SFTP Nutzer auf Ordner beschränken?

Hi Leute,

ich habe für mich und meine Freunde einen SFTP Server (in Windows) aufgesetzt und möchte nun deren Benutzer so einrichten, dass sie nur auf einen Ordner zugreifen können, den ich für sie erstellt habe (um das ganz für die 3 und mich einfach zu halten).

Kann mir jemand sagen, wie ich das einstellen kann?

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

evtldocha

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Netzwerk

07.02.2024, 17:17

Prinzipiell geht das damit mit folgendem Eintrag in der %programdata%/ssh/sshd_config.

# override default of no subsystems
Subsystem   sftp   internal-sftp
ForceCommand       internal-sftp
ChrootDirectory   c:/<ergänze hier wo der Nutzer landen soll>

Ich persönlich würde mir allerdings etwas mehr Gedanken machen, wie eine sichere SSHD_CONFIG aussehen soll und ich würde dann auch testen, dass mit den obigen Einträgen tatsächlich nur ein sftp-Zugang möglich ist. Immerhin "bohrt" die Installation eines OpenSSH Servers ein Loch in die Firewall.

Arror

Fragesteller

07.02.2024, 17:37

Ich habe es jetzt in der Config das ChrootDirectory angepasst, läuft nun gut.
Gibt es eine Doku wie ich die Sicherheitseinstellungen konfigurieren kann bzw. was welche Einstellung bewirkt?

evtldocha

07.02.2024, 17:40

@Arror

Ja - das gibt es.

Allgemein: https://man.openbsd.org/sshd_config

Windows spezifisch: https://github.com/PowerShell/Win32-OpenSSH/wiki/sshd_config

und sicher vieles mehr.

AcariusTV

07.02.2024, 16:31

Joa klar! Du kannst das in Windows ganz einfach mit den Berechtigungen und Zugriffskontrolllisten (ACLs) einrichten. Hier ist eine Anleitung, wie du das machen kannst:

Zuerst erstelle den Ordner, auf den deine Freunde zugreifen sollen, z.B. "Freunde".
Rechtsklicke auf den Ordner "Freunde" und wähle "Eigenschaften".
Gehe zum Tab "Sicherheit".
Klicke auf "Bearbeiten", um die Berechtigungen zu ändern.
Klicke auf "Hinzufügen", gib den Benutzernamen deines Freundes ein und klicke auf "Überprüfen", um sicherzustellen, dass der Benutzer gefunden wird. Klicke dann auf "OK".
Wähle den Benutzer aus, den du hinzugefügt hast, und gib ihm die erforderlichen Berechtigungen. Du möchtest wahrscheinlich "Vollzugriff" verweigern und nur die Berechtigungen setzen, die sie benötigen, z.B. "Lesen" und "Schreiben".
Klicke auf "OK", um die Änderungen zu speichern.

Auf diese Weise können deine Freunde nur auf den spezifischen Ordner zugreifen, den du für sie freigegeben hast. Mach sicher, dass du die Berechtigungen sorgfältig überprüfst, um sicherzustellen, dass sie nur das tun können, was sie sollen. (Sonst wird es schnell gefährlich).

Woher ich das weiß:Studium / Ausbildung

Arror

Fragesteller

07.02.2024, 16:40

Hat leider nicht funktioniert, sie sehen immer noch alle Ordner der C Platte.
Habe ich eventuell den Benutzer falsch angelegt ?

AcariusTV

07.02.2024, 16:41

@Arror

(Internet, da ich selbst nicht mehr weiter weiß):

Stelle sicher, dass der Benutzer, den du für deine Freunde erstellt hast, über die richtigen Berechtigungen verfügt. Du solltest sicherstellen, dass du einen lokalen Benutzer auf deinem Windows-System erstellt hast und nicht nur einen FTP-Benutzer.
Überprüfe die Berechtigungen des übergeordneten Ordners (normalerweise das Laufwerk, auf dem sich der Ordner befindet). Wenn deine Freunde immer noch alle Ordner sehen können, könnte es sein, dass die Berechtigungen auf einer höheren Ebene zu großzügig sind.
Vergewissere dich, dass die Benutzerkontensteuerung (UAC) aktiviert ist. UAC kann verhindern, dass Benutzer auf bestimmte Ordner zugreifen, auch wenn die Berechtigungen korrekt konfiguriert sind.
Überprüfe die Einstellungen deines SFTP-Servers. Es ist möglich, dass der Server so konfiguriert ist, dass er die Berechtigungen ignoriert oder dass er auf eine andere Weise konfiguriert werden muss, um den Zugriff auf bestimmte Ordner zu beschränken.

evtldocha

07.02.2024, 17:21

@Arror

Wenn Du einen OpenSSH Server für SFTP installiert hast, dann passt die Antwort auch nicht. Sicherheit des OpenSSH Servers regelt man über die sshd_config.

bmke2012

09.02.2024, 07:44

@Arror

Das sehen kannst Du bei diesem Ansatz nicht vermeiden. Mit den ACLs sollte aber der Zugriff eingeschränkt sein!

