• Vastliggende pagina
  • Info
  • Bijlages
Verschillen tussen versies 20 en 21
Versie 20 sinds 2009-11-08 16:04:48
Grootte: 7022
Auteur: rachidbm
Commentaar:
Versie 21 sinds 2009-11-10 20:04:40
Grootte: 6632
Auteur: testcees
Commentaar:
Verwijderingen worden op deze manier gemarkeerd. Toevoegingen worden op deze manier gemarkeerd.
Regel 3: Regel 3:
##master-page:CategoryTemplate
##master-date:Unknown-Date
Regel 14: Regel 12:
Regel 18: Regel 15:
Voor achtergrondinformatie over SSH zie de [[community/Openssh-server | OpenSSH]] pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map.
Om bepaalde gebruikers tot dezelfde map te beperken, zie: [[#Meerderegebruikersop1map | Meerdere gebruikers op 1 map]]
Voor achtergrondinformatie over SSH zie de [[community/Openssh-server|OpenSSH]] pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map. Om meerdere gebruikers te beperken tot een gezamelijke map zie: [[#Meerdere_gebruikers_delen_een_map|Meerdere gebruikers delen een map]]
Regel 21: Regel 17:
== Stappenplan ==
De onderstaande stappen dienen te worden uitgevoerd in een terminal. Meer info hierover in [[WerkenMetDeTerminal | Werken met de Terminal]].
== Eigen map ==
De onderstaande stappen dienen te worden uitgevoerd in een terminal. Meer info hierover in [[WerkenMetDeTerminal|Werken met de Terminal]].
Regel 24: Regel 20:
In {{{/etc/ssh/sshd_config}}} moet worden ingesteld dat OpenSSH de interne SFTP gebruikt.
Wijzig de configuratie:
In {{{/etc/ssh/sshd_config}}} moet worden ingesteld dat OpenSSH de interne SFTP gebruikt.  Wijzig de configuratie:
Regel 29: Regel 25:
 
Regel 32: Regel 27:
Zoek de regel met '''Subsystem''' en maak daarvan:  Zoek de regel met '''Subsystem''' en maak daarvan:
Regel 34: Regel 30:
Subsystem sftp internal-sftp  Subsystem sftp internal-sftp
Regel 36: Regel 32:
Regel 39: Regel 34:
Voeg onderaan het bestand de onderstaande regels toe:  Voeg onderaan het bestand de onderstaande regels toe:
Regel 49: Regel 45:
Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep {{{sftponly}}}.  Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep {{{sftponly}}}.
Regel 53: Regel 50:
Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam `gast`:
Regel 54: Regel 52:
Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam `gast`:
Regel 58: Regel 55:
Geef de gebruikersnaam {{{gast}}} een wachtwoord:
Regel 59: Regel 57:
Geef de gebruikersnaam {{{gast}}} een wachtwoord:
Regel 63: Regel 60:
Maak een eigen map aan voor de gebruiker {{{gast}}}:
Regel 64: Regel 62:
Maak een eigen map aan voor de gebruiker {{{gast}}}:
Regel 68: Regel 65:
Regel 74: Regel 70:
Herstart ssh:
Regel 75: Regel 72:
Herstart ssh:
Regel 79: Regel 75:

De gebruiker {{{gast}}} kan nu inloggen maar is beperkt tot (lezen van) de map `/home/gast`. 
De gebruiker {{{gast}}} kan nu inloggen maar is beperkt tot (lezen van) de map `/home/gast`.
Regel 83: Regel 78:
Regel 84: Regel 80:
sudo mkdir /home/gast/uploads  sudo mkdir /home/gast/uploads
Regel 92: Regel 88:
Regel 96: Regel 93:
Regel 100: Regel 98:
Regel 103: Regel 100:
Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over [[community/Openssh-server#SshSleutels|SSH Sleutels]]
Regel 104: Regel 102:
Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over [[community/Openssh-server#SshSleutels | SSH Sleutels]] = Meerdere gebruikers delen een map =
Hierboven is uitgelegd hoe toegang van gebruikers beperkt kan worden tot hun eigen map. Nu wordt er beschreven hoe de toegang (voor een groep stfp gebruikers) beperkt kan worden tot dezelfde map. Bijvoorbeeld wanneer je met meerdere mensen dezelfde bestanden wilt delen.
Regel 106: Regel 105:
= Meerdere gebruikers op 1 map =
Hierboven is uitgelegd hoe toegang van gebruikers beperkt kan worden tot hun home map.
Nu wordt er beschreven hoe de toegang (voor bepaalde gebruikers) beperkt kan worden tot dezelfde map. Dit is bijvoorbeeld handig wanneer je met meerdere mensen dezelfde bestanden wilt delen. Er wordt vanuit gegaan dat het "SSH Toegang Beperken" ten minste 1 keer is uitgevoerd. Als je iets niet begrijpt, kijk dan even terug naar boven.
 * Er wordt vanuit gegaan dat bovenstaande stappen voor het beperken tot een "[[#Eigen_map|Eigen map]]" zijn uitgevoerd.
Regel 112: Regel 108:
Nu gaan we een directory aanmaken waar alle sftp gebruikers terecht komen wanneer ze inloggen. Vanaf nu wordt dit de "share" genoemd.

