ssh und sshd Configuration

[Rushjo]

Hi,

nachdem ich nun schon länger versuche, mal ein kleines Problem mit meinem ssh und sshd zu lösen, frage ich doch einfach mal.

Also, folgende Ausgangssituation:

Ich will bei mir auf dem Rechner mehreren Usern den Zugriff auf ein bestimmtes Verzeichnis (shell-Account) erlauben. Dabei sollen die User per "ssh" dann "shell" bekommen mit definierten Rechten und gleichzeitig in diesem Verzeichnis eingesperrt sein. Ich will aber die verschiedenen User trotzdem auseinanderhalten können und die Authorifizierung am Besten durch "ssh_host_key" vornehmen lassen. Die Authentifizierung per "ssh_host_key" würde dann auch einen Zugriff per Skript im "BatchMode" ermöglichen.

Daraus ergeben sich nun mehrere Fragen:

1. Ist das möglich? Oder ist es nur eine komische Idee von mir?
2. Wie müssen die entsprechenden "sshd_configuration" und "ssh_configuration" aussehen?
3. Kann man das ganze auch für Skript auch im "BatchMode" machen?

Hat mal Einer eine Idee? Die Dokumentation von "ssh", "sshd", "ssh_configuration" und auch "sshd_configuration" ist nicht besonders ergiebig. Genauso wie die Suche mit "google.de".

MfG & Thx Rushjo

 

[beko]

Pöh, fällt mir auf Anhieb auch nichts ein. Aber wie wäre es mir der default shell bash? Dann kannst du in der .bashrc einfach den chroot Befehl reinschreiben und chrooten wohin du willst. Natürlich sollte die Datei keine Schreibrechte für den User mehr bekommen, falls er doch an das Ding ran kommt (scp usw).

Wir praktikabel das ist, weiß ich nicht. Das ist halt mal mein erster Gedankengang

 

[Rushjo]

Janein, das löst ja leider das Problem mit "ssh" und der Authenfizierung der User nicht.

MfG & Thx Rushjo

 

[Voodoo]

Janein, das löst ja leider das Problem mit "ssh" und der Authenfizierung der User nicht.

Wieso denn nicht? Du erstellst einfach auf dem entsprechenden Rechner jeden User den du brauchst und anhand der Usernamen und der dazugehörigen Passwörter können die sich dann anmelden.
Oder habe ich dich jetzt ganz falsch verstanden?

 

[Nornagest]

bm2000:
Es geht ja eben darum, die Anmeldung ohne Passwort nur durch Hoast-Key-Authentifizierung zu machen.

Nornagest

 

[Voodoo]

Hab ich wohl falsch verstanden - sorry.
Aber ich bezweifele mal stark dass dies möglich ist, denn bei SSH muss sich doch der Server mittels eines Schlüssels gegenüber den Clients authetifizieren und nicht umgekehrt.

Berichtigt mich wenn ich falsch liege.

 

[soox]

Original von bm2000
Aber ich bezweifele mal stark dass dies möglich ist, denn bei SSH muss sich doch der Server mittels eines Schlüssels gegenüber den Clients authetifizieren und nicht umgekehrt.

da hast du wohl was falsch verstanden fuer was dieses server zertifikat gut ist.....damit kann man ueberpruefen, ob dies auch WIRKLICH der richtige server ist, und kein boeser typ ein wenig "man in the middle" spielt.

doch das funktioniert ohne probleme. du hast dann einfach noch ein zusaetzliches cert.
tip: wenn du das ganze in einem script benutzen willst, dann solltest du dieses cert nicht mit einem passwort versehen

--> http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=public+key+auth+ssh+howto&btnG=Search

 

[leeps]

das verwenden von client-zertifikaten in scripten ist problematisch, da, um die authentizitaet sicherzustellen die zertifikate mit passphrases gesichert sein sollten. sind sie das allerdings nicht, so geht das ganz leicht, und die opensshd doku gibt dazu auch mehr als genug anleitung. google.de bietet ausserdem mehrere (!) anleitungen. diese sind zwar alle recht spezifisch, aber aus 5 oder 10 einzelnen kann man sich die richtigen sachen fuer einen selbst so gut wie immer zusammensuchen.