Ubuntu - sftp nur für bestimmten User deaktivieren?

[biro21]

Hallo,

habe hier einen kleinen Server laufen auf den ich aus dem Internet genau einem Account Zugriff via SFTP auf genau einen bestimmten Bereich ermöglichen will.

- Ubuntu 20.4
- 1 Account hat via SFTP und chroot nur Zugriff auf den gewünschten Ordner
Versucht man es via SSH auf Port 222, wird die Verbindung mit der Fehlermeldung "This service allows sftp connections only." beendet. Kann man diese Meldung unterdrücken?

- Ports 22 und 222 für ssh, via Match LocalPort 222 und Port Fortwarding von Port 222 ist aus dem Internet nur Zugriff via SFTP möglich.

Leider kann eben auch ein Admin Account via SFTP zugreifen und das würde ich gerne abschalten. SSH Zugriff aus dem LAN soll natürlich weiter möglich sein, da der Server headless läuft.

Subsystem       sftp    internal-sftp
Match User sftpuser1234
     ChrootDirectory /chroot
     X11Forwarding no
     AllowTcpForwarding no
     Match LocalPort 4422
     ForceCommand internal-sftp

Kann ich irgendwie gleichzeitig den SFTP-Nutzer chroot'en, den Port für SFTP von SSH trennen (ich weiß dass es aktuell nicht richtig getrennt ist, denn auch 22 geht ja noch für SFTP aber eben nicht von außen) und den Hauptnutzer von SFTP aussschließen (SFTP für den Hauptnutzer soll einfach nicht aus dem Internet möglich sein).

 

[dg2rbf]

Hi,
nein das geht nicht, das sind Systemweite Services.
Franz

 

[MiketheBird]

Das klingt mir alles ein wenig überkompliziert. Ja, das kann man alles so unter LINUX konfigurieren, aber das ist ein ziemlicher Aufwand, weil man einige der grundlegenden Systemphilosophien umwandern muss. Ob so eine Installation dann noch release-fähig, sprich updatebar sein wird? Da wird bei jedem Patch nachgefasst werden müssen und das scheint mir wenig sinnvoll, denn das ist nicht nur eine einfache Konfiguration, dafür sind sehr kernel-nahe Änderungen notwendig.

Vielleicht versuchst du erst einmal zu erzählen was die User Story eigentlich ist und was du tatsächlich machen willst. Ich habe irgendwie meine Zweifel ob der von dir angefragte Weg wirklich der angemessene ist.

 

[mikne64]

Hallo,

willkommen im Forum!

Manche FTP-Server bieten noch erweiterte Konfigurationen mit "virtual users" an.
Aber ob sich da der Adminstrator ausschließen läßt weiß ich nicht.
Auch wie vom Vorredner angesprochen, könnte die Konfiguration und der Betrieb sehr/zu aufwändig sein oder ggf. gar nicht möglich wie von Dir gedacht.

Viele Grüße

 

[oneOeight]

Der Usecase scheint nicht so vorgesehen, muss man sich schon arg verrenken.
https://newbedev.com/enable-ssh-shell-access-but-disable-sftp-access

 

[biro21]

Es ist eine Spielerei um zu sehen, was möglich ist.

Nachdem ein Odroid HC1 hier jahrelang ohne Probleme lief wird er durch einen Mini-PC (mit 8GB RAM und 1TB SSD) ersetzt. Das Ding langweilt sich und ich probiere gerade alle möglichen Dienste aus. Würde es nur bei maximaler Sicherheit auch aus dem Internet zugänglich machen und da wollte ich es bestmöglich abschotten, sprich wenn nur ein chroot'ed User via SFTP Zugriff hätte, wäre es eine Lösung.

Eine andere Möglichkeit wäre halt ssh-Zugang für den anderen User nur mit Key oder den SFTP auf dem alten HC1.

 

[MiketheBird]

Es ist eine Spielerei um zu sehen, was möglich ist.

Dann solltest du dich langsam in die Kernel-Kompilierung einlesen.

 

[biro21]

Mit Match User und DenyUsers sollte es doch möglich sein, für User unterschiedliche Ports für SFTP/SSH zu definieren und nur den gewünschten User/Port dann via Port Forwarding aus dem Internet erreichbar zu machen.

https://serverfault.com/questions/247291/forced-per-user-ssh-port

Werde es morgen mal probieren.

 

[mikne64]

Hallo,

falls es mehr als 1 Benutzer ist, wäre es ggf. sinnvoller Gruppen einzurichten.

Viele Grüße