Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: HMi - 15.02.10 - klo:13.07
-
Hei.
Miten tulisi laittaa palvelimen oikeudet jotta yksi käyttäjä ei pystyisi tekemään yhtään mitään muuta kuin lukemaan ja kirjoittamaan omaa kotikansiota ftp:llä?
-
Taitaa mennä chrootilla vääntämiseksi, luulisin.
-
Vaihdat käyttäjän shelliksi vaikka /dev/null.
gedit /etc/passwd
Sieltä kohta:
kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash
muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:
kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null
Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.
-
Vaihdat käyttäjän shelliksi vaikka /dev/null.
gedit /etc/passwd
Sieltä kohta:
kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash
muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:
kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null
Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.
Tuo estää myös ftp:n, mikähän menee pieleen?
Rivi näyttää nyt tältä:
reiska:x:1002:1002:,,,:/home/reiska:/dev/null
-
Ai katsos vaan. Olisi voinut itsekin kokeilla ensin ennenkuin neuvoo :) Jotenkin oletin, ettei ftp tarvi loginshelliä mihinkään. Hmm, no varmaankin sitten ftp-palvelinohjelmistosta säätämällä. Mitä ftp-palvelinta käytät?
P.S. Tällainen löyty:
http://www.faqs.org/docs/securing/chap29sec295.html
-
Käytän proftpd:tä ja olenkin säätänyt niin että sitä kautta ei pääse muihin kansioihin mutta sehän ei nyt riitä.
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.
-
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.
Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)
Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html
-
Asenna virtuaaliservu ko. käyttäjälle.
-
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.
Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)
Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html
En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.
AllowUsers
tenho,kyösti,jörppisKokeilin myös DenyUsers mutta ei toimi kumpikaan tapa. Pitäisikö tuo openssh käynnistää säädön jälkeen uudestaan? Jos pitää niin miten?
Asenna virtuaaliservu ko. käyttäjälle.
No en.
-
Kirjoita:
service ssh restart
Hyviä vastauksia olet saanut. Kysymykseesi on monta eri ratkaisua.
-
En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.
AllowUsers
tenho,kyösti,jörppis
DenyUsers vipua ei (kai) edes ole. Mutta itse tein saman virheen kuin sinä tuossa AllowUsers rivillä kerran: nimien pitää olla eroteltu välilyönnillä:
AllowUsers tenho kyösti jörppis
Testaa toimiiko, minä luulin/luulen, että tuo sallii myös ftp-yhteydet vain noille käyttäjille.
-
Jep, nyt toimii!
Nimet siis piti listata noin kuten Ville Pöntinen osasi neuvoa.
Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.
Kiitos taas kaikille avusta.
Harri
-
Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.
FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.
-
Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.
FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.
Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?
-
Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?
http://www.google.fi/search?q=FTP+security
-
Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?
http://www.google.fi/search?q=FTP+security
No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.
-
No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.
Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.
-
No siis itseasiassa kaikki liikenne lähetetään salaamattomana, sieltä voi grabata tunnukset / salasanat ja vielä kaikenpäälle itse datan mitä siirretään. FTP:tä ei kai kukaan käytä oikein tosissaan tänä päivänä, taitaa olla vain joitakin anonyymejä logineja ja ihan GPL softaa mitä sille siirrellään. (Esim ftp.funet.fi). Mutta privaattihostien välinen liikenne yleensä kannattaa salata.
SFTP (eli ssh) hoitaa tämän tosi mainiosti. Mutta kyseinen AllowUsers optio conffissa estää kyllä sitten tämän käytön.
Se miten saat pelkät SFTP yhteydet koneelle, ettei käyttäjä kuitenkaan pysty sitten käyttämään SSH:ta menee näin:
Tehdään sftp-serveristä sallittu shelli:
sudo echo '/usr/lib/stfp-server' >> /etc/shells
Sitten vaihdetaan käyttäjälle loginshelliksi sftp-server:
sudo usermod -s /usr/lib/sftp-server kayttaja
Näin käyttäjän pitäisi pystyä vain ja ainoastaan kirjautumaan sftp:tä pitkin.
