bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] FTP -Zugang nur auf eigene Dateien b eschränken V. 4.03

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] FTP -Zugang nur auf eigene Dateien b eschränken V. 4.039a.
From: Maik Riecken <maik@xxxxxxxxxx>
Date: Wed, 28 Feb 2007 15:54:00 +0100
Am Dienstag, 27. Februar 2007 21:28 schrieb Martin Michel:
> Hallo Mirek,
>
> > wer kann mir denn helfen, den FTP-Zugang nur auf die eigene Dateien des
> > Users zu beschränken. Er soll sich nicht im Dateieinbaum
> > (Verzeichnisbaum) bewegen können. Er soll nur eigene Dateien sehen aber
> > nichts darüber, sowohl der Lehrer als auch der Schüler.

Unser Arktur (4er-Reihe) nutzt vsftp. Der wird anscheinend über xinetd 
gestartet. vsftp besitzt eine Konfigurationsdatei /etc/vsftp.conf 
(normalerweise, habe gerade keinen Zugriff auf einen Arktur).

Dort setzt du bitte den Eintrag

chroot_local_user

Auf "YES" oder fügst die Zeile

chroot_local_user=YES

hinzu. Das sollte die User auf ihr Verzeichnis beschränken. Man könnte 
paranoiderweise nochmal den xinetd neu starten, aber eigentlich sollte vsftp 
seine Konfigurationsdatei auch nach der Änderung schon beim nächsten Aufruf 
neu lesen. 

Damit ist normalerweise dein erstes Problem aus der Welt (man weiß aber nicht 
so genau, ob Arktur nicht irgendwann deine Änderungen als böse erachtet und 
überschreibt). 

sftp aktivierst du an gleicher Stelle über die Option

ssl_enable

Dafür muss vsftp aber gegen SSL gebaut sein. Auch das kann ich gerade nicht 
überprüfen. sftp können aber bisher nicht so viele Windowsclients 
zuverlässig. Meine Erziehungsversuche der User in diese Richtung endeten 
kläglich. 

SSH-Logins zu chrooten (auf ein Verzeichnis zu beschränken) geht auch (z.B. 
per scponly). Das macht aber keinen großen Spaß und bisher ist jede mir 
bekannte Lösung dafür relativ leicht zu knacken.

> ich kann die leider nicht helfen, bin aber ebenfalls stark daran
> interessiert (mit SFTP ...).

Ich finde die Bemühungen um eine sichere Übertragung von Logindaten sehr gut. 
Dennoch erfährt man mit einem Netzwerksniffer auf einem beliebigen Client und 
etwas Zeit tolle Dinge, die den sicheren Login per FTP über das Web etwas 
relativieren. Da gehört auch nicht viel Know-How zu...

Es kann sein, dass andere Arkturversionen andere FTP-Daemonen nutzen. Das 
Prinzip sollte aber überall gleich sein.

Gruß,

Maik

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 28.02.2007