SSH-frågor

[steqve]

Hej!

Satte upp SSH så att jag kan logga in på servern remote. Det funkar klockrent för mig som är admin. Men jag vill att användarna i systemet bara skall ha tillgång till sin hemkatalog /home/anvnamn samt /raid.

Hur lösa på bästa sätt?

Sen, vill jag att kopplingen mellan windows och servern skall vara transparant. Helst att jag kan montera SSH-kopplingen till servern som en egen enhet. Typ att S: i windows är en SSH-montering. Går detta att göra?

[tann]

det där med tillgången på kataloger kan bli knepigt eftersom de kommer inte kunna komma åt några program om du begränsar dem.

isf måste skalet och alla andra program ligga i ngn katalog som de kommer åt, inte under /usr t.ex.

ang fråga två vet jag faktiskt inte, windows har inte nativestöd för det vad jag vet.

[mcNisse]

Jag tycker inte att ssh är det rätta sättet att dela ut filer till windows maskiner. Du får nog lov att installera samba.

[Mekaniserad Apelsin]

Men jag vill att användarna i systemet bara skall ha tillgång till sin hemkatalog /home/anvnamn samt /raid.

Titta in på rssh, det är gjort för just sådana situationer. Vanligtvis brukar man "chroot:a" eller på annat vis "jail:a" användarna, men eftersom de inte är gjorde för sådant så är det inte något att lita på i säkerhetsväg och man ska väl helst undvika sådant.

Sen, vill jag att kopplingen mellan windows och servern skall vara transparant. Helst att jag kan montera SSH-kopplingen till servern som en egen enhet. Typ att S: i windows är en SSH-montering. Går detta att göra?

Windows hade inte så sent som december 2006 något sätt att göra det på, utan man var tvungen att installera typ http://www.bitvise.com/tunnelier och sedan köra portforwarding från klienten till servern, och låta cifs-klienten (det är windows explorer som mappar "fildelningsmappar" till enhetsbokstäver) ansluta till den porten som forwardas. (och slutligen ha samba installerat på servern och lyssna på localhost). Tunnelier går att köra som "service" efter lite pill.

[steqve]

Allrajt, SSH är just för att dom skall kunna komma åt sina filer hos kunder, hemma eller på tåget som om dom satt vid sitt kontor. Således en SSH-mappning till servern känns bättre än att servern delar ut samba-sharet publikt. Är lite skeptiskt till detta. Även om det i teorin skulle funka bra då samba kräver inloggning. Vi kör dessutom ssh på icke standardport för att slippa få så många försök till besök.

Jag kan ju göra en länk till /raid i deras hemkatalog. Så kan jag styra så att dom inte har rättigheter att läsa / samt att dom inte har rättigheter utanför sin egen home-mapp. Då är dom snabbt låsta till enbart dom två katalogerna.

Hur är det med Vista och ssh? Vi kör vista på deras bärbara (så att dom skall kännas som dom är från 1800-talet prestandamässigt) och MS kanske insett behovet av inbyggt SSH-stöd?

I början kan jag ju låta dem använda WinSCP som funkar bra...men det vore ju snyggt med en rakare koppling i explorer.

[Mekaniserad Apelsin]

Allrajt, SSH är just för att dom skall kunna komma åt sina filer hos kunder, hemma eller på tåget som om dom satt vid sitt kontor. Således en SSH-mappning till servern känns bättre än att servern delar ut samba-sharet publikt. Är lite skeptiskt till detta. Även om det i teorin skulle funka bra då samba kräver inloggning. Vi kör dessutom ssh på icke standardport för att slippa få så många försök till besök.

Tunnla cifs/smb (elelr samba som du kaller det) över ssh?

Jag kan ju göra en länk till /raid i deras hemkatalog. Så kan jag styra så att dom inte har rättigheter att läsa / samt att dom inte har rättigheter utanför sin egen home-mapp. Då är dom snabbt låsta till enbart dom två katalogerna.

Se posten ovan om rssh och jailing chrooting osv.

Hur är det med Vista och ssh? Vi kör vista på deras bärbara (så att dom skall kännas som dom är från 1800-talet prestandamässigt) och MS kanske insett behovet av inbyggt SSH-stöd?

Nope

I början kan jag ju låta dem använda WinSCP som funkar bra...men det vore ju snyggt med en rakare koppling i explorer.

Använd en klient som går att köra som en service? Låt den starta varje gång de kopplar upp sig. Done! (Du kanske vill ställa in så att fildelningsservicen kräver att ssh-tunneln är aktiverad).

[steqve]

Windows kan väl mount FTP-anslutningar? SSH är ju inte ett krav, det finns väl säker FTP?

Det är ju en helt funkis lösning....någon som vet hur det funkar?