-
Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?
Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.
Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?
Täytyypä kokeilla vielä tuota drgreenin vinkkiä tuosta sallitusta shellistä.
-
Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?
sftp on hyvin tuettu myös windows-ympäristöissä. WinSCP on hyvä ja ilmainen ohjelma tiedonsiirtelyyn windowssin puolella ssh:n avulla. Siinä voi määritellä onko yhteys SFTP vai SCP (scp siis vaatii käyttäjän pääsyn palvelimelle shelliin asti, sftp ei). Ja jos haluaa winscp tulee vain yhtenä exenä, mutta sen voi myös asennella.
Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?
No se, että tunnukset joku nappaisi just sun ftp-yhteydestä (tai vastaanottajan pään) on varmaan yhtä harvinaista kuin voittaa lotossa - Mutta mahdollista kuitenkin! Pahin skenaario tässä on toki se, että tämä tunnusten nappaaja tulee niillä nappaamillaa tunnuksilla sun koneelle. Esim sun omilla tunnuksilla jotka varmaan sudollekin kelpaa niin vain mielikuvitus jää rajaksi mitä toisen koneella voisi tehdäkään..
-
sftp on hyvin tuettu myös windows-ympäristöissä. WinSCP on hyvä ja ilmainen ohjelma tiedonsiirtelyyn windowssin puolella ssh:n avulla. Siinä voi määritellä onko yhteys SFTP vai SCP (scp siis vaatii käyttäjän pääsyn palvelimelle shelliin asti, sftp ei). Ja jos haluaa winscp tulee vain yhtenä exenä, mutta sen voi myös asennella.
Olenhan minä tuota softaa joskus tainnut käyttää mutta eihän noita muista kun ei ole windousiin tarvinut aikoihin koskea.
No se, että tunnukset joku nappaisi just sun ftp-yhteydestä (tai vastaanottajan pään) on varmaan yhtä harvinaista kuin voittaa lotossa - Mutta mahdollista kuitenkin! Pahin skenaario tässä on toki se, että tämä tunnusten nappaaja tulee niillä nappaamillaa tunnuksilla sun koneelle. Esim sun omilla tunnuksilla jotka varmaan sudollekin kelpaa niin vain mielikuvitus jää rajaksi mitä toisen koneella voisi tehdäkään..
Niin minähän en itse käytä ftp:tä vaan ssh:ta ja tässä tapauksessa kun olen estänyt tuon yhden käyttäjän mahdollisuudet muuten paitsi ftp:n osalta ei kovinkaan suurta riskiä taida olla, salasanaa sille tilille vaihtelen säännöllisesti koska annan sen satunnaisesti tutuille käyttöön jos pitää jotain juttuja siirrellä.
Voi jo kuitenkin tämän keskustelun perusteella todeta että tuota proftpd palvelinta ei kannattaisi käyttää ja kannattaisi säätää se ssh puoli kuntoon.
-
Niin minähän en itse käytä ftp:tä vaan ssh:ta ja tässä tapauksessa kun olen estänyt tuon yhden käyttäjän mahdollisuudet muuten paitsi ftp:n osalta ei kovinkaan suurta riskiä taida olla, salasanaa sille tilille vaihtelen säännöllisesti koska annan sen satunnaisesti tutuille käyttöön jos pitää jotain juttuja siirrellä.
Taitaa se suurin riski olla tuo tunnusten antaminen muille, käytti sitten ssh:ta tai ftp:tä ;D
-
Itse olen tehnyt sellaisille käyttäjille, joilla ei tarvitse olla minkäänlaisia mahiksia päästä tekemään mitään järjestelmässä, ihan chroot-vankilan, jonka luominen tapahtuu helposti make_chroot_jail.sh -skriptillä.
Esim.
http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/ (http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/)
-
Ota proftpd:ssä käyttöön salaus, esim. Filezilla client tukee FTPS/FTPES yhteyksiä winkkarin puolella.
C- Advanced tricks
1- Enable TLS/SSL encryption (FTPS)
http://ubuntuforums.org/showthread.php?t=79588