ubuntuusers.de

SSH/SFTP: User sollen Dateien auf Server hochladen können

Status: Gelöst | Ubuntu-Version: Ubuntu 13.04 (Raring Ringtail)
Antworten |

Developer92 Team-Icon

Avatar von Developer92

Anmeldungsdatum:
31. Dezember 2008

Beiträge: 4101

Hi, ich hab da folgendes Problem (bzw. Ziel) und weiß ehrlichgesagt nicht, wo ich überhaupt ansetzen soll.

Ziel ist es, dass Benutzer Dateien auf den Server hochladen können.

Da den Benutzern generell nicht vertraut werden kann und alles so sicher wie möglich sein soll, hab ich folgende Anhaltspunkte ausgearbeitet:

  • Public-Key-Authentifizierung

  • Benutzer sollen ausschließlich in ein einziges Verzeichnis Dateien laden können

  • Wenn möglich keine „realen“ Benutzer, sondern rein virtuell angelegt (Verwaltung sollte möglichst einfach funktionieren, ähnlich wie in gitolite falls das jemand kennt)

  • Wenn möglich ohne Root-Rechte auf dem Server zu erfordern

Auch will ich nicht das Rad neu erfinden und deswegen auf bestehende Verfahren aufsetzen.

Ich bin noch am rumgrübeln wie man das am Besten realisiert. Später soll das ganze in Form einer lokalen Clients automatisiert werden: Ich ziehe auf meinem Rechner eine Datei in den Sync-Ordner und diese wird automatisch auf den Server hochgeladen. Nicht mehr, nicht weniger.

Wichtig ist, dass der Benutzer keinesfalls irgendwas am System ändern kann oder auch nur in die Möglichkeit kommt, irgendwas vom Server auszulesen oder gar herunterzuladen (Ein virtuelles Gefängnis wär doch da ganz praktisch, oder? Ich denk da an chroot oder sowas in der Art).

Hat da jemand einen Ansatz parat?

mfg

redknight Team-Icon

Moderator & Supporter
Avatar von redknight

Anmeldungsdatum:
30. Oktober 2008

Beiträge: 21852

Wohnort: Lorchhausen im schönen Rheingau

sftp kann doch jails - ob es virtuelle Benutzer kann oder ob der Benutzer einfach /bin/nologin als Shell bekommt, um ssh auszuschließen, kann ich nciht sagen

Developer92 Team-Icon

(Themenstarter)
Avatar von Developer92

Anmeldungsdatum:
31. Dezember 2008

Beiträge: 4101

redknight schrieb:

sftp kann doch jails - ob es virtuelle Benutzer kann oder ob der Benutzer einfach /bin/nologin als Shell bekommt, um ssh auszuschließen, kann ich nciht sagen

Hast recht, sftp kann jails. Un wenn man die Shell auf /bin/nologin setzt sollte tatsächlich nur SFTP funktionieren. Mit den virtuellen Benutzern bin ich noch nicht weitergekommen, wäre halt nett Benutzer ohne Root-Zugriff hinzufügen oder löschen zu können.

mfg

hoerianer

Anmeldungsdatum:
14. August 2012

Beiträge: 3156

Developer92

wäre halt nett Benutzer ohne Root-Zugriff hinzufügen oder löschen zu können.

Vielleicht per Skript in dem der user root hinterlegt ist?

redknight Team-Icon

Moderator & Supporter
Avatar von redknight

Anmeldungsdatum:
30. Oktober 2008

Beiträge: 21852

Wohnort: Lorchhausen im schönen Rheingau

Nutzerkontrolle ohne root finde ich problematisch. Immerhin manipulierst Du das Verhalten eines daemons, der als root läuft um die Sitzungen für andere Nutzer zu öffnen

Developer92 Team-Icon

(Themenstarter)
Avatar von Developer92

Anmeldungsdatum:
31. Dezember 2008

Beiträge: 4101

redknight schrieb:

Nutzerkontrolle ohne root finde ich problematisch. Immerhin manipulierst Du das Verhalten eines daemons, der als root läuft um die Sitzungen für andere Nutzer zu öffnen

Nunja, nicht direkt, zumindest wenn es einen anderen Weg gibt oder geben sollte.

Wie machen das Sharehoster, github oder bitbucket? Man meldet sich als User an und kann seine Dateien hochladen. Ich will das ganze lediglich etwas weiter treiben und es über eine Public-Key-Infrastruktur realisieren, vollverschlüsselt. Anmelden sollte sich jeder können, der in der Lage ist, sich einen Benutzernamen auszudenken.

Im Moment noch alles sehr theoretisch und nicht mehr als ein Proof-of-Concept, sofern es mal läuft wie ich will. Erst dann kann man darüber nachdenken, das auch wirklich in der Praxis zu nutzen.

mfg

EDIT: Wenn ich das nochmal so lese ist es tatsächlich besser, wenn man reale Nutzer am System anlegt. Virtuelle Benutzer hab sich soeben fürs Erste erledigt ☺

Developer92 Team-Icon

(Themenstarter)
Avatar von Developer92

Anmeldungsdatum:
31. Dezember 2008

Beiträge: 4101

Hat ein wenig gedauert, man hat ja schließlich nicht ständig Zeit am System rumzuspielen, aber jetzt läufts.

Eben wieder ein Stück Technikwahnsinn im Wohnzimmer den die Welt nicht braucht ☺

Antworten |