Proftpd, ograniczenie uprawnie

[Lares]

Witam serdecznie.

Mam problem ze skonfigurowaniem proftpd.

Chodzi mi o to aby dany użytkownik miał dostęp do swojego katalogu i nie mógł wychodzić poza niego zarówno przez ftp jaki i ssh.

W katalogu /home utworzyłem katalog /server i nadałem mu uprawnienia:

Kod: Zaznacz cały

sudo chmod 777 -R server

dodałem do /etc/shells

Kod: Zaznacz cały

/bin/false

następnie stworzyłem nowego użytkownika

Kod: Zaznacz cały

sudo useradd serv -p haslo -d /home/server -s /bin/false

z /etc/proftpd/proftpd.conf usunąłem # z przed

Kod: Zaznacz cały

# DefaultRoot                     ~

I tu zaczyna się problem ponieważ nie mogę zalogować się przez ssh. Po zmianie bin/false na bin/bash w /etc/passwd, można zalogować się normalnie jednak można również chodzić po wszystkich katalogach, jak mogę to zabezpieczyć?

[Bastian]

No jak ustawiłeś /bin/false to niby jak chcesz się logować do powłoki? Jeśli chcesz zamknąć użytkownika w jego katalogu to zainteresuj się programem jail.

Jesteś pewien, że chcesz wykonać te dwa poniższe kroki?

Kod: Zaznacz cały

DefaultRoot          ~

Kod: Zaznacz cały

sudo chmod 777 -R server

Katalog /home/server ma być czyimś katalogiem domowym? Czy może dopiero podkatalogi mają być przypisane dla użytkowników. Generalnie to wszystko co zrobiłeś powyżej nie przybliżyło Ciebie do wyniku jaki założyłeś.

[Lares]

Zauważyłem że mnie nie przybliżyło :/ katalog /home/server ma być katalogiem do którego może logować się dany użytkownik i nie może poza niego wychodzić jednak może w nim tworzyć katalogi wgrywać i uruchamiać pliki.

Przyznam że nie słyszałem jeszcze o jail, możesz przybliżyć mi tą aplikacje? Lub może jest inny sposób na zamknięcie użytkownika w danym katalogu?

Co jest złego w tych 2 powyższych krokach?

[Bastian]

Co jest złego w tych 2 powyższych krokach?

Kod: Zaznacz cały

DefaultRoot          ~

Nie zauważyłem ze to odnosi sie do proftpd.conf. Generalnie zatem to dobre rozwiązanie. Zamknie Ci użytkownika w jego katalogu domowym.

Kod: Zaznacz cały

sudo chmod 777 -R server

Nadajesz wszystkim, wszystkie uprawnienia na katalog i podkatalogi, a tego raczej nie chcesz. Powinieneś raczej dać:

Kod: Zaznacz cały

chmod -R 700 /home/serwer

FTP powinno działać tak jak chcesz.

Co do ssh to jeśli chcesz użytkownikom dać dostęp do konsoli, to nie możesz ustawiać:

Kod: Zaznacz cały

/bin/false

bo wtedy system nie znajduje powłoki użytkownika i go nie zaloguje. Musisz zastosować np. jail. By daleko nie szukać

http://debian.linux.pl/threads/15532-SS ... m-katalogu

[Lares]

Zacząłem się tak bawić i już nic mi nie działa:

Kod: Zaznacz cały

You don't have permission to access /index.php on this server.

Nie działa żaden z vhostów nie mogę połączyć się przez sftp ogólnie nie za fajnie.

Może ktoś pomóc?

Robiłem według tego poradnika :
http://www.howtoforge.com/chrooted-ssh- ... bian-lenny

Doszedłem do tego momentu:

Kod: Zaznacz cały

make_chroot_jail.sh falko /bin/bash /home