Howto: Chroot SFTP Zugang mit openssh ohne shell (ssh) Zugang

Daniel — Tue, 12 Apr 2011 20:37:25 +0000

Manchmal kann es sinnvoll sein Prozesse via SFTP zu automatisieren oder man möchte anderen Usern die Möglichkeit geben Dateien abzulegen. Um zu verhindern, dass sie das ganze Dateisystem durchbrowsen können müssen wir eine Chroot-Umgebung für diese Benutzer etablieren. Ich zeige Dir wie.

Benötigt wird hierzu ein Ubuntu oder Debian System (bei anderen Distributionen mag der Lösungsweg identisch sein) und openssh ab Version 4.9p1. Ab dieser Version hat openssh bordeigene Mittel um die Chroot-Umgebung umzusetzen.

openssh konfigurieren

Zu allererst müssen wir openssh mitteilen, dass es den SFTP Zugang für Benutzer der Gruppe “sftp” anders behandeln soll, als den Zugang anderer User. Hierzu nehmen wir in der Datei /etc/ssh/sshd_config 2 Einstellungen vor:

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp
 
Match Group sftp
        ChrootDirectory %h
        ForceCommand internal-sftp
        AllowTcpForwarding no

Die erste Konfigurationsanweisung ändert das SFTP-Subsystem auf den internen SFTP-Server der für das Chrooting besser funktioniert. Hierbei entfällt auch das Installieren bestimmter Bibliotheken im Chroot-Verzeichnis.

Die zweite Anweisung greift jedes mal wenn sich ein Benutzer der Gruppe sftp authentifiziert. Er wird in sein Home-Directory (%h) eingesperrt und es wird nochmal explizit der internal-sftp geforced. TCP-Forwarding wollen wir auch deaktiviert wissen.

Usereinstellungen für den Chroot-SFTP-Zugang

Um das ganze nun zu testen legen wir den User “sftptest” an. Es soll sein Home-Dir automatisch angelegt werden (-m), er soll keinen Shell-Zugang bekommen (-s /bin/false) und er soll der Gruppe sftp angehören (-G sftp):

addgroup sftp
useradd -m -s /bin/false -G sftp sftptest

Ein Passwort sollte der User sftptest auch bekommen:

passwd sftptest

Es folgt ein Prompt bei dem ein Passwort angegeben werden muss. Anschließend muss das Passwort nochmal bestätigt werden.

Hast Du bereits einen User angelegt und möchtest diesem sftp-Zugang gewähren führst Du folgendes aus:

usermod -G sftp sftptest
usermod -s /bin/false sftptest

Das Home-Dir

Hier müssen wir noch eine Änderung durchführen, die untypisch für das Home-Dir ist. Wir müssen dem root-User den Besitz über das Home-Dir übertragen, andernfalls wird ein Login nicht möglich sein:

chown root:root /home/sftptest/
chmod 0755 /home/sftptest/

Damit der User Dateien samt Ordnern hochladen kann, müssen wir ihm noch ein Verzeichnis anlegen das ihm gehört.

mkdir /home/sftptest/upload
chown sftptest:sftptest /home/sftptest/upload

Das wars. Nun kannst Du die Logindaten ohne Probleme weitergeben.

Viel Spass beim konfigurieren!

Fragen, Kritik oder Anregungen bitte in die Kommentare!

Howto: ssh ohne Passwort

Daniel — Fri, 06 Nov 2009 11:58:58 +0000

Zum Aufbau einer SSH-Verbindung zu einem Linux-Server oder Linux-Client wird für gewöhnlich ein Benutzername und ein Passwort benötigt. Doch was tut man wen man verschiedene Aufgaben auf einem Server oder Client automatisiert ausführen möchte. Ein Passwort-Prompt ist dort hinderlich, da dann der zu automatisierende Vorgang trotzdem eine Benutzereingabe erfordert. Wie kann man das Problem schnell und einfach lösen? Ich zeige es dir.

1. Authentifizierungs-Schlüssel erstellen

Auf dem Server oder Client, der sich per ssh ohne Passwort einloggen soll müssen die Authentifizierungs-Schlüssel erstellt werden. Dies geschieht mit dem Befehl:

linux-kiste:~# ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
4d:d7:09:36:d9:a8:5a:14:c0:b7:7f:49:0b:f4:d9:58 root@linux-kiste

In obigen Beispiel möchte ich als root auf einen Server zugreifen. Bitte beachte jedoch, dass es ein Risiko gibt SSH-Verbindungen als root zu Servern aufzubauen. Man sollte eher einen normalen lokalen Benutzer auf dem Server erstellen der mittels sudo Befehle als root ausführen darf. Der Keygen erstellt den private und public Key im Verzeichnis deiner Wahl (Standard ist ~/.ssh). Bei passhprase einfach nur Enter drücken, also leer lassen. Gibst du eine passphrase an, so musst du diese beim Login-Vorgang eingeben und hast somit wiederum keinen automatisierten Login.

2. den erstellen Authentifizierungs-Schlüssel einspielen

Nun musst du auf dem Server oder Client, zu dem du eine Verbindung mittels ssh ohne Passwort aufbauen willst, den Public Key einspielen. Dies geschieht mit dem Befehl:

cat ~/.ssh/id_dsa.pub | ssh root@andere-linux-kiste ‘cat >> .ssh/authorized_keys

Nach Eingabe des obigen Befehls wird das letzte mal nach einem Passwort gefragt. Dein Public Key wird auf dem anderen Server am Ende der Datei .ssh/authorized_keys eingefügt. Wenn du jetzt probierst dich per SSH ohne Passwort einzuloggen, wirst du feststellen, dass kein Passwort-Prompt mehr kommt.

3. Fragen, Anregungen und Kritik?

Hat dir mein Howto geholfen? Klappt etwas bei dir nicht? Hast du Fragen oder möchtest einfach nur Danke sagen? Dann schreibe einen Kommentar.

Vielen Dank!

Post-Picture from cauthon can be found here.

http://www.flickr.com/photos/nathanatbath/

madapez» madapez.com befasst sich mit Linux mint, Kurzgeschichten, Freizeit und alles Kreativ-e