AW: openssh sftp und Rechte
Hi Chris, ich habe mich beim pseudonymisieren von Verzeichnissen, Nutzern und Gruppen für die Frage zu "später Stunde" völlig verhaspelt und daher meine Frage nochmal korrigiert in die Liste gekippt. > Zunaechst mal: Mit libnss-extrausers habe ich keine Erfahrung. > Falls dieses schraege Konstrukt eigene Fehler verursacht, dann > kenne ich die nicht. > Der Verdacht steht an, aber libnss-extrausers wirkt ja aufs gesamte System, das Phänomen welches ich beschreibet tritt unter /var/www/webs/ auf aber nicht unter /home. Kann immer noch an diesem Paket liegen, wird wie ich finde aber unwahrscheinlicher. > Ausserdem ist nicht klar, um welchen User es Dir geht. > Oben zeigst Du Eintraege fuer den user1, unten verwendest Du > aber den user0. > Siehe oben, ich konnte nicht mehr klar Abreiten. > Falls user0 auch ins Verzeichnis user1 darf, muss er der Gruppe its > angehoeren. Info ueber den user0 fehlt aber in Deiner Mail. > 0 war 1 und 1 war 2 Es ist so, dass die Nutzer jeweils nur in der Gruppe stecken, die ihrem Nutzernamen entsprechen, Nie gemeinsam in eiern Gruppe und nicht über Kreuz. Dennoch kann der eine Nutzer in das Verzeichnis des anderen obwohl die ACL sagen : others haben keine Rechte. Ich habe ja "sftp-internal" des sshd in Verdacht. > Da getfacl hier nur Verzeichnisname/Owner/Group sowie die klassischen > UGO-Permissions anzeigt, ist die ACL leer und ein simples > "ls -ld user0" haette ausgereicht. > Hätte ich da geliefert, hätte man (zu Recht) gefragt: ACLs? Da will man es einmal gleich richtig machen ... > Siehe oben. Uebersehe ich was? > Keine Ahnung, ich hatte das ja nicht gut vorbereitet und habe das jetzt im 2. Anlauf hoffentlich besser gemacht. Danke erstmal. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Re: openssh sftp und Rechte
Hallo Ronny, On Wed, Nov 13, 2019 at 14:27:44 +0100, Ronny Seffner wrote: > Ich habe einen Nutzer in /var/lib/extrausers/passwd|group|shadow: > getent group its > user1:x:10002:user1 > getent passwd its > user1:x:10002:10002:User:/var/www/webs/user1/:/bin/false Zunaechst mal: Mit libnss-extrausers habe ich keine Erfahrung. Falls dieses schraege Konstrukt eigene Fehler verursacht, dann kenne ich die nicht. Ausserdem ist nicht klar, um welchen User es Dir geht. Oben zeigst Du Eintraege fuer den user1, unten verwendest Du aber den user0. > Nun kann dieser Nutzer unter /var/www/webs aber per SFTP in alle > Verzeichnisse (also z.B. auch user0) Wer ist mit "dieser Nutzer" gemeint? user0 oder user1? > drwxr-x--- 36 user0 itcdd4096 Okt 29 15:03 user0 > drwxr-x--- 12 user1 its 4096 Okt 31 16:56 user1 Dass der user0 ins Verzeichnis user0 darf, ist offensichtlich. Er ist der Owner und fuer den stehen die Permissions auf rwx. Er darf dort also auch Dateien erzeugen/loeschen. Falls user0 auch ins Verzeichnis user1 darf, muss er der Gruppe its angehoeren. Info ueber den user0 fehlt aber in Deiner Mail. > getfacl user0 > # file: user0 > # owner: user0 > # group: user0 > user::rwx > group::r-x > other::--- Da getfacl hier nur Verzeichnisname/Owner/Group sowie die klassischen UGO-Permissions anzeigt, ist die ACL leer und ein simples "ls -ld user0" haette ausgereicht. > Das gleiche Spiel klappt aber unter /home nicht überall (z.B. esets) > getfacl /home/esets > # file: home/esets > # owner: esets > # group: esets > user::rwx > group::r-x > other::--- Wenn der user0 *nicht* der Gruppe esets angehoert, ist auch hier klar, warum er nicht ins Verzeichnis /home/esets darf. Zu getfacl gilt hier das gleiche wie oben. > Wieso gelingt user0 über SFTP das change directory und mehr (read von > Dateien) unter /var/www/webs/user0, nicht aber in /home/esets? Siehe oben. Uebersehe ich was? Gruss, Christian -- Christian Perlechris AT linuxinfotag.de 010111 http://chris.silmor.de/ 101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing
openssh sftp und Rechte
Hallo Gruppe, ich sitze gerade vor einem seltsamen Phänomen (vermutlich sehe ich den Baum vor lauter Holzfällern nur nicht, oder so in der sshd_config ist für SFTP deklariert: Subsystem sftpinternal-sftp Ich habe einen Nutzer in /var/lib/extrausers/passwd|group|shadow: getent group its user1:x:10002:user1 getent passwd its user1:x:10002:10002:User:/var/www/webs/user1/:/bin/false Nun kann dieser Nutzer unter /var/www/webs aber per SFTP in alle Verzeichnisse (also z.B. auch user0) ... drwxr-x--- 36 user0 itcdd4096 Okt 29 15:03 user0 drwxr-x--- 12 user1 its 4096 Okt 31 16:56 user1 ... getfacl user0 # file: user0 # owner: user0 # group: user0 user::rwx group::r-x other::--- Das gleiche Spiel klappt aber unter /home nicht überall (z.B. esets) getfacl /home/esets # file: home/esets # owner: esets # group: esets user::rwx group::r-x other::--- Wieso gelingt user0 über SFTP das change directory und mehr (read von Dateien) unter /var/www/webs/user0, nicht aber in /home/esets? Welche Infos zur Beantwortung der Frage, die schlussendlich der Sicherung der Maschine dienen soll bin ich Euch noch schuldig? Vermutlich klatsche ich gleich die Hände vor die Stirn. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8