Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

stänga av tillgång till ssh men inte ftp

1 2
Skriv svar
Permalänk
Medlem

stänga av tillgång till ssh men inte ftp

Jag har satt upp en ftp server men problemet är att användarna kan fortfarande logga in på ssh med samma namn&lösen går det stänga av det på nåt sätt så dom bara kan logga in på ftå men inte ssh?

Redigera
Citera flera Citera
Permalänk
Medlem

I filen /etc/ssh/sshd_config lägger du till "AllowUsers nisse pelle lisa" så kan bara nisse, pelle och lisa logga in med SSH. Vissa ftp servrar sätter upp egna användarlistor som är oberoende av vanliga /etc/passwd. Du kanske skulle försöka byta till en sådan FTP server. Dessutom bör du ge de som inte skall kunna logga in ett oanvändbart shell, t.ex. /bin/false

Visa signatur

I am not a politician and my other habits are also good.

Redigera
Citera flera Citera
Permalänk
Medlem

Om jag inte minns fel har Pure-FTPd en inställning så om du sätter shell till /bin/ftp så kan användaren endast logga in via FTP. Möjligt att även andra ftpds har en motsvarande inställning.

Redigera
Citera flera Citera
Permalänk
Medlem

..

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Eller s lägger du /bin/false, /sbin/false, /usr/bin/false som shell. Nån av dom, det beror på vilken dist man använder, eller så ligger den på samma stället. skitsamma faktiskt. Så slipper du lägga till en massa användare i sshd confen eftersom det är onödigt bök om du jämför med att sätta shell till någon av ovanstående när du lägger till användaren.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

Du har troligtvis på någon slags chroot som ändrar root från / till /usr/ftp, det gör att /usr/ftp/användare ser ut som /användare och gör att de inte kan ta sig ut till den riktiga / utan är låsta till /usr/ftp vilket man oftast vill.

Visa signatur

Stolt användare av en ibook 300 MHz (dasslocket)

Redigera
Citera flera Citera
Permalänk
Medlem

Skapa en grupp som du döper till sshusers eller liknande, lägg med dem som ska få ssh:a in till maskinen där och lägg till 'AllowGroups sshusers' i /etc/ssh/sshd_config .

Smidigaste lösningen enligt mig...

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för alla svar!!! Nu kan dom inte använda SSH längre

Gällande ProFTPD i proftpd.conf så kan man välja Default root och hos mig är det isf /usr/ftp men tar jag bort # framför Default root så hamnar användarna i /användare/ istället för /usr/ftp/användare om jag lägger tillbaks # framför Default root då fungerar ftp som den ska göra men då kan användarna gå in i usr,etc,local,root osv.....

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Använd pure-ftpd

Visa signatur

There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.

@oscar:prutt.party / monotux@freenode

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av oscar.carlsson
Använd pure-ftpd

Gärna om det står någonstans steg för steg?

Redigera
Citera flera Citera
Permalänk
Medlem

http://www.pureftpd.org har all info du behöver.

Edit: Du kan göra samma sak med ProFTPd också, men då behöver du en separat användardatabas för ftp-konton. Tror iofs du behöver det med PureFTPd också...

Redigera
Citera flera Citera
Permalänk
Medlem

Varför ändra på något som funkar? Det är inget fel alls på proftpd.

Visa signatur

"'We're pro-life.' Eww, you look it! You look like you're filled with life."
UNIX man pages online, GNU/Linux-schemaprogram för LiU

Redigera
Citera flera Citera
Permalänk
Medlem

Piltvenom: Jag håller med. Har nyligen bytt från PureFTPd till ProFTPd. ProFTPd var lite krångligare att få snurr på, men känns å andra sidan mycket mer flexibelt.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av cole
Tack för alla svar!!! Nu kan dom inte använda SSH längre

Gällande ProFTPD i proftpd.conf så kan man välja Default root och hos mig är det isf /usr/ftp men tar jag bort # framför Default root så hamnar användarna i /användare/ istället för /usr/ftp/användare om jag lägger tillbaks # framför Default root då fungerar ftp som den ska göra men då kan användarna gå in i usr,etc,local,root osv.....

