Sida 1 av 1
SSH-frågor
Postat: 11 dec 2007, 10:31
av steqve
Hej!
Satte upp SSH så att jag kan logga in på servern remote. Det funkar klockrent för mig som är admin. Men jag vill att användarna i systemet bara skall ha tillgång till sin hemkatalog /home/anvnamn samt /raid.
Hur lösa på bästa sätt?
Sen, vill jag att kopplingen mellan windows och servern skall vara transparant. Helst att jag kan montera SSH-kopplingen till servern som en egen enhet. Typ att S: i windows är en SSH-montering. Går detta att göra?
SV: SSH-frågor
Postat: 11 dec 2007, 10:39
av tann
det där med tillgången på kataloger kan bli knepigt eftersom de kommer inte kunna komma åt några program om du begränsar dem.
isf måste skalet och alla andra program ligga i ngn katalog som de kommer åt, inte under /usr t.ex.
ang fråga två vet jag faktiskt inte, windows har inte nativestöd för det vad jag vet.
SV: SSH-frågor
Postat: 11 dec 2007, 10:43
av mcNisse
Jag tycker inte att ssh är det rätta sättet att dela ut filer till windows maskiner. Du får nog lov att installera samba.
SV: SSH-frågor
Postat: 11 dec 2007, 11:31
av Mekaniserad Apelsin
steqve skrev:
Men jag vill att användarna i systemet bara skall ha tillgång till sin hemkatalog /home/anvnamn samt /raid.
Titta in på rssh, det är gjort för just sådana situationer. Vanligtvis brukar man "chroot:a" eller på annat vis "jail:a" användarna, men eftersom de inte är gjorde för sådant så är det inte något att lita på i säkerhetsväg och man ska väl helst undvika sådant.
steqve skrev:
Sen, vill jag att kopplingen mellan windows och servern skall vara transparant. Helst att jag kan montera SSH-kopplingen till servern som en egen enhet. Typ att S: i windows är en SSH-montering. Går detta att göra?
Windows hade inte så sent som december 2006 något sätt att göra det på, utan man var tvungen att installera typ
http://www.bitvise.com/tunnelier och sedan köra portforwarding från klienten till servern, och låta cifs-klienten (det är windows explorer som mappar "fildelningsmappar" till enhetsbokstäver) ansluta till den porten som forwardas. (och slutligen ha samba installerat på servern och lyssna på localhost). Tunnelier går att köra som "service" efter lite pill.
SV: SSH-frågor
Postat: 11 dec 2007, 12:03
av steqve
Allrajt, SSH är just för att dom skall kunna komma åt sina filer hos kunder, hemma eller på tåget som om dom satt vid sitt kontor. Således en SSH-mappning till servern känns bättre än att servern delar ut samba-sharet publikt. Är lite skeptiskt till detta. Även om det i teorin skulle funka bra då samba kräver inloggning. Vi kör dessutom ssh på icke standardport för att slippa få så många försök till besök.
Jag kan ju göra en länk till /raid i deras hemkatalog. Så kan jag styra så att dom inte har rättigheter att läsa / samt att dom inte har rättigheter utanför sin egen home-mapp. Då är dom snabbt låsta till enbart dom två katalogerna.
Hur är det med Vista och ssh? Vi kör vista på deras bärbara (så att dom skall kännas som dom är från 1800-talet prestandamässigt) och MS kanske insett behovet av inbyggt SSH-stöd?
I början kan jag ju låta dem använda WinSCP som funkar bra...men det vore ju snyggt med en rakare koppling i explorer.
SV: SSH-frågor
Postat: 11 dec 2007, 12:17
av Mekaniserad Apelsin
steqve skrev:
Allrajt, SSH är just för att dom skall kunna komma åt sina filer hos kunder, hemma eller på tåget som om dom satt vid sitt kontor. Således en SSH-mappning till servern känns bättre än att servern delar ut samba-sharet publikt. Är lite skeptiskt till detta. Även om det i teorin skulle funka bra då samba kräver inloggning. Vi kör dessutom ssh på icke standardport för att slippa få så många försök till besök.
Tunnla cifs/smb (elelr samba som du kaller det) över ssh?
steqve skrev:
Jag kan ju göra en länk till /raid i deras hemkatalog. Så kan jag styra så att dom inte har rättigheter att läsa / samt att dom inte har rättigheter utanför sin egen home-mapp. Då är dom snabbt låsta till enbart dom två katalogerna.
Se posten ovan om rssh och jailing chrooting osv.
steqve skrev:
Hur är det med Vista och ssh? Vi kör vista på deras bärbara (så att dom skall kännas som dom är från 1800-talet prestandamässigt) och MS kanske insett behovet av inbyggt SSH-stöd?
Nope
steqve skrev:
I början kan jag ju låta dem använda WinSCP som funkar bra...men det vore ju snyggt med en rakare koppling i explorer.
Använd en klient som går att köra som en service? Låt den starta varje gång de kopplar upp sig. Done! (Du kanske vill ställa in så att fildelningsservicen kräver att ssh-tunneln är aktiverad).
SV: SSH-frågor
Postat: 14 dec 2007, 11:18
av steqve
Windows kan väl mount FTP-anslutningar? SSH är ju inte ett krav, det finns väl säker FTP?
Det är ju en helt funkis lösning....någon som vet hur det funkar?
