Gerade wenn man SFTP nutzen will hat man anfangs mit dem Problem zu kämpfen, dass jeder Benutzer Leserechte auf eine Vielzahl von Verzeichnissen hat. Dies wollen wir jetzt verhindern, da wir nicht wollen, dass sich unsere Benutzer durch das Dateisystem schnüffeln.
- Als erstes installieren wir mal 'ssh2' aus den Ports. SSH2 wird unseren SSH-Dienst ersetzen und die Chroot-Fähigkeit zur Verfügung stellen:
# cd /usr/ports/security/ssh2 && make install clean - Nach der Installation müssen wir den Dienst noch konfigurieren. Dies erfolgt in der Datei '/usr/local/etc/ssh2/sshd2_config'. Hier setzen wir folgende Parameter:
- ListenAddress: Hier legen wir fest auf welcher IP der Dienst lauschen soll, den Port legen wir später an anderer Stelle fest.
- PermitRootLogin: Diesen Parameter setzen wir auf 'No', da wir nicht wollen dass sich root direkt anmelden kann.
- ChRootUsers: Hiermit setzen wir alle Benutzer, die gechrootet werden sollen.
- ChRootGroups: Hier setzen wir alle Benutzergruppen, die gechrootet werden sollen. - Wenn wir das erledigt haben,deaktivieren wir den ursprünglich installierten SSH-Dienst. Dazu setzen wir erstmal in der '/etc/rc.conf' den Wert der Zeile
sshd_enable="YES" auf sshd_enable="NO" - Gleichzeitig aktivieren wir den neuen SSH-Dienst:
sshd2_enable="YES" - In der '/etc/rc.conf' setzen wir jetzt auch gleich den Port. Auf welchem Port der SSH-Dienst lauschen soll musst du dir überlegen:
sshd2_port="22" - Abschliessend stoppen wir jetzt die bestehenden Prozesse um anschliessend direkt den neuen zu starten:
# killall sshd && /usr/local/etc/rc.d/sshd.sh start - Jetzt solltest du, bevor du die bestehende SSH-Verbindung trennst, ob du dich auf dem neuen Dienst verbinden kannst und die genannten Benutzer in ihrem Home-Verzeichnis eingesperrt sind.
Einen Kommentar hinzufügen