Jag har satt Defaultroot ~ i min ProfFTP config. Det löser nog ditt problem med ska du se.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av deegan
Jag har satt Defaultroot ~ i min ProfFTP config. Det löser nog ditt problem med ska du se.

Det tror jag inte.
Han använder förmodligen /etc/passwd som användardatabas, vilket innebär att användaren då chroot:as till /home/användare, men han vill ha dem till /usr/ftp/användare (varför man nu vill ha sina ftp-användare i /usr, men men...)

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av nillon
Det tror jag inte.
Han använder förmodligen /etc/passwd som användardatabas, vilket innebär att användaren då chroot:as till /home/användare, men han vill ha dem till /usr/ftp/användare (varför man nu vill ha sina ftp-användare i /usr, men men...)

Så då sätter man /usr/ftp/$USER till hemdir. Jag antog att han inte skulle ha SSH access till dessa människor också. Om så är fallet så är mitt exempel inte det man ska gå efter.

Jag har lite annorlunda, jag kör bara FTP-användare och inga "shell-users" så att säga så jag kör allt till samma ställe eftersom det ändå inte spelar någon roll.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

Alltså dom ska ha bara ftp-access = till hemdir som ligger i /usr/ftp/användare

Redigera
Citera flera Citera
Permalänk
Medlem

Aha. Då kan du använda dig av deegans exempel, och sätta deras hemkatalog till /usr/ftp/användare i /etc/passwd.
Men varför lägger du deras ftp-kataloger under /usr/ftp? Varför inte under /home?

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av cole
Alltså dom ska ha bara ftp-access = till hemdir som ligger i /usr/ftp/användare

Ja om du har lagt deras home till /usr/ftp/$USER så funkar Defaultroot ~ bra.

Men kolla upp det, för som du förklarar det har du inte ändrat på home-dir något när du skapade kontot utan du har satt dom till /home/$USER som är standard. usermod -d /usr/ftp/$USER -U $USER skulle dock lösa det.

http://www.proftpd.org/docs/directives/linked/by-name.html där har du allt mellan proftpd-himmel och proftpd-jord. det finns en till sida som heter http://www.castaglia.org/proftpd/ som har en massa info den med.

EDIT: stavfel.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

Kollade i /etc/passwd och det ser ut så här:

kalle:*:1003:1003:User &:/usr/ftp/kalle:/usr/sbin/nologin

allt verkar vara ok där

deegan: när jag skapade kontot ändrade jag faktiskt från /home/användare till /usr/ftp/användare.

Om jag tar bort # framför Default root ~ och sen loggar in på ftp så hamnar jag in i /användare/ istället för /usr/ftp/användare

nillon: jag följde beskrivningen steg för steg hur man fixar proftpd från freebsd.se

Redigera
Citera flera Citera
Permalänk
Medlem

Men om du har satt DefaultRoot så ska det stå '257 "/" is current directory.' eftersom servern säger att "den här katalogen är root katalogen, du är i toppen av hirearkin"

skapa en fil i kalle då, touch TEST-FIL, och sedan loggar du in och listar. pwd ska också visa "/" som dir för övrigt´om du gör det direkt efter att du har loggat in.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

Roten (/) för användaren som loggar in blir då /usr/ftp/$USER om du satt hans/hennes hemkatalog till det.
Ändra hemkatalog kan du göra med kommandot usermod -d /usr/ftp/pelle pelle - där pelle är användaren.

