Benutzer anlegen und Rechte verteilen

[krafte]

Hallo,

ich habe folgendes Problem:
Wenn ich mit adduser nen user anleg, kann ich mich mit ihm nicht über ssh einloggen. muss ich da noch was umstellen?
Weiterhin würde ich ihm gerne ein paar Rechte entziehen, er soll sich zb nur über die virtuelle ip einloggen(sshd) dürfen und auch nur die (zugriffsrecht nur auf eth0:1) wieder nach draußen nutzen dürfen geht das?

 

[Darkyputz]

es wäre toll wenn es ein funktionierendes rechtemanagment gäbe auf der fritz...aber irgendwie iss das bisher noch nicht gelungen...
zumindest sind meine bisherigen versuche alle gescheitert, sodass ich noch immer über die passwd datei arbeite die per script gefüllt wird...
sollte allerdings jemand wissen wie das ganze ersthaft funzt, wäre ich da auch brennend dran interessiert...
oli hat im track einen viel versprechenden patch bereit gestellt, der zumindest das löschen der passwd unterbindet beim start...aber weiter bin ich leider noch nicht...

 

[olistudent]

Wenn sich über SSH andere User einloggen sollen, dann musst du unter make/dropbear/patches den Patch löschen und dropbear neu bauen.

Wie man deine weiteren Vorhaben realisieren könnte weiß ich nicht. Wahrscheinlich gar nicht.

MfG Oliver

 

[stefan--]

Benutzerrechte?

Ist es richtig, dass ich den Usern, die ich per debug.cfg in die passwd eintrage, allen root-Rechte geben muss (Gruppe root)?

Da ich für ssh-Login die Passwort-Authentisierung abgeschaltet habe (dropbear -s) und Key-Authentisierung verwende, kann man sich die anderen User dann eigentlich auch gleich sparen, oder?

Grüße
Stefan

 

[McNetic]

Ich glaube nicht, daß das notwendig ist. Wie oben bereits steht, wird dropbear jedoch standardmässig mit einer Option gebaut, die einen Login nur als Root erlaubt. Diesen Patch müsstest Du löschen (der liegt in make/dropbear/patches/100-root-login-only.patch), dann dropbear neu kompilieren (make dropbear-dirclean; make dropbear-precompiled) und dann ein neues Image bauen.

 

[stefan--]

OK, das erklärt dann warum dropbear die zusätzlichen User nicht kannte.

Aber die Frage war mehr allgemein gemeint. Für Samba und FTP funktioniert das mit den anderen Users ja. Aber im Grunde haben die auch root-Rechte, oder irre ich mich da?

 

[McNetic]

Ich weiss nicht genau, welche Rechte die von AVM angelegten User haben, aber prinzipiell kann man User anlegen, die nicht in der Gruppe root sind, und das ist auch die Standardeinstellung.

 

[cuma]

Der "ftpuser" von AVM ist in der root Gruppe. Deshalb kann man dessen login mittlerweile auch in vsftp verweigern. Du kannst jedem eigenen User einer beliebigen (vorher erstellten) Gruppe zuweise. Schau bei Google nach /etc/passwd und /etc/group. Zu beachten ist aber noch dass nach einem Reboot AVM die passwd zurücksetzt, wogegen es aber einen Patch in einem Ticket gibt

 

[stefan--]

Danke für Eure Antworten, dann war das doch ein Irrtum von mir. Ich hatte mir eingebildet, irgendwo gelesen zu haben, dass die User root-Rechte haben müssen. Um so schöner, wenn es nicht so ist.

BTW: Die passwd fülle ich durch die debug.cfg bei jedem Neustart.

 

[ao]

Wenn sich über SSH andere User einloggen sollen, dann musst du unter make/dropbear/patches den Patch löschen und dropbear neu bauen.

Hallo Oliver et al.,

über das Freetz-HowTo "User-Management" bin ich auf diesen Thread gestoßen und habe mich gefragt, ob Ihr im Freetz-Paket dropbear ggf. eine Option (via "make menuconfig") hinzufügen könntet, mit der man einstellen kann, ob man root-only haben will oder nicht.

Bevor ich ein Ticket aufmache, wollte ich aber hier zuerst einmal fragen, ob das realisierbar ist.

 

[McNetic]

Steht auf meiner Todo-Liste...

 

[ao]

Oh, danke, das ist wirklich prima!

 

[@nt]

Und ist es möglich so einen Benutzer zu machen (guest), der beim SSH sich einloggen kann, aber keine Befehle ausführen darf? Ich will einfach, dass andere Leute nur die SOCKS-Funktionalität von SSH benutzen können.

 

[matze1985]

Dazu musst du eine Art fake-shell erstellen, die die Befehle nicht ausführt aber die Verbindung offen lässt. Desweiteren misst du den Beschränkungspatch von Dropbear löschen, damit sich auch andere Benutzte einloggen können.

 

[@nt]

Ja, ich habe mir auch so überlegt, aber wie muss der fake-shell sein? Einfach ein C-Programm, das auf die stdin-Eingabe wartet? Oder shell-script?

 

[ao]

Hallo, entschuldigt bitte meine Zwischenfrage:
Was soll ein Gast nach einem ssh-Login in der Shell tun, wenn er keine Befehle ausführen darf?

 

[@nt]

SSH macht auch dynamisches Portforwarding und wirkt als ein SOCKS4 Proxy. Anstatt beide Dienste: dropbear und tinyproxy (privoxy) auf dem Router zu haben, kann ich dann nur dropbear lassen.

 

[@nt]

Ich habe versucht verschiedene Programme als shell beim dem neuen User zu nutzen, z.B. /bin/vi, /dev/null. Beim /bin/vi kann ich mich mit dem Befehl login als dieser User anmelden, und vi erscheint, aber durch SSH funktioniert es nicht: sofort nach dem Anmelden wird die Verbindung unterbrochen, sogar wenn ich beim SSH-Client die Option "Don't start shell or command at all" aktiviere. Mit einem normalen shell funktioniert alles, aber mit zu vielen Rechten.

 

[RalfFriedl]

wie muss der fake-shell sein?

Falls ein Skript als Shell akzeptiert wird, dann etwas in der Art:

#!/bin/sh

echo "Sorry, no Shell"
cat > /dev/null

Anderenfalls das Gleiche in C.

 

[@nt]

RalfFriedl, es funktioniert, wenn ich schon als root eingeloggt bin und dann mit 'login' zu dem neuen User wechsele, aber mit SSH funktioniert es nicht... Ich habe aber ein C Programm noch nicht probiert.