[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: sftp und virtual users

Subject: Re: sftp und virtual users
From: Håkan Kaellberg <hk@xxxxxxxxxxx>
Date: Sat, 19 Mar 2011 07:24:15 +0100
To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen,

On Fri, Mar 18, 2011 at 10:41:22PM +0100, Raphael Eiselstein wrote:
> ich recherchiere derzeit, ob und wie man einen reinen sftp-Server
> betreiben kann, der (aus Unix-Sicht) virtuelle Benutzer authentifiziert,
> ohne dass diese Benutzer eine echte Unix-UserID haben muessen (d.h. User,
> stehen nicht in /etc/passwd oder nis oder dergleichen). User sollen rein 
> schluesselbasiert authentifiziert werden.
> 
> Aus Unix-Sicht ist das dann so, dass alle Benutzer die gleiche Unix
> User ID haben und jeweils in eigene Homeverzeichnisse ge-chroot-et
> werden. Insbesondere irgendwelche Zugriffe auf eine interaktive Shell
> soll es nicht geben.
> 
> Das Szenario entspricht in etwa dem Setup, was fuer vsftpd unter
> http://howto.gumph.org/content/setup-virtual-users-and-directories-in-vsftpd/
> beschrieben ist. Das Kernfeature ist hier, dass die Authentifizierung
> via PAM erfolgt, allerdings (fuer vsftpd) eben gegen eine einfache 
> Passwort-Datei, wie man sie von "htpasswd" kennt, siehe
> http://cpbotha.net/software/pam_pwdfile/ 
> 
> Mein aktueller Plan ist, ein relativ minimalistisches chroot zu
> betreiben (lenny, ca 120MB), in dem ein gestrippter open-sshd laeuft, 
> der ueber das (im chroot befindliche) pam gegen das im chroot liegende 
> /etc/passwd authentifiziert mit Benutzern, die alle die selbe UID haben. 
> Das halte ich allerdings fuer Overkill und suche daher eine Loesung, die
> "echte virtuelle User" fuer sftp implementiert.

Es gibt ein paar Loesungen dafuer. Leider werden keine "echte virtuelle User"
damit geschaffen, aber die Endergebniss ist dieselbe. Mit rssh kannst
Du normale Unix-User in Chroot-Umgebung auf einem Dienst, z.B. sftp
einschraenken.

    http://www.pizzashack.org/rssh/

Oder einfach direkt mit OpenSSH, z.B.:

    /etc/ssh/sshd_config:

    Match Group sftponly
        ChrootDirectory %h
        ForceCommand internal-sftp
	AllowTcpForwarding no
	X11Forwarding no
	AllowAgentForwarding no

Die Unix User muessen mit einem * in /etc/shadow angelegt sein.

Gruss:					HÃ¥kan

-- 
GF: HÃ¥kan Kaellberg                Tel:   +49-6203-92 20 41
Simulina GmbH                       Amtsgericht Mannheim
Trajanstrasse  8                          HRB 432087
DE-68526  LADENBURG               <http://www.simulina.se>



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/