Als je veel bestanden wilt gaan delen, let er dan op dat de "share" op een partitie staat die groot genoeg is. Zelf heb ik 2 partities. 1 kleintje voor het OS (ongeveer 10 GB). en 1 de rest voor /home. Ik heb ervoor gekozen om de "share" map in /home aan te maken.

(!) Het is niet netjes om een map aan te maken in /home als het geen home map is. Maar ik had geen zin om een 3e partitie voor de share aan te maken.
Maak een gezamelijke map voor de groep sftp gebruikers. In dit voorbeeld {{{/srv/share}}} maar ook een andere map is mogelijk. Plaats deze map op een schijfpartitie met voldoende vrije ruimte, bijvoorkeur gescheiden van het besturingssysteem.
Regel 119: Regel 111:
sudo mkdir /home/share sudo mkdir /srv/share
Regel 121: Regel 113:
Wijzig de configuratie:
Regel 122: Regel 115:
Open {{{/etc/ssh/sshd_config}}} en zoek de regel met '''Match group sftponly'''. Daaronder staat
'''ChrootDirectory /home/%u'''. Maak daarvan:
Regel 125: Regel 116:
ChrootDirectory /home/share sudo nano /etc/ssh/sshd_config
Regel 127: Regel 118:
Zoek de regel met '''Match group sftponly''':
Regel 128: Regel 120:
Herstart ssh. {{{
Match group sftponly
    ChrootDirectory /home/%u
}}}
Wijzig de regel met ''`Chroot`Directory /home/%u'' in:

