SSH-yhteyden lukitseminen tiettyyn kansioon

[Rautamiekka]

Jos alkaisi hostaamaan Ubuntua pyörittävää servua johon tietyille henkilöille annetaa SSH- (ja SFTP-) yhteys omaan kansioon ja sen alikansioihin passun kera, olkoon omat kansiot sitten /home/user0 ja /home/user1, miten tämä tehdään ? Samantapaista GameServers käyttää antaessaan FTP-yhteyden asiakkailleen omille alueille, mutta kansio sijaitsee /usr/local/<numerosarja>/. SSH:n confattua ei tarvitse antaa suojaamatonta FTP:tä kun SFTP menee SSH:n kautta.

[Tomin]

Oletko jo lukenut: http://wiki.ubuntu-fi.org/ssh-palvelin ?

[janne]

Jos alkaisi hostaamaan Ubuntua pyörittävää servua johon tietyille henkilöille annetaa SSH- (ja SFTP-) yhteys omaan kansioon ja sen alikansioihin passun kera, olkoon omat kansiot sitten /home/user0 ja /home/user1, miten tämä tehdään ?

tätä kysytään aika usein ja mä en koskaan ymmärrä sitä. tai siis kai sille on paikkansa, mutta mun mielestä tuo rajoittaminen ei kotipalvelimella tarjoa oikein mitään hyötyä siihen nähden, että sitä ei rajoitettaisi. rajoittaminen toki onnistuu useammallakin eri tavalla, mutta kaikki vaativat jonkin verran säätämistä.

miksi tuo rajoitus on sinun mielestäsi tarpeellinen?

[Rautamiekka]

Jos alkaisi hostaamaan Ubuntua pyörittävää servua johon tietyille henkilöille annetaa SSH- (ja SFTP-) yhteys omaan kansioon ja sen alikansioihin passun kera, olkoon omat kansiot sitten /home/user0 ja /home/user1, miten tämä tehdään ?

tätä kysytään aika usein ja mä en koskaan ymmärrä sitä. tai siis kai sille on paikkansa, mutta mun mielestä tuo rajoittaminen ei kotipalvelimella tarjoa oikein mitään hyötyä siihen nähden, että sitä ei rajoitettaisi. rajoittaminen toki onnistuu useammallakin eri tavalla, mutta kaikki vaativat jonkin verran säätämistä.

miksi tuo rajoitus on sinun mielestäsi tarpeellinen?

Ihan kaikille ei kannata järjestelmänlaajuista pääsyä antaa.

Tsekkaan tuon artikkelin.

[Tomin]

Ihan kaikille ei kannata järjestelmänlaajuista pääsyä antaa.

Eikös sitä varten ole tiedostojen oikeudet?

PS. En ole varma saako tuolla ohjeella tehtyä kaikkea mitä haluat, mutta voihan siitä jotain iloa olla...

[janne]

Ihan kaikille ei kannata järjestelmänlaajuista pääsyä antaa.

niin, kuten Tomppeli tuossa jo ehtikin sanomaan, niin käyttäjillä on ssh:n yli täsmälleen samat oikeudet kuin sillä paikallisella käyttäjällä jolla kyseinen henkilö loggautuu sisään. sattumoisin käyttäjillä ei ole oletuksena oikeuksia käsitellä arkaluontoisia tiedostoja ja valtaosa niistä muista tiedostoista on aika turhia.

Tsekkaan tuon artikkelin.

siinä ei tarjota mahdollisuutta rajoittaa tuota järjestelmän selailua, mutta foorumiltakin löytyy erilaisia ratkaisuja vaikka hakusanoilla "ssh chroot" tai "ssh jail".