• Vastliggende pagina
  • Info
  • Bijlages

Versie 15 sinds 2009-11-06 21:41:18

Bericht wissen

Deze pagina staat in de ontwerpdocumentatie. De inhoud is waarschijnlijk nog niet klaar om in de documentatie geïntegreerd te worden en kan fouten bevatten. Indien u fouten opmerkt mag u ze zeker verbeteren, rekening houdende met onze richtlijnen.

Discussieer over dit artikel in het forum.

SSH Toegang Beperken

Inleiding

Voor achtergrondinformatie over SSH zie de OpenSSH pagina. Als een gebruiker SSH toegang heeft kunnen (bijna) alle mappen worden bekeken. Dit zal niet direct schade aan richten, maar soms is het wenselijk de toegang te beperken tot een eigen ("home") map.

Stappenplan

In /etc/ssh/sshd_config moet worden ingesteld dat OpenSSH de interne SFTP gebruikt. Wijzig de configuratie:

sudo nano /etc/ssh/sshd_config

Info (!) als de Ubuntu desktop geïnstalleerd is kan ook gksudo gedit /etc/ssh/sshd_config gebruikt worden.

Zoek de regel met Subsystem en maak daarvan:

Subsystem sftp internal-sftp 

Maak een Match aan. Hiermee krijgen bepaalde gebruikers een eigen (beperkte) toegang.

Voeg onderstaande regels toe:

Match group sftponly
         ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Sla de nieuwe configuratie op.

Maak een gebruikersgroep aan voor de gebruikers met beperkte toegang. In dit voorbeeld noemen we deze groep sftponly.

sudo addgroup sftponly

Maak een gebruikersnaam aan. In dit voorbeeld is de gebruikersnaam gast:

sudo useradd -G sftponly gast

Geef de gebruikersnaam gast een wachtwoord:

sudo passwd gast

Maak een eigen map aan voor de gebruiker gast:

sudo mkdir /home/gast

In de ssh configuratie (sshd_config) is ingesteld dat deze map de hoofdmap is. Dit moet ook in het gebruikersprofiel van gebruiker gast worden opgegeven:

sudo usermod -d / gast

Herstart openssh:

sudo /etc/init.d/ssh restart

De gebruiker gast kan nu inloggen maar is beperkt tot (lezen van) de map /home/gast.

Om het mogelijk te maken bestanden te plaatsen kan een submap met schrijfrechten worden gemaakt:

sudo mkdir /home/gast/uploads 
sudo chgrp sftponly /home/gast/uploads
sudo chmod g+w /home/gast/uploads

Gebruiker gast kan bestanden plaatsen in de map uploads

Inloggen

Log vanaf een andere computer in als gast:

sftp gast@ipadres

De opdracht pwd toont de huidige map en als het goed is:

$ pwd
Remote working directory: /

Info (!) Filezilla is een grafische client voor SFTP en FTP. sudo apt-get install filezilla . Het is open-source, gratis te krijgen en draait op linux, Windows en Mac OS

Het is veiliger om in plaats van wachtwoorden sleutels te gebruiken om in te loggen. Meer info hierover is te vinden op de pagina over SSH Sleutels

TODO

  • Een gezamelijke dir voor alle sftp users.

Referentie

Dit stukje is geschreven naar aanleiding van dit artikel.


CategoryNetwerkenEnServers