Oikeudet pois käyttäjältä. [Ratkaisu]

[HMi]

Hei.

Miten tulisi laittaa palvelimen oikeudet jotta yksi käyttäjä ei pystyisi tekemään yhtään mitään muuta kuin lukemaan ja kirjoittamaan omaa kotikansiota ftp:llä?

[Tha-Fox]

Taitaa mennä chrootilla vääntämiseksi, luulisin.

[drgreen]

Vaihdat käyttäjän shelliksi vaikka /dev/null.

Koodia: [Valitse]

gedit /etc/passwd
Sieltä kohta:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash

muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null

Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.

[HMi]

Vaihdat käyttäjän shelliksi vaikka /dev/null.

Koodia: [Valitse]

gedit /etc/passwd
Sieltä kohta:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/bin/bash

muutetaan viimeinen sarake (/bin/bash -> /dev/null), uusi rivi näyttää tältä:

kayttaja:x:1001:1001:kayttaja,,,:/home/kayttaja:/dev/null

Näinollen käyttäjä ei enään pääse interaktiiviseen shelliin vaan pystyy esim ftp:llä käyttämään kotikansiotaan.

Tuo estää myös ftp:n, mikähän menee pieleen?

Rivi näyttää nyt tältä:
reiska:x:1002:1002:,,,:/home/reiska:/dev/null

[drgreen]

Ai katsos vaan. Olisi voinut itsekin kokeilla ensin ennenkuin neuvoo Jotenkin oletin, ettei ftp tarvi loginshelliä mihinkään. Hmm, no varmaankin sitten ftp-palvelinohjelmistosta säätämällä. Mitä ftp-palvelinta käytät?

P.S. Tällainen löyty:

http://www.faqs.org/docs/securing/chap29sec295.html

[HMi]

Käytän proftpd:tä ja olenkin säätänyt niin että sitä kautta ei pääse muihin kansioihin mutta sehän ei nyt riitä.
Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

[nm]

Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)

Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html

[jarilind]

Asenna virtuaaliservu ko.  käyttäjälle.

[HMi]

Koneella on myös openssh-server ja tämä kyseinen käyttäjä pääsee myös sitä kautta koneelle, jotenkin se pitäisi estää.

Listaa sallitut käyttäjät /etc/ssh/sshd_config-tiedoston AllowUsers -rivillä. (Lue myös manuaalisivu: man sshd_config)

Lisäksi ProFTPD osaa tarvittaessa lukea käyttäjätiedot muualtakin kuin /etc/passwd:stä, jolloin tunnuksella ei ole mitään muita kirjautumisoikeuksia. Katso: http://www.proftpd.org/docs/howto/AuthFiles.html

En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.

Koodia: [Valitse]

AllowUsers
tenho,kyösti,jörppisKokeilin myös DenyUsers mutta ei toimi kumpikaan tapa. Pitäisikö tuo openssh käynnistää säädön jälkeen uudestaan? Jos pitää niin miten?

Asenna virtuaaliservu ko.  käyttäjälle.

No en.

[drgreen]

Kirjoita:

Koodia: [Valitse]

service ssh restart
Hyviä vastauksia olet saanut. Kysymykseesi on monta eri ratkaisua.

[Ville Pöntinen]

En löytänyt tuosta /etc/ssh/sshd_config tiedostosta AllowUsers kohtaa joten lisäsin sen itse tiedoston loppuun ja laitoin sallitut nimet alle.

Koodia: [Valitse]

AllowUsers
tenho,kyösti,jörppis

DenyUsers vipua ei (kai) edes ole. Mutta itse tein saman virheen kuin sinä tuossa AllowUsers rivillä kerran: nimien pitää olla eroteltu välilyönnillä:

Koodia: [Valitse]

AllowUsers tenho kyösti jörppis
Testaa toimiiko, minä luulin/luulen, että tuo sallii myös ftp-yhteydet vain noille käyttäjille.

