SCP zulassen, aber nicht ssh - ohne scponly

8

Ich migriere einen Debian-Server auf Ubuntu 16.04. Eines der Pakete auf dem Debian-Server scponlyfungiert als Shell und erlaubt SSH-Verbindungen nur für SCP-Zwecke (keine Anmeldung oder Ausführung von etwas anderem als der scpBinärdatei). Details finden Sie hier . Dieses Paket wurde bereits im Debian durch mindestens 2 physische Server-Upgrades, unzählige Betriebssystem-Upgrades und stammt wahrscheinlich aus dem Jahr 2007.

scponlybefindet sich in keinem 16.04-Repository und wird nicht auf dem Launchpad kompiliert. Obwohl ich durchaus in der Lage bin, es von der Quelle aus zu installieren, habe ich mich gefragt, ob es in den letzten mehr als 10 Jahren eine bessere Möglichkeit gibt, ssh so zu konfigurieren, dass nur scp-Befehle zulässig sind. Das ist Ubuntu 16.04-freundlicher und basiert weniger auf dim und ferne Vergangenheit. Irgendwelche Ideen?

16.04  ssh  scp 
abligh
quelle

Antworten:

15

Laut dieser Antwort von serverfault.com. Erlaube SCP, aber keine tatsächliche Anmeldung mit SSH . Eine derzeit unterstützte Möglichkeit ist die Verwendung von rssh, die im universeRepository verfügbar ist :

sudo apt-add-repository universe

sudo apt-get install rssh

Um SCP zuzulassen, müssen Sie die entsprechende Zeile in der /etc/rssh.confDatei (sowie alle anderen Protokolle, die Sie aktivieren möchten) auskommentieren:

allowscp
#allowsftp
#allowcvs
#allowrdist
#allowrsync
#allowsvnserve

Dann geht es nur noch darum, die Login-Shell des Benutzers in die RSSH-Shell zu ändern, z

sudo chsh -s /usr/bin/rssh steeldriver

Sie können dann testen, ob SCP funktioniert, z

$ scp steeldriver@localhost:~/Pictures/somefile.png ./
steeldriver@localhost's password: 
somefile.png                                                               100%   34KB  33.7KB/s   00:00    
$

SSH sollte jedoch mit einer Ablehnungsnachricht wie fehlschlagen

$ ssh steeldriver@localhost
steeldriver@localhost's password: 
Welcome to Ubuntu 14.04.4 LTS (GNU/Linux 3.13.0-88-generic x86_64)

 * Documentation:  https://help.ubuntu.com/

Last login: Wed Jul  6 16:23:47 2016 from localhost

This account is restricted by rssh.
Allowed commands: scp

If you believe this is in error, please contact your system administrator.

Connection to localhost closed.

Beachten Sie, dass es nicht erforderlich zu sein scheint, /usr/bin/rsshder Liste der zulässigen Login-Shells in / etc / shells hinzuzufügen

Steeldriver
quelle
Vielen Dank. Vor einiger Zeit upvoted und heute überprüft, funktioniert es so akzeptiert.
Abligh
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.