Ähnliche Fragen

Raspberry Pi SFTP Rechte?

Hallo, ich habe auf meinem PC Dateien, die ich auf den RasPi hochladen möchte. Die möchte ich auf einer Webseite einbinden, die ich mit dem Pi hoste. Aber wenn ich den SFTP-Server wie in verschiedenen Tutorials verwende und dann per Filezilla darauf zugriefen möchte, geht das zwar erstmal. Aber wenn ich eine Datei in /var/www/html einfügen möchte, steht da, dass ich keine ausreichenden Rechte habe. Ich habe mich mit dem pi-Nutzer angemeldet. Wie bekomme ich diese Rechte? Bitte, das ist sehr wichtig!

...zur Frage

FTP - SFTP Bridge mit RasPi?

Ich habe folgendes "Problem".

Ich habe eine Überwachungskamera, die leider nur FTP Upload anbietet.

SFTP geht leider nicht.

Dementsprechend würde ich gerne den RasPi dazwischen schalten als Bridge.

Der RasPi soll dementsprechend per FTP die Daten entgegen nehmen und dann wieder per SFTP auf meinen Server hochladen.

Jetzt ist meine Frage, wie ich das am besten umsetze.

Hab da schon etwas gegoogelt aber leider kein Server/Client seitiges Programm gefunden außer ein Client der Bridging Funktion hat.

Aber der RasPi wird rein per CLI gesteuert und hat keine UI.

Die andere Möglichkeit wäre Scripting, wobei ich das etwas schwieriger bzw. zu komplex einschätze und außerdem mit hoher Fehleranfälligkeit behaftet sein kann.

Die 3. Möglichkeit, welche ich von der Idee her nicht schlecht fand, war FTP Server dann Upload auf Ordner und dann mit SSHfs an den nächsten Server uploaden. Ist halt die Frage wie gut das funktioniert.

Außerdem besteht da evtl. das Problem, wenn ich die Verzeichnisse Synchronisiere, dass auf dem PI zu viel Speicher verbraucht wird.

Mein Ziel ist es, die Video Sequenzen der Cam auf meinen Server hochzuladen und diese dort nach gewisser Zeit automatisch zu löschen.

Die Sache mit dem RasPi ist außerdem die SD Karte, die problematisch wird.

Ich möchte die Daten nicht durchgehend auf dem PI speichern sondern diese eigentlich direkt zum Server durchleiten.

Um das Problem mit der SD Karte und der Haltbarkeit und dem IO zu umgehen würde ich ein RAM-Disk setzen. Das würde für ein paar Videos in der Upload Queue reichen. Dementsprechend keine Daten auf dem PI und nur auf meinem Server. Kein Problem mit IO und Durchsatz sowie der Haltbarkeit der SD.

Jemand Ideen, wie man das Vorhaben am besten und möglichst einfach umsetzen kann?

Bzw irgendwer Erfahrung darin?

Freue mich über gute Antworten und danke schon Mal im Voraus.

...zur Frage

Windows Server Benutzer bestimmte Ordner freigeben?

Hallo,

auf dem WIndows Server befindet sich ein Laufwerk "Daten".

Die Freigabe lautet auch "Daten".

Jetzt soll der neue Mitarbeiter (AD-Nutzer) nicht auf alle Dateien von der Freigabe "Daten" Zugreifen. können. Jetzt möchte ich aber nicht jeden einzelnen Order als Freigabe erstellen, sondern nur Einstellen auf welche Ordner und Dateien unter der Freigabe "Dateien" zugreifen darf.

Sprich: Er kann zwar die Freigabe "Daten" öffnen soll aber dann nur wenige Ordner oder Dateien sehen als der Admin.

...zur Frage

Wie kann man in Windows 10 den Ordner im Benutzer-Ordner umbenennen?

Wenn man auf dem Speicher ist auf dem Windows installiert ist und auf Benutzer klickt, wie benennt man den Order im "Benutzer" ordner um? Also nicht den Benutzer Ordner sondern den darin.

Habe mich beim einrichten vertippt und es ist ein unangenehmer Vertipper weil es die Bedeutung meines Namens ändert...

...zur Frage

Webspace über Filezilla verbinden?

Hi,

ich habe mir Webspace gekauft. Darüber wollte ich eine Wordpress-Seite laufen lassen. Allerdings ist das Theme zu groß um es über die Providerseite hochzuladen. Ich wollte das umgehen indem ich direkt auf den Server zugreife.

Die Fehlermeldung ist:

Status:	Access denied 
Fehler:	Authentifizierung fehlgeschlagen.
Fehler:	Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Dann dachte ich vielleicht ist auf dem Webspace ja gar kein FTP-Server installiert und ich probiere es über SFTP, aber auch dann kommt die gleiche Fehlermeldung.

Sehe ich den Wald vor lauter Bäumen nicht? Was habe ich falsch gemacht?