[HMi]

Jep, nyt toimii!

Nimet siis piti listata noin kuten Ville Pöntinen osasi neuvoa.

Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

Kiitos taas kaikille avusta.

Harri

[_Pete_]

Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.

[HMi]

Jos jollekkin vielä tulee mieleen jotain rajoituksiin ja tietoturvaan liittyen niin kertokaa ihmeessä.

FTP-protokolla on wanha ja turvaton joten sen sijaan on parempi käyttää tiedostojenkin siirtoon
ssh:n tarjoamaan sftp/scp mahdollisuutta.

Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

[_Pete_]

Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

http://www.google.fi/search?q=FTP+security

[HMi]

Millä tavalla FTP on turvaton? Onko siitä vaaraa lähettäjän tai vastaanottajan koneelle?

http://www.google.fi/search?q=FTP+security

No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.

[_Pete_]

No joo, onhan tuota juttua, ajattelin hieman herättää keskustelua ihan suomeksi aiheesta. googlen käyttö sujuu jollainlailla minultakin.

Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.

[drgreen]

No siis itseasiassa kaikki liikenne lähetetään salaamattomana, sieltä voi grabata tunnukset / salasanat ja vielä kaikenpäälle itse datan mitä siirretään. FTP:tä ei kai kukaan käytä oikein tosissaan tänä päivänä, taitaa olla vain joitakin anonyymejä logineja ja ihan GPL softaa mitä sille siirrellään. (Esim ftp.funet.fi). Mutta privaattihostien välinen liikenne yleensä kannattaa salata.

SFTP (eli ssh) hoitaa tämän tosi mainiosti. Mutta kyseinen AllowUsers optio conffissa estää kyllä sitten tämän käytön.

Se miten saat pelkät SFTP yhteydet koneelle, ettei käyttäjä kuitenkaan pysty sitten käyttämään SSH:ta menee näin:

Tehdään sftp-serveristä sallittu shelli:

Koodia: [Valitse]

sudo echo '/usr/lib/stfp-server' >> /etc/shells
Sitten vaihdetaan käyttäjälle loginshelliksi sftp-server:

Koodia: [Valitse]

sudo usermod -s /usr/lib/sftp-server kayttaja
Näin käyttäjän pitäisi pystyä vain ja ainoastaan kirjautumaan sftp:tä pitkin.

[HMi]

Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?

Perusongelma: username/password lähetetään protokollassa salaamattona -> ne on helppo snoopata liikenteen seasta verrattuna ssh jossa tiedot lähetetään salattuina.

Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?

Täytyypä kokeilla vielä tuota drgreenin vinkkiä tuosta sallitusta shellistä.

[drgreen]

Onko tuo sftp yleisesti tuettu juttu windows maailmassa, eli onnistuuko samalla softalla kuin perus ftp?

sftp on hyvin tuettu myös windows-ympäristöissä. WinSCP on hyvä ja ilmainen ohjelma tiedonsiirtelyyn windowssin puolella ssh:n avulla. Siinä voi määritellä onko yhteys SFTP vai SCP (scp siis vaatii käyttäjän pääsyn palvelimelle shelliin asti, sftp ei). Ja jos haluaa winscp tulee vain yhtenä exenä, mutta sen voi myös asennella.

Mitä vahinkoa esim minun kohdalla voi tapahtua jos joku nuo tunnukset nappaa?

No se, että tunnukset joku nappaisi just sun ftp-yhteydestä (tai vastaanottajan pään) on varmaan yhtä harvinaista kuin voittaa lotossa - Mutta mahdollista kuitenkin! Pahin skenaario tässä on toki se, että tämä tunnusten nappaaja tulee niillä nappaamillaa tunnuksilla sun koneelle. Esim sun omilla tunnuksilla jotka varmaan sudollekin kelpaa niin vain mielikuvitus jää rajaksi mitä toisen koneella voisi tehdäkään..