• Vastliggende pagina
  • Info
  • Bijlages
Verschillen tussen versies 1 en 15 (omvat 14 versies)
Versie 1 sinds 2009-10-28 23:53:57
Grootte: 2392
Auteur: rachidbm
Commentaar: in aanbouw
Versie 15 sinds 2009-11-06 21:41:18
Grootte: 3791
Auteur: rachidbm
Commentaar: open source != gratis; vandaar mn toevoeging
Verwijderingen worden op deze manier gemarkeerd. Toevoegingen worden op deze manier gemarkeerd.
Regel 1: Regel 1:
## page was renamed from community/OpenSSHToegangBeperken
## page was renamed from community/OpenSSH-lock_user
Regel 10: Regel 12:
## Maak een nieuw topic aan in het documentatie-onderdeel van het forum; vervang deze link zodat hij naar de juiste pagina verwijst:
##
Discussieer over dit artikel in het [[http://forum.ubuntu-nl.org/documentatie/xyz|forum]].
Discussieer over dit artikel in het [[http://forum.ubuntu-nl.org/documentatie/ssh-lock-user-in-directory/|forum]].
Regel 14: Regel 15:
 . <<GeschiktVoor("Ubuntu, server","8.10?, 9.04, 9.10")>>  . <<GeschiktVoor("Ubuntu, server","9.04, 9.10")>>
Regel 16: Regel 17:
= OpenSSH lock user in homedir = = SSH Toegang Beperken =
Regel 18: Regel 19:
Voor achtergrond informatie over SSH zie de [[community/Openssh-server | OpenSSH]] pagina. Als je een gebruiker via SSH toegang geeft tot je systeem, kan hij ongeveer alle mappen bekijken. Hij zou misschien niet direct schade aan kunnen richten, maar het is fijner als hij alleen kan wat nodig is. Als je wilt dat een gebruiker alleen maar bestanden kan uitwisselen (uploaden/downloaden) is het een optie om deze te locken in een bepaalde directory. Dit artikel beschrijft hoe je dit kunt doen. Voor achtergrondinformatie over SSH zie de [[community/Openssh-server | OpenSSH]] pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map.
Regel 20: Regel 21:
Dit werkt vanaf OpenSSH 4.8p1
== Stappenplan ==
In {{{/etc/ssh/sshd_config}}} moet worden ingesteld dat OpenSSH de interne SFTP gebruikt.
Wijzig de configuratie:
{{{
sudo nano /etc/ssh/sshd_config
}}}
Regel 22: Regel 29:
== Stappenplan ==
In {{{/etc/ssh/sshd_config}}} moet je instellen dat OpenSSH zijn interne SFTP gebruikt.
Open sshd_config bijvoorbeeld middels: {{{gksudo gedit /etc/ssh/sshd_config}}}
(!) als de Ubuntu desktop geïnstalleerd is kan ook {{{gksudo gedit /etc/ssh/sshd_config}}} gebruikt worden.
Regel 31: Regel 36:
Vervolgens maak je een '''Match''' aan. Hiermee kun je ervoor zorgen dat alleen gebruikers in een bepaalde groep worden gelocked. Maak een '''Match''' aan. Hiermee krijgen bepaalde gebruikers een eigen (beperkte) toegang.

Voeg onderstaande regels toe:
Regel 39: Regel 46:
Sla de nieuwe configuratie op.
Regel 40: Regel 48:
Maak een groep aan voor de gebruikers die alleen bestanden mogen uitwisselen Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep {{{sftponly}}}.
Regel 44: Regel 52:
Vervolgens dien je een gebruiker aan te maken dit zou mogen inloggen.
TODO

Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam `gast`:
Regel 47: Regel 55:
sudo useradd -G sftponly gast
Regel 50: Regel 58:
Geef de gebruikersnaam {{{gast}}} een wachtwoord:
Regel 51: Regel 60:
sudo passwd gast
Regel 53: Regel 63:
== Referentie ==
Dit stukje is geschreven naar aanleiding van [[http://www.debian-administration.org/articles/590 | dit artikel ]]. Het was in de
Maak een eigen map aan voor de gebruiker {{{gast}}}:
{{{
sudo mkdir /home/gast
}}}

In de ssh configuratie (`sshd_config`) is ingesteld dat deze map de hoofdmap is. Dit moet ook in het gebruikersprofiel van gebruiker `gast` worden opgegeven:

{{{
sudo usermod -d / gast
}}}

Herstart openssh:
{{{
sudo /etc/init.d/ssh restart
}}}

De gebruiker {{{gast}}} kan nu inloggen maar is beperkt tot (lezen van) de map `/home/gast`.

