.titleBar { margin-bottom: 5px!important; }

Benutzer anlegen und Rechte verteilen

Dieses Thema im Forum "Freetz" wurde erstellt von krafte, 9 Sep. 2008.

  1. krafte

    krafte Neuer User

    Registriert seit:
    2 Apr. 2006
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich habe folgendes Problem:
    Wenn ich mit adduser nen user anleg, kann ich mich mit ihm nicht über ssh einloggen. muss ich da noch was umstellen?
    Weiterhin würde ich ihm gerne ein paar Rechte entziehen, er soll sich zb nur über die virtuelle ip einloggen(sshd) dürfen und auch nur die (zugriffsrecht nur auf eth0:1) wieder nach draußen nutzen dürfen geht das?
     
  2. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    es wäre toll wenn es ein funktionierendes rechtemanagment gäbe auf der fritz...aber irgendwie iss das bisher noch nicht gelungen...
    zumindest sind meine bisherigen versuche alle gescheitert, sodass ich noch immer über die passwd datei arbeite die per script gefüllt wird...
    sollte allerdings jemand wissen wie das ganze ersthaft funzt, wäre ich da auch brennend dran interessiert...
    oli hat im track einen viel versprechenden patch bereit gestellt, der zumindest das löschen der passwd unterbindet beim start...aber weiter bin ich leider noch nicht...
     
  3. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Wenn sich über SSH andere User einloggen sollen, dann musst du unter make/dropbear/patches den Patch löschen und dropbear neu bauen.

    Wie man deine weiteren Vorhaben realisieren könnte weiß ich nicht. Wahrscheinlich gar nicht.

    MfG Oliver
     
  4. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Benutzerrechte?

    Ist es richtig, dass ich den Usern, die ich per debug.cfg in die passwd eintrage, allen root-Rechte geben muss (Gruppe root)?

    Da ich für ssh-Login die Passwort-Authentisierung abgeschaltet habe (dropbear -s) und Key-Authentisierung verwende, kann man sich die anderen User dann eigentlich auch gleich sparen, oder?

    Grüße
    Stefan
     
  5. McNetic

    McNetic Mitglied

    Registriert seit:
    7 Feb. 2007
    Beiträge:
    674
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Aachen
    Ich glaube nicht, daß das notwendig ist. Wie oben bereits steht, wird dropbear jedoch standardmässig mit einer Option gebaut, die einen Login nur als Root erlaubt. Diesen Patch müsstest Du löschen (der liegt in make/dropbear/patches/100-root-login-only.patch), dann dropbear neu kompilieren (make dropbear-dirclean; make dropbear-precompiled) und dann ein neues Image bauen.
     
  6. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    OK, das erklärt dann warum dropbear die zusätzlichen User nicht kannte.

    Aber die Frage war mehr allgemein gemeint. Für Samba und FTP funktioniert das mit den anderen Users ja. Aber im Grunde haben die auch root-Rechte, oder irre ich mich da?
     
  7. McNetic

    McNetic Mitglied

    Registriert seit:
    7 Feb. 2007
    Beiträge:
    674
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Aachen
    Ich weiss nicht genau, welche Rechte die von AVM angelegten User haben, aber prinzipiell kann man User anlegen, die nicht in der Gruppe root sind, und das ist auch die Standardeinstellung.
     
  8. cuma

    cuma Aktives Mitglied

    Registriert seit:
    16 Dez. 2006
    Beiträge:
    2,743
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Der "ftpuser" von AVM ist in der root Gruppe. Deshalb kann man dessen login mittlerweile auch in vsftp verweigern. Du kannst jedem eigenen User einer beliebigen (vorher erstellten) Gruppe zuweise. Schau bei Google nach /etc/passwd und /etc/group. Zu beachten ist aber noch dass nach einem Reboot AVM die passwd zurücksetzt, wogegen es aber einen Patch in einem Ticket gibt
     
  9. stefan--

    stefan-- Neuer User

    Registriert seit:
    25 Sep. 2006
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für Eure Antworten, dann war das doch ein Irrtum von mir. Ich hatte mir eingebildet, irgendwo gelesen zu haben, dass die User root-Rechte haben müssen. Um so schöner, wenn es nicht so ist.

    BTW: Die passwd fülle ich durch die debug.cfg bei jedem Neustart.
     
  10. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Oliver et al.,

    über das Freetz-HowTo "User-Management" bin ich auf diesen Thread gestoßen und habe mich gefragt, ob Ihr im Freetz-Paket dropbear ggf. eine Option (via "make menuconfig") hinzufügen könntet, mit der man einstellen kann, ob man root-only haben will oder nicht.

    Bevor ich ein Ticket aufmache, wollte ich aber hier zuerst einmal fragen, ob das realisierbar ist.
     
  11. McNetic

    McNetic Mitglied

    Registriert seit:
    7 Feb. 2007
    Beiträge:
    674
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Aachen
    Steht auf meiner Todo-Liste...
     
  12. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Oh, danke, das ist wirklich prima! [​IMG]
     
  13. @nt

    @nt Neuer User

    Registriert seit:
    1 Feb. 2009
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Und ist es möglich so einen Benutzer zu machen (guest), der beim SSH sich einloggen kann, aber keine Befehle ausführen darf? Ich will einfach, dass andere Leute nur die SOCKS-Funktionalität von SSH benutzen können.
     
  14. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dazu musst du eine Art fake-shell erstellen, die die Befehle nicht ausführt aber die Verbindung offen lässt. Desweiteren misst du den Beschränkungspatch von Dropbear löschen, damit sich auch andere Benutzte einloggen können.
     
  15. @nt

    @nt Neuer User

    Registriert seit:
    1 Feb. 2009
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, ich habe mir auch so überlegt, aber wie muss der fake-shell sein? Einfach ein C-Programm, das auf die stdin-Eingabe wartet? Oder shell-script?
     
  16. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo, entschuldigt bitte meine Zwischenfrage:
    Was soll ein Gast nach einem ssh-Login in der Shell tun, wenn er keine Befehle ausführen darf?
     
  17. @nt

    @nt Neuer User

    Registriert seit:
    1 Feb. 2009
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    SSH macht auch dynamisches Portforwarding und wirkt als ein SOCKS4 Proxy. Anstatt beide Dienste: dropbear und tinyproxy (privoxy) auf dem Router zu haben, kann ich dann nur dropbear lassen.
     
  18. @nt

    @nt Neuer User

    Registriert seit:
    1 Feb. 2009
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe versucht verschiedene Programme als shell beim dem neuen User zu nutzen, z.B. /bin/vi, /dev/null. Beim /bin/vi kann ich mich mit dem Befehl login als dieser User anmelden, und vi erscheint, aber durch SSH funktioniert es nicht: sofort nach dem Anmelden wird die Verbindung unterbrochen, sogar wenn ich beim SSH-Client die Option "Don't start shell or command at all" aktiviere. Mit einem normalen shell funktioniert alles, aber mit zu vielen Rechten.
     
  19. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Falls ein Skript als Shell akzeptiert wird, dann etwas in der Art:
    Code:
    #!/bin/sh
    
    echo "Sorry, no Shell"
    cat > /dev/null
    
    Anderenfalls das Gleiche in C.
     
  20. @nt

    @nt Neuer User

    Registriert seit:
    1 Feb. 2009
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    RalfFriedl, es funktioniert, wenn ich schon als root eingeloggt bin und dann mit 'login' zu dem neuen User wechsele, aber mit SSH funktioniert es nicht... Ich habe aber ein C Programm noch nicht probiert.