Problem mit SSH und CHROOT Einstellung

Status
Not open for further replies.
F

FreeNAS

Cadet
Joined
Feb 10, 2012
Messages
1
Hallo,

vielleicht kann mir jemand weiterhelfen.

Ich habe als erstes meinen FTP Zugang mit der CHROOT Funktion eingerichtet. Somit habe ich nun einen GAST Account der auf einen
bestimmten Ordner bei Anmeldung verweist. Dieser GAST Account kann nicht hoch gehen, also ( cd .. ) bzw. die Hierarchieebene hochschreiten.
(Keine Ahnung wie ich des richtig schreibe) Jedoch kann dieser GAST Account in diverse Ordnerstrukturen nach unten gehen.

Dies wollte ich nun mit SSH einrichten. Anmeldung läuft ohne Probleme. Jedoch kann ich mit dem GAST Account die Ordner nach oben gehen in Richtung root ( / ).
Das will ich aber beim GAST Account verbieten. Wie bekomme ich das hin?? Bei dem FTP Account funktioniert es komischerweise.

Infos:

GUEST Account Name: guest Group: group-guest

Ordner /mnt/daten/oeffentlich/ (im GUEST Account als Home Directory angegeben) in Volumes die Rechte 755 vergeben.
Dieser Pfad hat einen anderen Besitzer, jedoch ist die Gruppe/Group: group-guest angegeben.


http://doc.freenas.org/index.php/SSH Diesen Link kenne ich, aber er hat mir irgendwie nicht weitergeholfen!

Weiß jemand wo ich ansetzen muss?? oder kennt jemand das Problem? Wäre cool!
 
F

FreeNAS-Fan

Cadet
Joined
Feb 19, 2012
Messages
1
FreeNAS said:
Hallo,

vielleicht kann mir jemand weiterhelfen.

Ich habe als erstes meinen FTP Zugang mit der CHROOT Funktion eingerichtet. Somit habe ich nun einen GAST Account der auf einen
bestimmten Ordner bei Anmeldung verweist. Dieser GAST Account kann nicht hoch gehen, also ( cd .. ) bzw. die Hierarchieebene hochschreiten.
(Keine Ahnung wie ich des richtig schreibe) Jedoch kann dieser GAST Account in diverse Ordnerstrukturen nach unten gehen.

Dies wollte ich nun mit SSH einrichten. Anmeldung läuft ohne Probleme. Jedoch kann ich mit dem GAST Account die Ordner nach oben gehen in Richtung root ( / ).
Das will ich aber beim GAST Account verbieten. Wie bekomme ich das hin?? Bei dem FTP Account funktioniert es komischerweise.

Infos:

GUEST Account Name: guest Group: group-guest

Ordner /mnt/daten/oeffentlich/ (im GUEST Account als Home Directory angegeben) in Volumes die Rechte 755 vergeben.
Dieser Pfad hat einen anderen Besitzer, jedoch ist die Gruppe/Group: group-guest angegeben.


http://doc.freenas.org/index.php/SSH Diesen Link kenne ich, aber er hat mir irgendwie nicht weitergeholfen!

Weiß jemand wo ich ansetzen muss?? oder kennt jemand das Problem? Wäre cool!
Click to expand...


Hi!

ich hatte das gleiche Problem gestern abend. Habe aber auch eine Lösung erarbeitet.

Der Artikel FreeNAS SSH ist soweit richtig, bis auf: Bei den Extra Options im Service SSH sind die Einträge in diesem Artikel falsch.

Ich habe es nur durch folgende Einträge hinbekommen:

Match User <deinusername>
ChrootDirectory /das/verzeichnis OHNE %h
AllowTCPForwarding no

FreeNAS scheint wohl auch bei der Weboberfläche zwischen Groß- und Kleinschreibung zu unterscheiden (siehe oben AllowTCP!!!') und das %h gefällt FreeNAS wohl auch nicht. Hier musst du tatsächlich den kompletten Pfad vom root aus angeben...
Die User- und Gruppenrechte über Putty oder ähnlichem mit root-Login vergeben. Aber soweit ich es gesehen habe, stimmen die Einstellungen ja bei Dir...

Ganz wichtig sind auch die Rechte für User: root und Group: wheel (Vollzugriff) des betreffenden Verzeichnis, das gechrootet werden soll. Und für alle anderen nur read und execute. Das ist für chroot zwingend notwendig! Anders geht es nicht!

