich habe mich genau an dem Link, was du zusätzlich gepostet hast gehalten.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Zusätzliche SSH/SFTP Nutzer
Purer Verdacht, aber schau mal service proftpd status ob dich da was nicht übersehbares rotes anspringt.Demon wrote: ↑Sat 1. Aug 2020, 20:19 Naja, spätestens dann. Wenn Alexander seine eigene Lösung gefunden hat und in KeyHelp implemtiert hat, wäre Ruhe
Mein Problem ist gerade:
Will ich normales FTP noch dazu, klappt SFTP wieder nicht..
Und ich habe mich genau an dem Link, was du zusätzlich gepostet hast gehalten.
Vermutung: Falsche Rechte für die Key Datei. (/etc/proftpd/ssh_host_rsa_key muss 0600 Rechte haben, nicht 700, 744, 755 oder gar 777 sondern exact 600)
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Zusätzliche SSH/SFTP Nutzer
Ich schau mal, sobald ich wieder Zuhause bin.
Edit:
Ich habe jetzt eben mal nachgeschaut, Rechte sind 600.
proftpd.conf:
Edit2:
Trotz dieser Config wird sogar der Port dennoch unter nmap localhost angezeigt
sftp.log:
Edit3:
Ich habe es hinbekommen
Sogar, dass dieser generell nur in seinem angegebenen Ordner bleibt
Edit:
Ich habe jetzt eben mal nachgeschaut, Rechte sind 600.
proftpd.conf:
Code: Select all
#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes, reload proftpd after modifications, if
# it runs in daemon mode. It is not required in inetd/xinetd mode.
#
# Includes DSO modules
Include /etc/proftpd/modules.conf
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 on
# If set on you can experience a longer connection delay in many cases.
IdentLookups off
ServerName "server1.domain.de FTP-Server"
ServerType standalone
DeferWelcome off
MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
DisplayLogin welcome.msg
DisplayChdir .message true
ListOptions "-l"
DenyFilter \*.*/
# Use this to jail all users in their homes
DefaultRoot ~
# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell off
# Port 21 is the standard FTP port.
#Port 21
# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
PassivePorts 30000 30500
# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress 1.2.3.4
# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours
<IfModule mod_dynmasq.c>
# DynMasqRefresh 28800
</IfModule>
# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 30
# Set the user and group that the server normally runs at.
User proftpd
Group nogroup
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022
# Normally, we want files to be overwriteable.
AllowOverwrite on
AllowRetrieveRestart on
AllowStoreRestart on
# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd off
# This is required to use both PAM-based authentication and local passwords
# AuthOrder mod_auth_pam.c* mod_auth_unix.c
# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile off
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# Logging onto /var/log/lastlog is enabled but set to off by default