[tann]

du väljer att mappa upp en enhet och klickar på länken om att mappa upp via en websida eller ngt sånt. där kan du sedan skriva in ftp-server.

fast det är väl inte direkt smidigt, om du frågar mig

[steqve]

hehe, låter smidigare än SSH för mig just nu kan man välja att köra någon säker variant av FTP? Inte för att datan på något sätt är hemlig, men ändå...

[Mekaniserad Apelsin]

hehe, låter smidigare än SSH för mig just nu kan man välja att köra någon säker variant av FTP? Inte för att datan på något sätt är hemlig, men ändå...

ftps heter fpt med ssl som krypterar. Ibland blandas det ihop med sftp som "ska" betyda antingen "ssh's ftp" eller simple ftp. vsftpd är den bästa lösningen just nu för ftp med ssl. Det finns några trådar som tar upp hur man gör. Jag rekommenderar northface guide!

[mcNisse]

ftps heter fpt med ssl som krypterar. Ibland blandas det ihop med sftp som "ska" betyda antingen "ssh's ftp" eller simple ftp. vsftpd är den bästa lösningen just nu för ftp med ssl. Det finns några trådar som tar upp hur man gör. Jag rekommenderar northface guide!

Om man gör en hård länk i hemkatalogen till /raid. Skulle användaren komma åt /raid med vsftp? Har för mig att det inte duger med en mjuk.

[steqve]

Kan man inte tvinga alla användare att hamna direkt i /raid då? Dom behöver inte komma åt sina hemkataloger över ftp, utan dom skall enbart komma åt det arkiv med ritningar som finns där.

[mcNisse]

Det går bra att chroota en ftp server på det viset. Min fråga var mest för att jag är nyfiken på hur vsftp hanterar länkar. Min erfarenheter av chroot är väldigt begränsade.

[steqve]

Jag hade en bulletproof (i windows) ftp-server förut, och i den skapade jag några icke-systemanknutna användare och där satte jag bara att deras root-kataloger var /pub/blaha och sen kom dom inte därifrån sen. Huuuur smidigt som helst. Går det att göra  motsvarande enkelt i vsftp? Det skulle ju vara hejdlöst smidigt. Användarna skall dessutom bara ha läsrättigheter.

Om det är svårt i vsftp...finns det någon annan säker ftp-server som kan klara jobbet?

[andol]

Lite blandade punkter...

Att från en Windowsburk komma åt en samba-utdelning tunnlat är tyvärr inte alltid så trivialt som det borde vara. När du ansluter till en utdelning med Windows kan du, mig veterligen, inte ange portnummer. En tunnel på localhost måste sålunda lyssna på defaultporten (139) vilken krockar med Windows befintliga tjänster. Dessa går förstås att disabla om du inte behöver dem. Har i och för sig ett svagt minne av att jag har sett några workarounds, men dessa var då långt ifrån triviala.

Personligen tycker jag att det låter lite konstigt att prata om att montera en FTP-utdelning. Visst kan du säkert lösa det så du kommer ut ett FTP-konto via en bokstav i Windows, men det handlar ju fortfarande bara om att kopiera filer fram och tillbaks. SFTP å andra sidan tillhandahåller verkligen ett (remote) filsystem du kan arbeta direkt emot.

Kan man klara sig med ett program som varesig är fritt eller gratis så är SftpDrive duktigt på att montera SFTP-utdelningar i Windows.

Att chroota (s)ftp-inloggningar kan förstås verka trevligt och säkert. Fast frågan är om det alltid är Rätt väg att gå. Tillgång till filer och mappar är ju annars något man styr med permissions i filsystemet. Då dessa permissions ändå bör vara sunda så är frågan hur mycket man verkligen vinner på en chrootad inloggning. Notera även att en chrootad-lösning använder sig av extra root-privilegier, som potentiellt kan utnyttjas.

[northface]

För ftp kan du använda dej av "bind" kommandot för att komma åt foldrar utanför chroot.

Ett exempel:

Knyter an till http://ubuntu-se.org/smf/index.php/topi ... #msg159670

Användarna har sina egna hemfoldrar (chroot), där de kan ladda upp och tanka ned sina filer. I nisses fall:
/home/vsftpd/nisse

Om du som administratör på servern vill dela ut en folder - t.ex. ritningar - som bara du själv kan lägga upp filer i och andra bara ska kunna tanka ned från - gör du i fallet nisse:

Skapa först en folder /home/vsftpd/nisse/delade (med behörighet vsftpd,nogroup)

Kod: Markera allt

sudo mount --bind /<sökväg>/ritningar/ /home/vsftpd/nisse/delade

Nu kommer filerna i folder ritningar att dyka upp i nisses hemfolder under folder delade. Han kan inte ladda upp i denna folder bara tanka ned.

Vill du permanenta bindningen måste du skriva in följande i /etc/fstab
/<sökväg>/ritningar/ /home/vsftpd/nisse/delade    none    bind    0      0