Frage von Luxxz, 50

SFTP User in Verzeichnis Jailen?

Hallo,

und zwar versuche ich unter Debian 8 einen neu angelegten User in sein Verzeichnis zu fangen, sodass er nicht weiter zurück kann. Nur leider bekomme ich es nicht hin, habe es zwar inzwischen hinbekommen, dass der User wenn er sich via SFTP verbindet das er in seinem Verzeichnis spawnt, aber er kann leider immernoch zurück.

Über eine idiotensichere Anleitung, würde ich mich freuen!

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von KuarThePirat, 20

Hallo,

wenn es nur ein User ist, sshd_config bearbeiten und folgendes hinzufügen:

Match User username
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no

Damit wird der Nutzer in seinem Home Directory eingesperrt. Alternativ kannst du für mehrere Nutzer auch eine entsprechende Gruppe anlegen und stattdessen Match Group groupname verwenden.

Antwort
von EuroSat, 13

Ich habe sftp komplett gesperrt denn über Port 21 funktioniert das mit dem jailen. Über Port 22 wiederum nicht. Deswegen habe ich Port 22 blockiert.

Kommentar von Luxxz ,

Ja habe jetzt auch proftpd wieder am Start, funktioniert auch alles, habe sftp und putty verboten(sprich das was du meinst) so ist es auch am einfachsten

Antwort
von HansAntwortet, 22

Du willst also den FTP user in ein chroot gefängnis sperren?

In der proftpd.conf fügst du

DefaultRoot ~

ein. Dienst neustarten - testen ob du noch rauskommst.

Brauchst du aber eigentlich sowieso nicht wenn es eh ssl verschlusselt ist.

Kommentar von Luxxz ,

Ja Danke, ich will halt ohne proftpd den user jailen!? Irgend ne idee

Kommentar von HansAntwortet ,

Welchen FTP dienst verwendest du denn?

Kommentar von Luxxz ,

na ich will via sftp protokoll connecten

Kommentar von HansAntwortet ,

Ah ich sehe, mißverstandnis.

Du hast kein FTP. Du meinst ssh File transfer.

Das wird um einiges schwieriger, da openSSH so eine möglichkeit nicht implementiert hat, und es keine Pakete gibt die sowas nachmachen.

Würde dir mal empfehlen ins "Securing Debian Manual" zu schauen, dort steht genau drin wie du eine ssh verbindung jailen kannst.

Kommentar von Luxxz ,

ja okay gut dann installiere ich proftpd

Kommentar von KuarThePirat ,

Doch, eigentlich schon. OpenSSH ab 4.9 (released 2009) unterstützt Chroot für sftp.

Kommentar von HansAntwortet ,

Dann weißt du wohl mehr als das Debian Handbuch. Lies dir mal das "Securing Debian Manual" durch.

Kommentar von KuarThePirat ,

Als Gegenvorschlag solltest du vielleicht die Anleitung zu OpenSSH lesen. Nur weil etwas nicht im Securing Debian Manual nicht explizit erwähnt wird, heißt das nicht, dass es nicht geht.

Der Teil über SSH Chroot ist aus 2006.

Keine passende Antwort gefunden?

Fragen Sie die Community