Re: SFTP i FTPS
= Dnia: wtorek, 8 sierpnia 2006 11:23, Linuks pytania pisze: > Człowiek całe życie się uczy ... > Dowiedziałem się ostatnio z URLa http://winscp.net/eng/docs/protocols że są > dwa protokoły. Oczywiście wszyscy na debian-user-polish od dawna o tym > wiedzą ;-) > > Mój problem polega na tym że "administruję" serwerem po SSHv2, na serwerze > był też FTP dla userów (ProFTPD chrootowane poprzez /usr/sbin/chroot). Coś > mnie zmusiło do przejścia na szyfrowane połączenia i zdjąłem FTP i userom > dałem SSH. Ale pod FTP-em łatwiej mi było nimi zarządzać (uprawnienia, > przejrzyste logi itp). Natomiast dając im SSH dałem dostęp do > "wszystkiego", nie mogę ich schrootować do musiałbym też siebie ograniczyć, > w końcu SSH działa tylko w jednej instancji na jednym porcie. Oczywiście > znalazłem info w necie o chrootowaniu SSH ale u mnie to nie ma sensu. > Zastanawiam się czy nie lepiej przywrócić FTP-a tylko z SSL/TLS na kolejnym > porcie. > > Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 > warunki: 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) > 1. Użytkownicy dostają się do katalogów w chroocie > 2. Admin może wszystko. > > Nie rozumiem też o co chodzi z tym podsystemem ftp w SSH, czy to można > jakoś postawić zamiast FTP-a na osobnym porcie (tak żeby pozostało SSH po > 22 dla admina)? Czy to tylko zamiennie można stosować dla SCP ... Ja to robię tak, że używam ssh+rssh (specjalna powłoka dla tych userów, którzy mają być zchrootowani i nie mieć konta shellowego; pozwala tylko na scp/sftp; jest w pakietach debiana). Wtedy root i wyróżnieniu userzy mają powłokę /bin/bash, a pozostali mają /usr/bin/rssh. Działa. pzdr, jmb PS. Trochę wolna reakcja -- wakacje... :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SFTP i FTPS
06-08-11, Mikołaj Menke <[EMAIL PROTECTED]> napisał(a): Dnia 2006-08-08 11:23 użytkownik Linuks pytania napisał : > Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 warunki: > 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) > 1. Użytkownicy dostają się do katalogów w chroocie > 2. Admin może wszystko. Ja zrobiłem taki myk: utworzyłem podsystem za pomocą debootstrap, w tym podsystemie są domyślnie konta chrootowane; następnie postawiłem proftpd z TLS, w nim też można skonfigurować kto gdzie się może dostać. Ot i cała filozofia. Dokladnie - super rozwiązanie tylko ze w oczach nadgorliwych administratorow czasem te 100-200 MB na bootsrapa to zbyt dużo ;) -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: SFTP i FTPS
Dnia 2006-08-08 11:23 użytkownik Linuks pytania napisał : > Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 > warunki: > 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) > 1. Użytkownicy dostają się do katalogów w chroocie > 2. Admin może wszystko. Ja zrobiłem taki myk: utworzyłem podsystem za pomocą debootstrap, w tym podsystemie są domyślnie konta chrootowane; następnie postawiłem proftpd z TLS, w nim też można skonfigurować kto gdzie się może dostać. Ot i cała filozofia. -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` bikeWorld.pl Team -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SFTP i FTPS
06-08-10, Linuks pytania <[EMAIL PROTECTED]> napisał(a): No więc właśnie obawiam się tego używać ... A jak się sprawa ma z logami z tego czegoś? Póki co zainteresowałem się tym co znam najlepiej czyli ProFTPD plus dołożyłem mod_tls i teraz myślę ... ;-) na prawde polecam ci zainteresować sie jailowaniem kont. nie ma nic bezpieczniejszego jesli masz watpliwosci. jednak proftpd + ssl w wiekszosci przypadkow absotlunie wystarczy. -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: SFTP i FTPS
> > http://sourceforge.net/projects/chrootssh/ > > > "This project has not yet created any file release packages." No więc właśnie obawiam się tego używać ... A jak się sprawa ma z logami z tego czegoś? Póki co zainteresowałem się tym co znam najlepiej czyli ProFTPD plus dołożyłem mod_tls i teraz myślę ... ;-) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SFTP i FTPS
Dnia 2006-08-08 11:35 użytkownik Jacek Drobiecki napisał : > http://sourceforge.net/projects/chrootssh/ > "This project has not yet created any file release packages." -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` bikeWorld.pl Team -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SFTP i FTPS
