Eingeschränkte SSH-Umgebung
Schränkt die SSH-Sitzung des Benutzers auf sein Heimatverzeichnis ein. Die SSH-Berechtigung muss aktiviert sein, um diese Funktion nutzen zu können.
Wenn ich mich nun per SSH mit dem betroffenen Benutzer einlogge, kann ich noch aus dem Home Verzeichnis entfliehen und einige Config Dateien in /etc/ ansehen und auch in /var/log/ einige Logs einsehen.
Ich dachte, dass hier die Nutzer fix an ihr Home-Directory gebunden sind oder ist dem nicht so?
was heißt "einige Dateien sehen"? Wenn du aus dem Verzeichnis rauskommst solltest du alle Dateien sehen in /etc denn die haben eine 644 Berechtigung standardmäßig
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Ich kann mich mit dem eingeschränkten SSH Benutzer aus meinem /home/ Verzeichnis herausbewegen.
Ich kann so zB. in /home/users/ gehen und sehen welche anderen Kunden noch auf dem Server liegen. Er kann zwar nicht tiefer gehen, aber sieht eben diese.
Ich kann auch mit dem Benutzer in /var/log gehen und Log Dateien ansehen zB. den dpkg.log.
Es kann auch sein dass das so richtig ist, bislang kenne ich es anders, da wir CloudLinux mit CageFS genutzt haben, da hat jeder Nutzer wirklich NUR seine Daten gesehen und nichts anderes.
Wenn "Eingeschränkte SSH-Umgebung" aktiv ist, sollte das nicht mehr gehen.
-> Wie sieht das Verzeichnis des Users aus? /home/users/<NAME>/?
-> Was sagen die Logs (System Staus -> Protokolle -> update.log)? (vom Zeitpunkt nach der Aktivierung der SSH-Umgebung)
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
#SSH Port Configuration
Port 22
# Supported HostKey algorithms by order of preference.
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
# Password based logins are disabled - only public key based logins are allowed.
AuthenticationMethods password publickey
# Authentication:
PermitRootLogin yes
MaxAuthTries 3
PubkeyAuthentication yes
PasswordAuthentication yes
UsePAM yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
AuthorizedKeysFile .ssh/authorized_keys
# To disable tunneled clear text passwords, change to no here!
PermitEmptyPasswords no
# LogLevel VERBOSE logs user's key fingerprint on login. Needed to have a clear audit track of which key was using to log in.
LogLevel VERBOSE
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Security Settings
X11Forwarding no
PrintMotd no
IgnoreRhosts yes
Protocol 2
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
# Use kernel sandbox mechanisms where possible in unprivileged processes
# Systrace on OpenBSD, Seccomp on Linux, seatbelt on MacOSX/Darwin, rlimit elsewhere.
UsePrivilegeSeparation sandbox
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server
# Limit KeyHelp usergroup
DenyGroups keyhelp_nossh keyhelp_suspended
Match Group keyhelp_chroot
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
Match all
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany http://www.keyweb.de - http://www.keyhelp.de
**************************************************************