#UseLastlog on
# In order to keep log file dates consistent after chroot, use timezone info
# from /etc/localtime. If this is not set, and proftpd is configured to
# chroot (e.g. DefaultRoot or <Anonymous>), it will use the non-daylight
# savings timezone regardless of whether DST is in effect.
#SetEnv TZ :/etc/localtime
<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>
<IfModule mod_ratio.c>
Ratios off
</IfModule>
# Delay engine reduces impact of the so-called Timing Attack described in
# http://www.securityfocus.com/bid/11430/discuss
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
<IfModule mod_ctrls.c>
ControlsEngine off
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>
<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>
#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
Include /etc/proftpd/sql.conf
#
# This is used for FTPS connections
#
<VirtualHost 0.0.0.0>
Port 210
TLSEngine on
</VirtualHost>
<VirtualHost 0.0.0.0>
Port 214
TLSOptions UseImplicitSSL
</VirtualHost>
Include /etc/proftpd/tls.conf
#
# Useful to keep VirtualHost/VirtualRoot directives separated
#
#Include /etc/proftpd/virtuals.con
# A basic anonymous configuration, no upload directories.
# <Anonymous ~ftp>
# User ftp
# Group nogroup
# # We want clients to be able to login with "anonymous" as well as "ftp"
# UserAlias anonymous ftp
# # Cosmetic changes, all files belongs to ftp user
# DirFakeUser on ftp
# DirFakeGroup on ftp
#
# RequireValidShell off
#
# # Limit the maximum number of anonymous logins
# MaxClients 10
#
# # We want 'welcome.msg' displayed at login, and '.message' displayed
# # in each newly chdired directory.
# DisplayLogin welcome.msg
# DisplayChdir .message
#
# # Limit WRITE everywhere in the anonymous chroot
# <Directory *>
# <Limit WRITE>
# DenyAll
# </Limit>
# </Directory>
#
# # Uncomment this if you're brave.
# # <Directory incoming>
# # # Umask 022 is a good standard umask to prevent new files and dirs
# # # (second parm) from being group and world writable.
# # Umask 022 022
# # <Limit READ WRITE>
# # DenyAll
# # </Limit>
# # <Limit STOR>
# # AllowAll
# # </Limit>
# # </Directory>
#
# </Anonymous>
<IfModule mod_sftp.c>
<VirtualHost 0.0.0.0>
Port 211
SFTPEngine on
SFTPLog /var/log/proftpd/sftp.log
SFTPAuthMethods password # keyboard-interactive
SFTPHostKey /etc/proftpd/ssh_host_rsa_key
# SFTPAuthorizedUserKeys file:../etc/ssh/authorized_keys
SFTPCompression delayed
# MaxLoginAttempts 6
</VirtualHost>
</IfModule>
# Include other custom configuration files
Include /etc/proftpd/conf.d/
# Limit KeyHelp usergroup
<Limit LOGIN>
DenyGroup OR keyhelp_noftp keyhelp_suspended
</Limit>
Trotz dieser Config wird sogar der Port dennoch unter nmap localhost angezeigt
sftp.log:
Code: Select all
2020-08-01 21:36:40,133 mod_sftp/1.0.0[785]: sent server version 'SSH-2.0-mod_sftp'
2020-08-01 21:36:40,165 mod_sftp/1.0.0[785]: received client version 'SSH-2.0-WinSCP_release_5.17.7'
2020-08-01 21:36:40,165 mod_sftp/1.0.0[785]: handling connection from SSH2 client 'WinSCP_release_5.17.7'
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session key exchange: ecdh-sha2-nistp256
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session server hostkey: ssh-rsa
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session client-to-server encryption: aes256-ctr
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session server-to-client encryption: aes256-ctr
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session client-to-server MAC: hmac-sha2-256
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session server-to-client MAC: hmac-sha2-256
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session client-to-server compression: none
2020-08-01 21:36:40,200 mod_sftp/1.0.0[785]: + Session server-to-client compression: none
2020-08-01 21:36:40,397 mod_sftp/1.0.0[785]: sending acceptable userauth methods: password
2020-08-01 21:36:40,436 mod_sftp/1.0.0[785]: client sent SSH_MSG_IGNORE message (99 bytes)
2020-08-01 21:36:40,436 mod_sftp/1.0.0[785]: no account for user 'user1_ftp1' found
2020-08-01 21:36:40,436 mod_sftp/1.0.0[785]: sending userauth failure; remaining userauth methods: password
2020-08-01 21:36:42,590 mod_sftp/1.0.0[785]: disconnecting client (received EOF)
Ich habe es hinbekommen
Sogar, dass dieser generell nur in seinem angegebenen Ordner bleibt
Re: Zusätzliche SSH/SFTP Nutzer
Lösung, gemäß meiner proftpd.conf:
Alexander:
Vielleicht, kann man es so eventuell ungefähr machen.
Warum "ungefähr"? Weil da sicherlich noch weitere Anpassungen notwendig ist, zumindestens konnte ich mit Hilfe von Olli eine eigene Lösung anbieten.
Dafür nochmal danke!
Code: Select all
#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes, reload proftpd after modifications, if
# it runs in daemon mode. It is not required in inetd/xinetd mode.
#
# Includes DSO modules
Include /etc/proftpd/modules.conf
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 on
# If set on you can experience a longer connection delay in many cases.
IdentLookups off
ServerName "server1.domain.de FTP-Server"
ServerType standalone
DeferWelcome off
MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
DisplayLogin welcome.msg
DisplayChdir .message true
ListOptions "-l"