Protokoll: SFTP - SSH File Transfer Protocol
Server: Die-IP-Adresse des Servers
Port: freigelassen, aber auch mit 22 probiert
Verbindungsart: Normal
Benutzer und Passwort: natürlich mehrmals überprüft und copy&pasted.

Oder sperrt der Provider mit Absicht den Zugang über Filezilla? Das wäre ja verrückt.

liebe grüße

...zur Frage

Wie kann ich auf den Root Ordner zugreifen?

Wie kann ich meinem Benutzer Rechte geben um in den Root Ordner zu kommen?

...zur Frage

Wie kriege ich Dateien aus meinem Linux Container?

Hallo alle miteinander,
ich habe mir gerade einen Linux (ubuntu-20.04-standard_20.04-1_amd64.tar.gz) Container in Proxmox erstellt auf dem ich OpenVPN installiert habe. Ich habe jetzt auch schon ein paar Zertifikate erstellt die ich dann mit FileZilla per (sftp://) herunter zu laden wollte. Doch leider teilt mir FileZilla nur mit das ich keine Berechtigung habe um auf den Container zu zugreifen. Die Frage ist jetzt ob es eine andere Möglichkeit gibt um die Zertifikate vom Container zu bekommen oder wie ich mir die Berechtigung erteilen kann um per (sftp://) auf den Container zu zugreifen.

Liebe Grüße

...zur Frage

Kann man den Mediaserver (fritzbox) mit Passwort schützen?

Hallo,

und zwar habe ich die FritzBox 6360 von Kabel Deutschland. Jetzt könnte ja jeder im WLAN (ja, ich weiß es gibt auch einen Gastzugang) auf den Mediaserver zugreifen. Kann man diesen irgendwie mit einem Passwort schützen? Oder zum Beispiel einstellen, dass nur bestimmte Benutzer (Benutzer bei FritzBox) auf diesen/auf einen bestimmten Ordner zugreifen können?

Vielen Dank schon mal im Voraus!

...zur Frage

Debian SFTP Verzeichnis ändern, wie?

Ich habe nach diesem Tutorial einen SFTP User und Server eingerichtet

https://www.maffert.net/debian-sftp-server-einrichten/

Nun will ich aber nicht auf das user Verzeichnis connecten sondern in /var/www.

Muss ich dann nur wie im Tutorial die Verzeichnisse auf mein /var/www anpassen und der Rest passt oder muss ich sonst noch etwas ändern bzw. beachten

...zur Frage

Windows 11, wie kann ich einstellen, das der Nutzer B, den Appdata Ordner von Nutzer A benutzt, um die gleichen Programm Einstellungen zu nutzen?

Bitte Titel durchlesen

Das ist nervig, wenn ich als Administrator in die C Festplatte muss, dann unter Benutzer, dann Benutzer 1 und dann in den Appdata Ordner und dann jede Datei aus Roaming, Local und Localw kopieren muss und dann bei dem Nutzer 2, der Admin hat, bei dem gleichen Speicher Ort einfügen muss. Kann man nicht einstellen, das der Appdata Ordner von Benutzer 1 benutzt wird?

...zur Frage

Synology Nas?

Hey

Wie kann ich bei meinem Synology Nas einstellen, welche Personen auf welche Ordner zugreifen dürfen. Und nein ich rede nicht von den Gemeinsamen Ordnern, das habe ich verstanden.

Was ich auch komisch finde ist, das ich einem Benutzer schreib rechte auf den Homes Ordner geben muss. Damit hat der Benutzer nicht nur zugriff auch sein eigenes Home sondern auch auf alle anderen Homes. Wenn ich den zugriff auf den Homes Ordner verweigere, dann kann er auch nicht auf sein eigenes Home zugreifen.

...zur Frage

Ubuntu Server Benutzer erstllen mit einzelnen ordner rechten?

Hallo,

wie kann ich auf einem ubuntu Server einen Benutzer erstellen (mit Passwort) der zugriff auf ein paar einzelne Ordner (und unterordner) hat?

...zur Frage

Windows 10 Remotedesktop (Server) mehrere Verbindungen / Benutzer erstellen?

Hey ich habe einen Windows Server zum 1x Alles klappt gut (Bitte solche Kommentare wie nimm doch Linux wenn du es nicht kannst unterlassen ich habe auch Linux möchte mich nur weiter Bilden und Erfahrung sammeln)
- Ich möchte zum 1 neue Benutzer erstellen die auch direkt ein Ordner bekommen klappt nicht wenn ich einen Benutzer erstelle
- Ich möchte auch das mehrere auf diesen Server zugreifen können

...zur Frage

Raspberry Pi USBMOUNT Zugriffsrechte?

usbmount erstellt einen Ordner erstellt in /media aber ich kann nicht als Benutzer pi darauf zugreifen, da er besitzer von root ist. Wenn ihn mit chown auf pi ändere funktioniert alles, starte ich den Pi neu ist root wieder der Besitzer. Wie kann ih das dauerhaft auf den Besitzer pi ändern

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen