individual ssh/sftp chroot

Author: Stephan  |  Category: Linux, Netzwerk

No execute or writepermissioms for the rest of the system is very simple on a linux system. To prevent , that a user, that only needs to upload files as an example, can see the rest of the system is a little bit more difficult.

One Solution:
We have a user named kunde.
We add a group sftpuser. Kunde became member of sftpuser.

We change
Subsystem sftp /usr/lib/openssh/sftp-server

in /etc/ssh/sshd.conf to
Subsystem sftp internal-sftp
and add

Match Group sftpuser
ChrootDirectory %h
ForceCommand internal-sftp

Then the ftpuser get an new home. Only root had write permissions

drwxr-xr-x 4 root root 4096 May 16 15:54 ftphome

For the individuap home , you need these permssions
drwxr-xr-x 2 kunde sftpuser 4096 May 16 15:52 kunde

Restart sshd
Thats all

cygwin with sshd and windows 7

Author: Stephan  |  Category: Linux, Netzwerk, windows

What is cygwin ?
Cygwin is a set of tools to add POSIX compability to a Windows System. Imagine, you can grep and less and use vi and the Basic System is Windows system.
You can also install a sshd for remote access.

To install cygwin under windows7 , you need the newest release . I used version 1.7 , Beta but stable.

The installation dialog is similar to most linux distributions. Choose the packets you want but don’t forget the sshd.

After the installation is finished open a shell and do the following
ssh-host-config -y
When prompted with “CYGWIN=” type for following:
tty ntsec
Then you can start it with.
cygrunsrv -S sshd
Be shure that your Firewall accepts incomming ssh connections.

Verschiedene ssh keys verwalten

Author: Stephan  |  Category: Linux, Netzwerk

Wer auf einem Rechner verschiedene SSH Keys für verschiedene Ziele verwalten möchte, kann dies mit einer simplen Konfigurationserweiterung tun.
Man erstelle eine Datei
~/.ssh/config mit folgendem Inhalt

User root
IdentityFile /home/user/.ssh/id_dsa_2

Nervige SSH Dictionary Attacken

Author: Stephan  |  Category: Linux, Netzwerk

Wenn haben die SSH Dictionary Attacken nicht auch genervt. Auch wenn das eigene System sicher war hat der Spuk doch Bandbreite gefressen und die Systeme unter Last gesetzt .
Beim stöbern [1 fand ich diesen Ansatz mit iptables :
iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

Was wird gemacht:
– Der gesammte SSH Verkehr geht durch einen neue Queue ( SSH_Check)
-Wenn es innerhalb von 60 Sekunden von einer IP drei neue Verbindungsversuche gibt, wird diese für 60 Sekunden geblockt

Das hat sich als sehr wirksam erwiesen