06-08-08, Michał Łodziński <[EMAIL PROTECTED]> napisał(a): Dnia wtorek, 8 sierpnia 2006 11:23, Linuks pytania napisał: > > Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 > warunki: 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) > 1. Użytkownicy dostają się do katalogów w chroocie > 2. Admin może wszystko. zainteresuj sie shellem scponly (pakiet o takiej samej nazwie) aby uzyskac mozliwosc chrootowania musi byc uruchomiony z suid :( alternatywa jest dobre poprzycinanie uprawnien na serwerze - to troszke pracy ale warto lub jesli masz duzo miejsca dawaj wszystkim oddzielne chrooty - bezpieczne mile - na kazdego usera musisz przeznaczyc to co mu dajesz + jakieś 100 mb. -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: SFTP i FTPS
Dnia wtorek, 8 sierpnia 2006 11:23, Linuks pytania napisał: > > Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 > warunki: 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) > 1. Użytkownicy dostają się do katalogów w chroocie > 2. Admin może wszystko. zainteresuj sie shellem scponly (pakiet o takiej samej nazwie) aby uzyskac mozliwosc chrootowania musi byc uruchomiony z suid :( alternatywa jest dobre poprzycinanie uprawnien na serwerze - to troszke pracy ale warto mozna tez uzywac zyfrowanego ftp. jest kilka standardow. szyfrowane moze byc samo haslo lub rowniez cala transmisja. trzeba uzywac wtedy oblsugujacych takie opcje klinetow ale do scp tez trzeba wiec w sumie podobnie. od strony serwera mozna to zalatwic rozszerzeniami do proftpd (inne serwery tez to oczywiscie obsluguja) -- Michał Łodziński www.antywir.pl
Re: SFTP i FTPS
http://sourceforge.net/projects/chrootssh/ Nie ma problemu żeby chroot dotyczył tylko wybranych użytkowników. Podajesz w ścieżce katalogu domowego użytkownika /./ (co nie zmienia rzeczywistej lokalizacji katalogu) i sesja użytkownika będzie chrootowana. Pozdrawiam Jacek Drobiecki Linuks pytania wrote: Człowiek całe życie się uczy ... Dowiedziałem się ostatnio z URLa http://winscp.net/eng/docs/protocols że są dwa protokoły. Oczywiście wszyscy na debian-user-polish od dawna o tym wiedzą ;-) Mój problem polega na tym że "administruję" serwerem po SSHv2, na serwerze był też FTP dla userów (ProFTPD chrootowane poprzez /usr/sbin/chroot). Coś mnie zmusiło do przejścia na szyfrowane połączenia i zdjąłem FTP i userom dałem SSH. Ale pod FTP-em łatwiej mi było nimi zarządzać (uprawnienia, przejrzyste logi itp). Natomiast dając im SSH dałem dostęp do "wszystkiego", nie mogę ich schrootować do musiałbym też siebie ograniczyć, w końcu SSH działa tylko w jednej instancji na jednym porcie. Oczywiście znalazłem info w necie o chrootowaniu SSH ale u mnie to nie ma sensu. Zastanawiam się czy nie lepiej przywrócić FTP-a tylko z SSL/TLS na kolejnym porcie. Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 warunki: 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) 1. Użytkownicy dostają się do katalogów w chroocie 2. Admin może wszystko. Nie rozumiem też o co chodzi z tym podsystemem ftp w SSH, czy to można jakoś postawić zamiast FTP-a na osobnym porcie (tak żeby pozostało SSH po 22 dla admina)? Czy to tylko zamiennie można stosować dla SCP ... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
SFTP i FTPS
Człowiek całe życie się uczy ... Dowiedziałem się ostatnio z URLa http://winscp.net/eng/docs/protocols że są dwa protokoły. Oczywiście wszyscy na debian-user-polish od dawna o tym wiedzą ;-) Mój problem polega na tym że "administruję" serwerem po SSHv2, na serwerze był też FTP dla userów (ProFTPD chrootowane poprzez /usr/sbin/chroot). Coś mnie zmusiło do przejścia na szyfrowane połączenia i zdjąłem FTP i userom dałem SSH. Ale pod FTP-em łatwiej mi było nimi zarządzać (uprawnienia, przejrzyste logi itp). Natomiast dając im SSH dałem dostęp do "wszystkiego", nie mogę ich schrootować do musiałbym też siebie ograniczyć, w końcu SSH działa tylko w jednej instancji na jednym porcie. Oczywiście znalazłem info w necie o chrootowaniu SSH ale u mnie to nie ma sensu. Zastanawiam się czy nie lepiej przywrócić FTP-a tylko z SSL/TLS na kolejnym porcie. Prosiłbym Was o podpowiedź/podsunięcie pomysłu. Pomysł musi spełniać 3 warunki: 0. Cała transmisja szyfrowana (logowanie i przesyłanie danych) 1. Użytkownicy dostają się do katalogów w chroocie 2. Admin może wszystko. Nie rozumiem też o co chodzi z tym podsystemem ftp w SSH, czy to można jakoś postawić zamiast FTP-a na osobnym porcie (tak żeby pozostało SSH po 22 dla admina)? Czy to tylko zamiennie można stosować dla SCP ... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]