Visa signatur

"'We're pro-life.' Eww, you look it! You look like you're filled with life."
UNIX man pages online, GNU/Linux-schemaprogram för LiU

Redigera
Citera flera Citera
Permalänk
Medlem

Lånar tråden lite... Mina användrare, (två stycken inklusive mig själv:)) har hemkatalogen /usr/home/*namn*... Hur gör jag om jag vill behålla denna, vidrarebefordra användaren tilll exv. /usr/local/www/*hemsida* vid frp inloggning? Är detta något man måste ändra i inställningarna för själva ftpdemonen? Har provat med lite inloggningscript, men de funkar inte.. Testade också med en softlink till användarens sida, men den syns inte i vissa ftp-program.... Kör med den medföljande ftpd under FreeBSD...

Visa signatur

Hör ropen skalla: Mer CO-OP åt oss alla!
Fanboys är kapitalismens svar på religiösa fundamentalister.
Upplysning für alle: www.thesciencenetwork.org www.transhumanism.org

Redigera
Citera flera Citera
Permalänk
Medlem

Ok, nu fungerar allt tack vare er tack ska ni ha grabbar/tjejer

Nu kan användarna som loggar in på ftp inte kika i usr,etc,bin osv... men dom kan fortfarande kolla in i varandras mapp/filer går det låsa det här också på nåt sätt??

nienithaur: men värför ska dom in till /usr/local/www*hemsidan* är det inte lättare eftersom nu står i httpd.conf redan /usr/home/*/public_html att bara fixa en public_html mapp i användarens hemkatalog,sen är det bara att lägga in filer där...

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av cole
Ok, nu fungerar allt tack vare er tack ska ni ha grabbar/tjejer

Nu kan användarna som loggar in på ftp inte kika i usr,etc,bin osv... men dom kan fortfarande kolla in i varandras mapp/filer går det låsa det här också på nåt sätt??

Ja.. återigen,

Default root ~

Gör så att användarna blir låsta till sin hemkatalog, vilken den än är.
Aktivera detta.

Alternativt (om du fortfarande vill att de skall ha tillgång till annat i /usr/ftp men inte varandras kataloger) kan du ändra rättigheterna för varje katalog med "chmod 0700 katalog" och se till att de står som ägare till katalogen (chown användare katalog)

Visa signatur

I am a prototype for a much larger s󠅄󠅘󠅕󠄐󠅞󠅕󠅕󠅔󠄐󠅤󠅟󠄐󠅒󠅕󠄐󠅟󠅒󠅣󠅕󠅢󠅦󠅕󠅔󠄐󠅑󠅞󠅔󠄐󠅥󠅞󠅔󠅕󠅢󠅣󠅤󠅟󠅟󠅔󠄐󠅧󠅑󠅣󠄐󠅟󠅞󠅓󠅕󠄐󠅣󠅑󠅤󠅙󠅣󠅖󠅙󠅕󠅔󠄐󠅒󠅩󠄐󠄷󠅟󠅔󠄞󠄐󠄾󠅟󠅧󠄐󠅧󠅕󠄐󠅓󠅑󠅞󠄐󠅙󠅝󠅠󠅜󠅕󠅝󠅕󠅞󠅤󠄐󠅤󠅘󠅕󠄐󠅣󠅑󠅝󠅕󠄐󠅖󠅥󠅞󠅓󠅤󠅙󠅟󠅞󠅑󠅜󠅙󠅤󠅩󠄐󠅧󠅙󠅤󠅘󠄐󠅔󠅑󠅤󠅑󠄝󠅝󠅙󠅞󠅙󠅞󠅗󠄐󠅑󠅜󠅗󠅟󠅢󠅙󠅤󠅘󠅝󠅣󠄞ystem

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av cole
Ok, nu fungerar allt tack vare er tack ska ni ha grabbar/tjejer

Nu kan användarna som loggar in på ftp inte kika i usr,etc,bin osv... men dom kan fortfarande kolla in i varandras mapp/filer går det låsa det här också på nåt sätt??

nienithaur: men värför ska dom in till /usr/local/www*hemsidan* är det inte lättare eftersom nu står i httpd.conf redan /usr/home/*/public_html att bara fixa en public_html mapp i användarens hemkatalog,sen är det bara att lägga in filer där...