{{{
ChrootDirectory /srv/share
}}}
Sla de nieuwe configuratie op en herstart ssh:
Regel 132: Regel 134:
Om het voor deze groep van gebruikers mogelijk te maken ook bestanden te plaatsen kan er een submap met ''schrijfrechten'' worden gemaakt:
Regel 133: Regel 136:
Om het voor andere gebruikers mogelijk te maken om bestanden te plaatsen dient er een submap met ''schrijfrechten'' worden gemaakt:
Regel 135: Regel 137:
cd /home/share/
sudo mkdir uploads 
cd /srv/share
sudo mkdir uploads
Regel 140: Regel 142:
De gebuikers kunnen bestanden plaatsen in de map {{{uploads}}}.
Om dit te verduidelijken zou je het onderstaande kunnen doen:
De gebuikers kunnen nu bestanden plaatsen in de map {{{uploads}}}.  Om dit te verduidelijken zou je het onderstaande kunnen doen:
Regel 143: Regel 145:
cd /home/share/ cd /srv/share/
Regel 146: Regel 148:
Test of het werkt door [[#Inloggen|in te loggen]].
Regel 147: Regel 150:
Test of het werkt door [[#Inloggen |in te loggen]]. Als de stappen voor het beperken tot een [[#Eigen_map|Eigen map]] zijn uitgevoerd kan de eigen map van sftp-gebruiker gast {{{/home/gast}}} worden gewist. In plaats hiervan wordt nu de gezamelijke map {{{/srv/share}}} gebruikt.
Regel 149: Regel 152:
Als '''SSH Toegang Beperken''' is uitgevoerd is er nog de home map van gast aanwezig. Maar omdat gast nu {{{/home/share}}} als map heeft, kun je {{{/home/gast}}} verwijderen. == Meer gebruikers toevoegen ==
Met een ''adduser'' opdracht kan een nieuwe sftp gebruiker worden gemaakt voor de gedeelde map.
Regel 151: Regel 155:
== Nieuwe gebruiker toevoegen ==  * Vervang {{{GEBRUIKERSNAAM}}} door de gewenste gebruikersnaam.
Regel 153: Regel 157:
Om een nieuwe gebruiker voor de share toe te voegen voer het onderstaande commando uit.
Vervang {{{GEBRUIKERSNAAM}}} door de gewenste gebruikersnaam.
Regel 158: Regel 160:
Nadat je het wachtwoord hebt ingevoerd, mag je de rest leeg laten.   Nadat je het wachtwoord hebt ingevoerd, kan je de rest leeg laten.
Regel 162: Regel 163:
De map {{{/home/share}}} heeft als eigenaar en groep {{{root}}} en dit moet zo blijven! Je mag wel submappen maken met andere rechten. Dit heeft te maken 'chroot'. De {{{sftponly}}} gebruikers hebben alleen schrijfrechten op de map {{{uploads}}}. Waarschijnlijk wil je zelf makkelijk bestanden in alle mappen kunnen zetten. Dit kan bijvoorbeeld door zelf (EIGEN-INLOGNAAM) eigenaar van de submappen te worden met de opdracht:
Regel 163: Regel 165:
De map {{{/home/share}}} heeft als eigenaar en groep {{{root}}} en dit moet zo blijven! Je mag wel submappen maken met andere rechten. Dit heeft te maken 'chroot'.
De {{{sftponly}}} gebruikers hebben alleen schrijfrechten op de map {{{uploads}}}. Waarschijnlijk wil je zelf wel makkelijk bestanden in alle mappen kunnen zetten. Het makkelijkst is om jezelf dan eigenaar van de submappen te maken.
Dit kan bijv. middels:
Regel 167: Regel 166:
sudo chown GEBRUIKERSNAAM /home/share/* sudo chown EIGEN-INLOGNAAM /srv/share/*
Regel 169: Regel 168:
Als je iets kopieert van uploads naar een andere map. Zal het de eigenaar van de degene die het bestand heeft toegevoegd overnemen. Het is ook mogelijk om de gebruiker die kopieert eigenaar te maken. Dit doe je door het volgende commando uitvoeren:
Regel 170: Regel 170:
Als je iets kopieert van uploads naar een andere submap. Zal het de eigenaar en groep van de degene die het bestand heeft toegevoegd overnemen. Het is ook mogelijk om de gebruiker die kopieert eigenaar te maken. Dit doe je door het volgende commando uitvoeren:
Regel 172: Regel 171:
chmod +s /home/share/* chmod +s /srv/share/*
Regel 174: Regel 173:




## ----
## De categorie '''CategoryNetwerkenEnServers''' bevat de volgende handleidingen:
## <<FullSearchCached(category:CategoryNetwerkenEnServers)>>

Deze pagina staat in de ontwerpdocumentatie. De inhoud is waarschijnlijk nog niet klaar om in de documentatie geïntegreerd te worden en kan fouten bevatten. Indien u fouten opmerkt mag u ze zeker verbeteren, rekening houdende met onze richtlijnen.

Discussieer over dit artikel in het forum.

SSH Toegang Beperken

Voor achtergrondinformatie over SSH zie de OpenSSH pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map. Om meerdere gebruikers te beperken tot een gezamelijke map zie: Meerdere gebruikers delen een map

Eigen map

De onderstaande stappen dienen te worden uitgevoerd in een terminal. Meer info hierover in Werken met de Terminal.

In /etc/ssh/sshd_config moet worden ingesteld dat OpenSSH de interne SFTP gebruikt. Wijzig de configuratie:

sudo nano /etc/ssh/sshd_config

Info (!) als de Ubuntu desktop geïnstalleerd is kan ook gksudo gedit /etc/ssh/sshd_config gebruikt worden.

Zoek de regel met Subsystem en maak daarvan:

Subsystem sftp internal-sftp

Maak een Match aan. Hiermee krijgen bepaalde gebruikers een eigen (beperkte) toegang.

Voeg onderaan het bestand de onderstaande regels toe:

Match group sftponly
    ChrootDirectory /home/%u
    X11Forwarding no
    AllowTcpForwarding no
    ForceCommand internal-sftp

Sla de nieuwe configuratie op.

Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep sftponly.

sudo addgroup sftponly

Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam gast:

sudo useradd -G sftponly gast

Geef de gebruikersnaam gast een wachtwoord:

sudo passwd gast

Maak een eigen map aan voor de gebruiker gast:

sudo mkdir /home/gast

In de ssh configuratie (sshd_config) is ingesteld dat deze map de hoofdmap is. Dit moet ook in het gebruikersprofiel van gebruiker gast worden opgegeven:

sudo usermod -d / gast

Herstart ssh:

sudo /etc/init.d/ssh restart

De gebruiker gast kan nu inloggen maar is beperkt tot (lezen van) de map /home/gast.

Om het mogelijk te maken bestanden te plaatsen kan een submap met schrijfrechten worden gemaakt:

sudo mkdir /home/gast/uploads
sudo chgrp sftponly /home/gast/uploads
sudo chmod g+w /home/gast/uploads

Gebruiker gast kan bestanden plaatsen in de map uploads

Inloggen

Log vanaf een andere computer in als gast:

sftp gast@ipadres

De opdracht pwd toont de huidige map en als het goed is:

$ pwd
Remote working directory: /

Info (!) Filezilla is een grafische client voor SFTP en FTP. sudo apt-get install filezilla . Het is open-source, gratis te krijgen en draait op linux, Windows en Mac OS

Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over SSH Sleutels

Meerdere gebruikers delen een map

Hierboven is uitgelegd hoe toegang van gebruikers beperkt kan worden tot hun eigen map. Nu wordt er beschreven hoe de toegang (voor een groep stfp gebruikers) beperkt kan worden tot dezelfde map. Bijvoorbeeld wanneer je met meerdere mensen dezelfde bestanden wilt delen.

  • Er wordt vanuit gegaan dat bovenstaande stappen voor het beperken tot een "Eigen map" zijn uitgevoerd.

Opzetten

Maak een gezamelijke map voor de groep sftp gebruikers. In dit voorbeeld /srv/share maar ook een andere map is mogelijk. Plaats deze map op een schijfpartitie met voldoende vrije ruimte, bijvoorkeur gescheiden van het besturingssysteem.

sudo mkdir /srv/share

Wijzig de configuratie:

sudo nano /etc/ssh/sshd_config

Zoek de regel met Match group sftponly:

Match group sftponly
    ChrootDirectory /home/%u

Wijzig de regel met ChrootDirectory /home/%u in:

ChrootDirectory /srv/share

Sla de nieuwe configuratie op en herstart ssh:

sudo /etc/init.d/ssh restart

Om het voor deze groep van gebruikers mogelijk te maken ook bestanden te plaatsen kan er een submap met schrijfrechten worden gemaakt:

cd /srv/share
sudo mkdir uploads
sudo chgrp sftponly uploads
sudo chmod g+w uploads

De gebuikers kunnen nu bestanden plaatsen in de map uploads. Om dit te verduidelijken zou je het onderstaande kunnen doen:

cd /srv/share/
sudo touch zet.nieuw.bestanden.in.uploads

Test of het werkt door in te loggen.

Als de stappen voor het beperken tot een Eigen map zijn uitgevoerd kan de eigen map van sftp-gebruiker gast /home/gast worden gewist. In plaats hiervan wordt nu de gezamelijke map /srv/share gebruikt.

Meer gebruikers toevoegen

Met een adduser opdracht kan een nieuwe sftp gebruiker worden gemaakt voor de gedeelde map.

  • Vervang GEBRUIKERSNAAM door de gewenste gebruikersnaam.

sudo adduser --home / --no-create-home --ingroup sftponly GEBRUIKERSNAAM

Nadat je het wachtwoord hebt ingevoerd, kan je de rest leeg laten.

Permissies

De map /home/share heeft als eigenaar en groep root en dit moet zo blijven! Je mag wel submappen maken met andere rechten. Dit heeft te maken 'chroot'. De sftponly gebruikers hebben alleen schrijfrechten op de map uploads. Waarschijnlijk wil je zelf makkelijk bestanden in alle mappen kunnen zetten. Dit kan bijvoorbeeld door zelf (EIGEN-INLOGNAAM) eigenaar van de submappen te worden met de opdracht:

sudo chown EIGEN-INLOGNAAM /srv/share/*

Als je iets kopieert van uploads naar een andere map. Zal het de eigenaar van de degene die het bestand heeft toegevoegd overnemen. Het is ook mogelijk om de gebruiker die kopieert eigenaar te maken. Dit doe je door het volgende commando uitvoeren:

chmod +s /srv/share/*


CategoryNetwerkenEnServers

community/SftpServer (laatst bewerkt op 2015-06-14 14:57:12 door testcees)