SV: SSH-frågor
Postat: 14 dec 2007, 11:21
av tann
du väljer att mappa upp en enhet och klickar på länken om att mappa upp via en websida eller ngt sånt. där kan du sedan skriva in ftp-server.
fast det är väl inte direkt smidigt, om du frågar mig
SV: SSH-frågor
Postat: 14 dec 2007, 15:04
av steqve
hehe, låter smidigare än SSH för mig just nu
kan man välja att köra någon säker variant av FTP? Inte för att datan på något sätt är hemlig, men ändå...
SV: SSH-frågor
Postat: 14 dec 2007, 15:15
av Mekaniserad Apelsin
steqve skrev:
hehe, låter smidigare än SSH för mig just nu
kan man välja att köra någon säker variant av FTP? Inte för att datan på något sätt är hemlig, men ändå...
ftps heter fpt med ssl som krypterar. Ibland blandas det ihop med sftp som "ska" betyda antingen "ssh's ftp" eller simple ftp. vsftpd är den bästa lösningen just nu för ftp med ssl. Det finns några trådar som tar upp hur man gör. Jag rekommenderar northface guide!
SV: SSH-frågor
Postat: 14 dec 2007, 15:36
av mcNisse
Mekaniserad Apelsin skrev:
ftps heter fpt med ssl som krypterar. Ibland blandas det ihop med sftp som "ska" betyda antingen "ssh's ftp" eller simple ftp. vsftpd är den bästa lösningen just nu för ftp med ssl. Det finns några trådar som tar upp hur man gör. Jag rekommenderar northface guide!
Om man gör en hård länk i hemkatalogen till /raid. Skulle användaren komma åt /raid med vsftp? Har för mig att det inte duger med en mjuk.
SV: SSH-frågor
Postat: 14 dec 2007, 16:01
av steqve
Kan man inte tvinga alla användare att hamna direkt i /raid då? Dom behöver inte komma åt sina hemkataloger över ftp, utan dom skall enbart komma åt det arkiv med ritningar som finns där.
SV: SSH-frågor
Postat: 14 dec 2007, 16:09
av mcNisse
Det går bra att chroota en ftp server på det viset. Min fråga var mest för att jag är nyfiken på hur vsftp hanterar länkar. Min erfarenheter av chroot är väldigt begränsade.
SV: SSH-frågor (nu med FTP...)
Postat: 17 jan 2008, 12:11
av steqve
Jag hade en bulletproof (i windows) ftp-server förut, och i den skapade jag några icke-systemanknutna användare och där satte jag bara att deras root-kataloger var /pub/blaha och sen kom dom inte därifrån sen. Huuuur smidigt som helst. Går det att göra motsvarande enkelt i vsftp? Det skulle ju vara hejdlöst smidigt. Användarna skall dessutom bara ha läsrättigheter.
Om det är svårt i vsftp...finns det någon annan säker ftp-server som kan klara jobbet?
SV: SSH-frågor
Postat: 17 jan 2008, 12:58
av andol
Lite blandade punkter...
Att från en Windowsburk komma åt en samba-utdelning tunnlat är tyvärr inte alltid så trivialt som det borde vara. När du ansluter till en utdelning med Windows kan du, mig veterligen, inte ange portnummer. En tunnel på localhost måste sålunda lyssna på defaultporten (139) vilken krockar med Windows befintliga tjänster. Dessa går förstås att disabla om du inte behöver dem. Har i och för sig ett svagt minne av att jag har sett några workarounds, men dessa var då långt ifrån triviala.
Personligen tycker jag att det låter lite konstigt att prata om att montera en FTP-utdelning. Visst kan du säkert lösa det så du kommer ut ett FTP-konto via en bokstav i Windows, men det handlar ju fortfarande bara om att kopiera filer fram och tillbaks. SFTP å andra sidan tillhandahåller verkligen ett (remote) filsystem du kan arbeta direkt emot.
Kan man klara sig med ett program som varesig är fritt eller gratis så är
SftpDrive duktigt på att montera SFTP-utdelningar i Windows.
Att chroota (s)ftp-inloggningar kan förstås verka trevligt och säkert. Fast frågan är om det alltid är Rätt väg att gå. Tillgång till filer och mappar är ju annars något man styr med permissions i filsystemet. Då dessa permissions ändå bör vara sunda så är frågan hur mycket man verkligen vinner på en chrootad inloggning. Notera även att en chrootad-lösning använder sig av extra root-privilegier, som potentiellt kan utnyttjas.
SV: SSH-frågor
Postat: 17 jan 2008, 16:38
av northface
För ftp kan du använda dej av "bind" kommandot för att komma åt foldrar utanför chroot.
Ett exempel:
Knyter an till
http://ubuntu-se.org/smf/index.php/topi ... #msg159670
Användarna har sina egna hemfoldrar (chroot), där de kan ladda upp och tanka ned sina filer. I nisses fall:
/home/vsftpd/nisse
Om du som administratör på servern vill dela ut en folder - t.ex. ritningar - som bara du själv kan lägga upp filer i och andra bara ska kunna tanka ned från - gör du i fallet nisse:
Skapa först en folder /home/vsftpd/nisse/delade (med behörighet vsftpd,nogroup)
Kod: Markera allt
sudo mount --bind /<sökväg>/ritningar/ /home/vsftpd/nisse/delade
Nu kommer filerna i folder ritningar att dyka upp i nisses hemfolder under folder delade. Han kan inte ladda upp i denna folder bara tanka ned.
Vill du permanenta bindningen måste du skriva in följande i /etc/fstab
/<sökväg>/ritningar/ /home/vsftpd/nisse/delade none bind 0 0