Jo, fast detta är lite av ett specialfall, det är nämligen så att min kompis skall ha tillgång till en mapp som ligger i katalogen för min sida... Alltså huvudsidan har sökvägen /usr/home/local/www/minsida, och min polares /usr/home/local/www/minsida/hanssida. Visserligen skulle jag väl kunna lägga in en mjuk länk i till denna sida i min katalog mm. Men jag skulle helst bara vilja veta hur man kan redirecta någon till en viss position vid ftpinloggning..

Senast redigerat
Visa signatur

Hör ropen skalla: Mer CO-OP åt oss alla!
Fanboys är kapitalismens svar på religiösa fundamentalister.
Upplysning für alle: www.thesciencenetwork.org www.transhumanism.org

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av nienithaur
Testade också med en softlink till användarens sida, men den syns inte i vissa ftp-program....

Sluta använda de programmen då, eller konfigurera dem rätt?
Har du en mjuklänk som heter /home/anv/www så sätter du användarens hemkatalog till /home/anv/www, då hamnar han ju där när han loggar in.

Visa signatur

I am a prototype for a much larger s󠅄󠅘󠅕󠄐󠅞󠅕󠅕󠅔󠄐󠅤󠅟󠄐󠅒󠅕󠄐󠅟󠅒󠅣󠅕󠅢󠅦󠅕󠅔󠄐󠅑󠅞󠅔󠄐󠅥󠅞󠅔󠅕󠅢󠅣󠅤󠅟󠅟󠅔󠄐󠅧󠅑󠅣󠄐󠅟󠅞󠅓󠅕󠄐󠅣󠅑󠅤󠅙󠅣󠅖󠅙󠅕󠅔󠄐󠅒󠅩󠄐󠄷󠅟󠅔󠄞󠄐󠄾󠅟󠅧󠄐󠅧󠅕󠄐󠅓󠅑󠅞󠄐󠅙󠅝󠅠󠅜󠅕󠅝󠅕󠅞󠅤󠄐󠅤󠅘󠅕󠄐󠅣󠅑󠅝󠅕󠄐󠅖󠅥󠅞󠅓󠅤󠅙󠅟󠅞󠅑󠅜󠅙󠅤󠅩󠄐󠅧󠅙󠅤󠅘󠄐󠅔󠅑󠅤󠅑󠄝󠅝󠅙󠅞󠅙󠅞󠅗󠄐󠅑󠅜󠅗󠅟󠅢󠅙󠅤󠅘󠅝󠅣󠄞ystem

Redigera
Citera flera Citera
Permalänk
Medlem

Hmmm, det har du rätt i, men alla scriptfiler och annat bös som ligger i hemkataliogen? De vill man ju gärna särskilja från webplatsen... När det gäller ftp-prgrammen så är det exporers inbyggda som inte vill befatta sig med symboliska länkar... För mig är det inte så viktigt, men andra användrare (min gode vän tex.) skulle nog tycka det var smidigt om man vidarebefodrades till rätt katalog även i explorer...

Visa signatur

Hör ropen skalla: Mer CO-OP åt oss alla!
Fanboys är kapitalismens svar på religiösa fundamentalister.
Upplysning für alle: www.thesciencenetwork.org www.transhumanism.org

Redigera
Citera flera Citera
Permalänk
Medlem

Det är ju f-n så mycket smidigare att bara konfigurera apache rätt. Du har alias, du har public_html du kan sätta med modulen som i standard laddas med apache. Du gör det lite svårt för dig.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Redigera
Citera flera Citera
Permalänk
Medlem

Går det begränsa upload i proftpd på nåt sätt?? vill inte att användarna ska kunna ladda upp saker större än 10mb

Redigera
Citera flera Citera
1 2
Skriv svar