Skocz do zawartości
Zaloguj się, aby obserwować  
IceBeast

Blokowanie użytkownikowi dostępu do ssh, blokowanie w proftd dostępu do folderów

Polecane posty

Cześć. Na moim VPSie z debianem mam openvz. Postanowiłem zainstalować proftpd, żeby dodać kilku użytkowników do ftp... Z tym, że chciałbym żeby mieli dostęp tylko do określonych folderów wraz z podfolderami, np:

Użytkownik test1 do /var/www/clients/client0 wraz ze wszystkimi podfolderami folderu client0.

W confie proftd odkodowałem "DefaultRoot ~" z tym że teraz użytkownicy mają dostęp TYLKO do swojego home folderu czyli np. /var/www/clients/client0 ale nie mogą wejść do podfolderów. Czy da się to jakoś poprawić?

 

I czy zamiana /bin/bash na /bin/false w /etc/passwd jest odpowiednim zabezpieczeniem przed wejściem przez użytkownika do ssh?

 

Z góry dziękuję za pomoc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zmień katalog domowy użytkownika client0 z /home/client0 na /var/www/clients/client0

domyślna powłoka /bin/false nie daje możliwości logowania przez SSH więc powinno być OK

Edytowano przez Life (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem w tym, że właśnie ustawiłem home taki jak mówisz i użytkownik ma tylko dostęp do /var/www/clients/client0 a do np. /var/www/clients/client0/web4 dostępu już nie ma :(

 

Oprócz tego zauważyłem, że gdy wyłączam użytkownikowi dostęp do ssh traci on równocześnie dostęp do FTP..

Gdy jest:

test1:x:1003:1003:,,,:/var/www/clients/client0:/bin/false

nie można się zalogować do ftp, a gdy jest

test1:x:1003:1003:,,,:/var/www/clients/client0:/bin/bash

można...

Edytowano przez IceBeast (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem w tym, że właśnie ustawiłem home taki jak mówisz i użytkownik ma tylko dostęp do /var/www/clients/client0 a do np. /var/www/clients/client0/web4 dostępu już nie ma :(

wklej wynik polecenia:

ls -al /var/www/clients/client0

 

P.S. Zamiast '/bin/false' możesz też użyć '/bin/nologin', to będzie ładny komunikat (w manualu pisze też jak podmienić komunikat na własny):

 

"This account is currently not available."

Edytowano przez phoenx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok, requirevalidshell zadziałało ;) Jakie chmody dać?

 

Ustaw client0 jako właściciela plików i możesz ustawić choćby 700 o ile nic/nikt więcej nie będzie korzystał z plików.

Co do blokady logowania do SSH to w /etc/ssh/sshd_config wklepujesz linijke

 

AllowUsers root 

 

i po spacji dodajesz reszte użytkowników, którzy mają mieć dostęp do ssh.

Analogicznie możesz użyć DenyUsers żeby zablokować dostęp wybranym, a reszcie zostawić odblokowany dostęp.

Edytowano przez romix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×