Wenn du also dann bei "Services" -> "SSH" in den Extra Options Deinen User guest bei Match User einträgst, wird er auch richtig gechrootet. Möchtest du aber, dass Deine Gäste auch in das Verzeichnis was hochladen dürfen, musst du einen extra Ordner im chroot-Verzeichnis erstellen, auf den dann der User guest mit Deiner gewünschten Gruppe nur Vollzugriff hat. Anders ist das nicht zu lösen. Und dann auch im zweiten Teil des von Dir oben schon angegebenen SSH-Artikels beschrieben...


Grüße

Daniel

P.S.: Klappt es bei Dir dann immer noch nicht, dann bitte mal unter "Systems" -> "Settings" -> "Advanced" den Haken bei "Show console messages in footer" setzen. und dann noch einmal per FTP-Programm auf Deine Shares zugreifen wollen. Dann kannst du nämlich bei gleichzeitigem Login auf der Weboberfläche die Fehlermeldungen sehen.
 
S

stephanr1

Cadet
Joined
Aug 8, 2012
Messages
1
FreeNAS-Fan said:
Hi!

ich hatte das gleiche Problem gestern abend. Habe aber auch eine Lösung erarbeitet.

Der Artikel FreeNAS SSH ist soweit richtig, bis auf: Bei den Extra Options im Service SSH sind die Einträge in diesem Artikel falsch.

Ich habe es nur durch folgende Einträge hinbekommen:

Match User <deinusername>
ChrootDirectory /das/verzeichnis OHNE %h
AllowTCPForwarding no

FreeNAS scheint wohl auch bei der Weboberfläche zwischen Groß- und Kleinschreibung zu unterscheiden (siehe oben AllowTCP!!!') und das %h gefällt FreeNAS wohl auch nicht. Hier musst du tatsächlich den kompletten Pfad vom root aus angeben...
Die User- und Gruppenrechte über Putty oder ähnlichem mit root-Login vergeben. Aber soweit ich es gesehen habe, stimmen die Einstellungen ja bei Dir...

Ganz wichtig sind auch die Rechte für User: root und Group: wheel (Vollzugriff) des betreffenden Verzeichnis, das gechrootet werden soll. Und für alle anderen nur read und execute. Das ist für chroot zwingend notwendig! Anders geht es nicht!

Wenn du also dann bei "Services" -> "SSH" in den Extra Options Deinen User guest bei Match User einträgst, wird er auch richtig gechrootet. Möchtest du aber, dass Deine Gäste auch in das Verzeichnis was hochladen dürfen, musst du einen extra Ordner im chroot-Verzeichnis erstellen, auf den dann der User guest mit Deiner gewünschten Gruppe nur Vollzugriff hat. Anders ist das nicht zu lösen. Und dann auch im zweiten Teil des von Dir oben schon angegebenen SSH-Artikels beschrieben...


Grüße

Daniel

P.S.: Klappt es bei Dir dann immer noch nicht, dann bitte mal unter "Systems" -> "Settings" -> "Advanced" den Haken bei "Show console messages in footer" setzen. und dann noch einmal per FTP-Programm auf Deine Shares zugreifen wollen. Dann kannst du nämlich bei gleichzeitigem Login auf der Weboberfläche die Fehlermeldungen sehen.
Click to expand...

Hallo zusammen,

die Anleitung ist zu 100% korrekt! In der Anleitung ist "Match Group sftp" bei den extra Optionen für den SSH Dienst angegeben. Hier sollte man vielleicht DeineSshdChrootGruppe schreiben, oder wie auch immer man das Kind nennen möchte. Die User die gechrootet werden sollen müssen schlichtweg Mitglied dieser Gruppe sein. Dann brauchst du dir über up/download Berechtigungen Null Gedanken machen.

Gruß Stephan
 
Status
Not open for further replies.

Similar threads

Observer
  • Locked
Auf FreeNAS-Maschine auch VM-Gäste betreiben
Replies
2
Views
2K
Observer
Observer
W
  • Locked
Probleme mit den Berechtigungen und CIFS
Replies
3
Views
4K
wowbagger
W
R
  • Locked
Rechteprobleme!?
Replies
0
Views
710
RedShark
R
H
  • Locked
FTP Unbrauchbar wegen Rechte Ignorierung (Bug ?? )
Replies
2
Views
1K
Hitcher99
H
D
  • Locked
Problem mit JDownloader Downloadordner Rechte
Replies
2
Views
1K
555NASE
5
Top