Om het mogelijk te maken bestanden te plaatsen kan een submap met ''schrijfrechten'' worden gemaakt:
{{{
sudo mkdir /home/gast/uploads
sudo chgrp sftponly /home/gast/uploads
sudo chmod g+w /home/gast/uploads
}}}
Gebruiker {{{gast}}} kan bestanden plaatsen in de map {{{uploads}}}

== Inloggen ==
Log vanaf een andere computer in als {{{gast}}}:
{{{
sftp gast@ipadres
}}}
De opdracht `pwd` toont de huidige map en als het goed is:
{{{
$ pwd
Remote working directory: /
}}}

(!) ''Filezilla is een grafische client voor SFTP en FTP.'' {{{sudo apt-get install filezilla}}} . Het is open-source, gratis te krijgen en draait op linux, Windows en Mac OS
Regel 57: Regel 103:
De categorie '''CategoryNetwerkenEnServers''' bevat de volgende handleidingen:
<<FullSearchCached(category:CategoryNetwerkenEnServers)>>
Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over [[community/Openssh-server#SshSleutels | SSH Sleutels]]

== TODO ==
 * Een gezamelijke dir voor alle sftp users.




== Referentie ==
Dit stukje is geschreven naar aanleiding van [[http://www.debian-administration.org/articles/590 | dit artikel ]].

## ----
## De categorie '''CategoryNetwerkenEnServers''' bevat de volgende handleidingen:
## <<FullSearchCached(category:CategoryNetwerkenEnServers)>>

Deze pagina staat in de ontwerpdocumentatie. De inhoud is waarschijnlijk nog niet klaar om in de documentatie geïntegreerd te worden en kan fouten bevatten. Indien u fouten opmerkt mag u ze zeker verbeteren, rekening houdende met onze richtlijnen.

Discussieer over dit artikel in het forum.

SSH Toegang Beperken

Inleiding

Voor achtergrondinformatie over SSH zie de OpenSSH pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map.

Stappenplan

In /etc/ssh/sshd_config moet worden ingesteld dat OpenSSH de interne SFTP gebruikt. Wijzig de configuratie:

sudo nano /etc/ssh/sshd_config

Info (!) als de Ubuntu desktop geïnstalleerd is kan ook gksudo gedit /etc/ssh/sshd_config gebruikt worden.

Zoek de regel met Subsystem en maak daarvan:

Subsystem sftp internal-sftp 

Maak een Match aan. Hiermee krijgen bepaalde gebruikers een eigen (beperkte) toegang.

Voeg onderstaande regels toe:

Match group sftponly
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Sla de nieuwe configuratie op.

Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep sftponly.

sudo addgroup sftponly

Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam gast:

sudo useradd -G sftponly gast

Geef de gebruikersnaam gast een wachtwoord:

sudo passwd gast

Maak een eigen map aan voor de gebruiker gast:

sudo mkdir /home/gast

In de ssh configuratie (sshd_config) is ingesteld dat deze map de hoofdmap is. Dit moet ook in het gebruikersprofiel van gebruiker gast worden opgegeven:

sudo usermod -d / gast

Herstart openssh:

sudo /etc/init.d/ssh restart

De gebruiker gast kan nu inloggen maar is beperkt tot (lezen van) de map /home/gast.

Om het mogelijk te maken bestanden te plaatsen kan een submap met schrijfrechten worden gemaakt:

sudo mkdir /home/gast/uploads 
sudo chgrp sftponly /home/gast/uploads
sudo chmod g+w /home/gast/uploads

Gebruiker gast kan bestanden plaatsen in de map uploads

Inloggen

Log vanaf een andere computer in als gast:

sftp gast@ipadres

De opdracht pwd toont de huidige map en als het goed is:

$ pwd
Remote working directory: /

Info (!) Filezilla is een grafische client voor SFTP en FTP. sudo apt-get install filezilla . Het is open-source, gratis te krijgen en draait op linux, Windows en Mac OS

Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over SSH Sleutels

TODO

  • Een gezamelijke dir voor alle sftp users.

Referentie

Dit stukje is geschreven naar aanleiding van dit artikel.


CategoryNetwerkenEnServers

community/SftpServer (laatst bewerkt op 2015-06-14 14:57:12 door testcees)