DenyFilter \*.*/
# Use this to jail all users in their homes
DefaultRoot ~
# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell off
# Port 21 is the standard FTP port.
Port 21
# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
PassivePorts 30000 30500
# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress 1.2.3.4
# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours
<IfModule mod_dynmasq.c>
# DynMasqRefresh 28800
</IfModule>
# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 30
# Set the user and group that the server normally runs at.
User proftpd
Group nogroup
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022
# Normally, we want files to be overwriteable.
AllowOverwrite on
AllowRetrieveRestart on
AllowStoreRestart on
# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd off
# This is required to use both PAM-based authentication and local passwords
# AuthOrder mod_auth_pam.c* mod_auth_unix.c
# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile off
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
# Logging onto /var/log/lastlog is enabled but set to off by default
#UseLastlog on
# In order to keep log file dates consistent after chroot, use timezone info
# from /etc/localtime. If this is not set, and proftpd is configured to
# chroot (e.g. DefaultRoot or <Anonymous>), it will use the non-daylight
# savings timezone regardless of whether DST is in effect.
#SetEnv TZ :/etc/localtime
<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>
<IfModule mod_ratio.c>
Ratios off
</IfModule>
# Delay engine reduces impact of the so-called Timing Attack described in
# http://www.securityfocus.com/bid/11430/discuss
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
<IfModule mod_ctrls.c>
ControlsEngine off
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>
<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>
#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
Include /etc/proftpd/sql.conf
#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf
#
# Useful to keep VirtualHost/VirtualRoot directives separated
#
#Include /etc/proftpd/virtuals.con
# A basic anonymous configuration, no upload directories.
# <Anonymous ~ftp>
# User ftp
# Group nogroup
# # We want clients to be able to login with "anonymous" as well as "ftp"
# UserAlias anonymous ftp
# # Cosmetic changes, all files belongs to ftp user
# DirFakeUser on ftp
# DirFakeGroup on ftp
#
# RequireValidShell off
#
# # Limit the maximum number of anonymous logins
# MaxClients 10
#
# # We want 'welcome.msg' displayed at login, and '.message' displayed
# # in each newly chdired directory.
# DisplayLogin welcome.msg
# DisplayChdir .message
#
# # Limit WRITE everywhere in the anonymous chroot
# <Directory *>
# <Limit WRITE>
# DenyAll
# </Limit>
# </Directory>
#
# # Uncomment this if you're brave.
# # <Directory incoming>
# # # Umask 022 is a good standard umask to prevent new files and dirs
# # # (second parm) from being group and world writable.
# # Umask 022 022
# # <Limit READ WRITE>
# # DenyAll
# # </Limit>
# # <Limit STOR>
# # AllowAll
# # </Limit>
# # </Directory>
#
# </Anonymous>
<IfModule mod_sftp.c>
<VirtualHost 0.0.0.0>
Port 211
SFTPEngine on
SFTPLog /var/log/proftpd/sftp.log
SFTPAuthMethods password # keyboard-interactive
SFTPHostKey /etc/proftpd/ssh_host_rsa_key
# SFTPAuthorizedUserKeys file:../etc/ssh/authorized_keys
SFTPCompression delayed
Include /etc/proftpd/sql.conf
DefaultRoot ~
</VirtualHost>
</IfModule>
# Include other custom configuration files
Include /etc/proftpd/conf.d/
# Limit KeyHelp usergroup
<Limit LOGIN>
DenyGroup OR keyhelp_noftp keyhelp_suspended
</Limit>
Vielleicht, kann man es so eventuell ungefähr machen.
Warum "ungefähr"? Weil da sicherlich noch weitere Anpassungen notwendig ist, zumindestens konnte ich mit Hilfe von Olli eine eigene Lösung anbieten.
Dafür nochmal danke!
Re: Zusätzliche SSH/SFTP Nutzer
Guten Abend zusammen,
wir haben uns nun nach einer eigenen Lösung umgeschaut, da eine mögliche Implementierung noch nicht absehbar ist.
Dafür greifen wir auf die Open Source Lösung The Bastion zurück, welche initial von OVH entwickelt und frei zugänglich zur Verfügung gestellt wird.
Wir haben in der Anwendung für jede Agentur eine Gruppe einrichtet, den öffentlichen Schlüssel der jeweiligen Gruppe in entsprechenden Account von KeyHelp hinterlegt, der Gruppe die erforderlichen personalisierten Benutzerkonten zugwiesen - fertig. Zusätzlich werden nun auch alle Aktivitäten aufgezeichnet und somit sind alle Aktivitäten vollumfänglich nachvollziehbar.
Somit steht dem Umzug zu KeyWeb in den kommenden Wochen/Monaten nichts mehr im Wege.
Evtl. hilft des dem Einen oder anderen seinen Wechselwunsch nach zu kommen.
Grüße
wir haben uns nun nach einer eigenen Lösung umgeschaut, da eine mögliche Implementierung noch nicht absehbar ist.
Dafür greifen wir auf die Open Source Lösung The Bastion zurück, welche initial von OVH entwickelt und frei zugänglich zur Verfügung gestellt wird.
Wir haben in der Anwendung für jede Agentur eine Gruppe einrichtet, den öffentlichen Schlüssel der jeweiligen Gruppe in entsprechenden Account von KeyHelp hinterlegt, der Gruppe die erforderlichen personalisierten Benutzerkonten zugwiesen - fertig. Zusätzlich werden nun auch alle Aktivitäten aufgezeichnet und somit sind alle Aktivitäten vollumfänglich nachvollziehbar.
Somit steht dem Umzug zu KeyWeb in den kommenden Wochen/Monaten nichts mehr im Wege.
Evtl. hilft des dem Einen oder anderen seinen Wechselwunsch nach zu kommen.
Grüße
Re: Zusätzliche SSH/SFTP Nutzer
Seit ein paar Stunden bin ich auf der Suche wie man einem Benutzer SFTP Zugang gewährt.
Bislang habe ich 2 Installationen mit ein paar Benutzern, die aber nur ich selbst mit SSH warte. Dies funktioniert alles hervorragend.
Nun würde ich eine weitere Installation machen um hier 2 Benutzer selbstständig ihre Projekte verwalten zu lassen.
Ich habe den Thread gelesen.
Darf ich bitte noch einmal nachfragen, ob ich es richtig verstehe:
- Wenn ein Benutzer SSH Berechtigung hat kann er in fremde Verzeichnisse schauen. Er kann nur schauen, nicht lesen.. aber damit könnte er:
- durch Vergleichen der Dateigröße z.B. die Version ablesen und einen Hack starten
- sehen welche anderen Benutzer/Projekte auf dem Server sind
- versteckte Dateien finden und diese falls im Webroot über Browser abrufen
- Wenn ein Benutzer FTP Berechtigung hat kann er das nicht, aber die Verbindung ist unverschlüsselt. FTP Berechtigung !=SFTP
- Es gibt eine nicht empfohlene Übergangslösung um sich trotzdem mit SFTP zu verbinden.
Fazit, falls ich es richtig verstehe:
SFTP wäre für Kunden aktuell nicht geeignet. FTP ist also der Vorzug zu geben.
Das ist natürlich nicht ganz so attraktiv wie ein jailed SFTP, aber andererseits auch kein Problem.
Bislang habe ich 2 Installationen mit ein paar Benutzern, die aber nur ich selbst mit SSH warte. Dies funktioniert alles hervorragend.
Nun würde ich eine weitere Installation machen um hier 2 Benutzer selbstständig ihre Projekte verwalten zu lassen.
Ich habe den Thread gelesen.
Darf ich bitte noch einmal nachfragen, ob ich es richtig verstehe:
- Wenn ein Benutzer SSH Berechtigung hat kann er in fremde Verzeichnisse schauen. Er kann nur schauen, nicht lesen.. aber damit könnte er:
- durch Vergleichen der Dateigröße z.B. die Version ablesen und einen Hack starten
- sehen welche anderen Benutzer/Projekte auf dem Server sind
- versteckte Dateien finden und diese falls im Webroot über Browser abrufen
- Wenn ein Benutzer FTP Berechtigung hat kann er das nicht, aber die Verbindung ist unverschlüsselt. FTP Berechtigung !=SFTP
- Es gibt eine nicht empfohlene Übergangslösung um sich trotzdem mit SFTP zu verbinden.
Fazit, falls ich es richtig verstehe:
SFTP wäre für Kunden aktuell nicht geeignet. FTP ist also der Vorzug zu geben.
Das ist natürlich nicht ganz so attraktiv wie ein jailed SFTP, aber andererseits auch kein Problem.
Re: Zusätzliche SSH/SFTP Nutzer
Vorweg: In der KeyHelp Pro Version gibt es die Möglichkeit, die SSH-Jail zu aktivieren. Damit sind die SSH Zugänge gechrooted und können nicht aus Ihrem Home-Verzeichnis heraus.
In der normalen Version gilt folgendes:
Er kommt maximal zum Home-Verzeichnis anderer Benutzer, in die Unterverzeichnisse kommt er nicht,
Die Verbindung ist auch nicht zwangsweise unverschlüsselt. Es gibt ja noch FTPS. Solange sich die Nutzer über eine gesicherte FTP-Verbindung verbinden (Nennt sich in den FTP Clienten in etwa so: "FTP über TLS im expliziten Modus"), ist dies auch entsprechend verschlüsselt. Unter "Konfiguration" -> "FTP-Server" kannst du auch festlegen, das nur gesicherte FTP-Verbindungen zum Server zugelassen werden.
Präferierte Lösung wäre KeyHelp Pro / bzw. ein Server bei der Keyweb AG.
In der normalen Version gilt folgendes:
Das stimmt teilweise. Wenn Verzeichnisse entsprechende Dateiberechtigungen ausweisen, können diese Nutzer natürlich auch nicht in sie schauen.Wenn ein Benutzer SSH Berechtigung hat kann er in fremde Verzeichnisse schauen.
Benutzer: Ja, Projekte: Neinsehen welche anderen Benutzer/Projekte auf dem Server sind
Er kommt maximal zum Home-Verzeichnis anderer Benutzer, in die Unterverzeichnisse kommt er nicht,
durch Vergleichen der Dateigröße z.B. die Version ablesen und einen Hack starten
Er kommt wie gesagt nicht in die entsprechenden Ordner, das würde also nicht funktionieren.versteckte Dateien finden und diese falls im Webroot über Browser abrufen
Wenn FTP zum Einsatz kommt, kommt er nicht aus seinem Home-Verzeichnis, korrekt.Wenn ein Benutzer FTP Berechtigung hat kann er das nicht, aber die Verbindung ist unverschlüsselt. FTP Berechtigung !=SFTP
Die Verbindung ist auch nicht zwangsweise unverschlüsselt. Es gibt ja noch FTPS. Solange sich die Nutzer über eine gesicherte FTP-Verbindung verbinden (Nennt sich in den FTP Clienten in etwa so: "FTP über TLS im expliziten Modus"), ist dies auch entsprechend verschlüsselt. Unter "Konfiguration" -> "FTP-Server" kannst du auch festlegen, das nur gesicherte FTP-Verbindungen zum Server zugelassen werden.
Es gab mal im Forum einen Workaround (siehe weiter oben), wäre aber aktuell noch "am KeyHelp vorbei konfiguriert" und kann ich aus diesem Grund daher nicht unbedingt empfehlen.Es gibt eine nicht empfohlene Übergangslösung um sich trotzdem mit SFTP zu verbinden.
Präferierte Lösung wäre KeyHelp Pro / bzw. ein Server bei der Keyweb AG.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Zusätzliche SSH/SFTP Nutzer
Vielen Dank "OlliTheDarkness" für die Config. Mit der beschriebenen Anleitung gibt es noch Probleme beim Überschreiben von bestehenden Dateien, daher hier ein kurzes Update:
Unabhängige Config-Datei, um zukünftige KeyHelp Updates zu berücksichtigen.
/etc/proftpd/conf.d/sftp.conf:
Implementierung von AllowOverwrite sowie AllowStoreRestart, um fehlgeschalgene Uploads sowie Datei-Überschreibungen zu erlauben.
Neustart von ProtFTPd:
LG Linus
Code: Select all
nano /etc/proftpd/conf.d/sftp.conf
/etc/proftpd/conf.d/sftp.conf:
Code: Select all
<IfModule mod_sftp.c>
<VirtualHost 0.0.0.0>
Port 22
SFTPEngine on
SFTPAuthMethods password
SFTPLog /var/log/proftpd/sftp.log
# ssh-keygen -t rsa -b 4096 -C sftp.server.com
SFTPHostKey /etc/proftpd/keys/sftp_rsa
SFTPCompression delayed
MaxLoginAttempts 10
AllowOverwrite on
AllowStoreRestart on
DefaultRoot ~
# KeyHelp MySQL FTP User Backend
Include /etc/proftpd/sql.conf
</VirtualHost>
</IfModule>
Neustart von ProtFTPd:
Code: Select all
systemctl restart proftpd
LG Linus
Re: Zusätzliche SSH/SFTP Nutzer
Hallo Alexander,
ich habe nun die Pro Version geordert. SSH-Jail funktioniert soweit!
Aber "Zusätzliche SSH/SFTP Nutzer" kann ich nicht finden. Hab ich was übersehen?
Ich würde das dringend benötigen....
ToM
Re: Zusätzliche SSH/SFTP Nutzer
Hallo,
die gesichterte SSH-Umgebung lässt sich über
Benutzerverwaltung -> Benutzer zum Bearbeiten auswählen -> Reiter "Ressourcen & Berechtigungen" -> Checkbox "Eingeschränkte SSH-Umgebung"
aktivieren.
die gesichterte SSH-Umgebung lässt sich über
Benutzerverwaltung -> Benutzer zum Bearbeiten auswählen -> Reiter "Ressourcen & Berechtigungen" -> Checkbox "Eingeschränkte SSH-Umgebung"
aktivieren.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************