scponly Konto funktioniert nicht.

menace

Well-Known Member
Hallo,
ich habe mittels dem Port /usr/port/shells/scponly ein paar WinSCP-Konten eingerichtet. Die meisten (ziemlich standardmässig angelegten) Konten funktionieren auch. Jetzt habe ich allerdings ein Problem.
Ich habe einen User /home/wwwseiten, wo verschiedene Domain-Ordner für den lighttpd drin sind. diese haben die Form ./<domainname>/pages/

Jetzt habe ich fuer einen bestimmten user eine Domain angelegt, und den Ordner <domainname> als sein Homeverzeichnis angelegt, und pages/ als seinen Incoming-Ordner. (scponly will diesen IncomingOrdner im Home haben, weil im HomeOrdner ja selbst die Binaries abgelegt werden)
Wenn ich mich jetzt allerdings in dieses Konto per WINSCP einloggen will (bei den anderen Konten funktioniert es), kommt folgender Fehler:

"Cannot initialize SFTP Protocol. Is this Host running a SFTP-Server?" & "Connection has been unexpectedly closed. Server sent command exit status 1."

In /var/auth/log steht:
Nov 7 20:27:30 fuckinplace sshd[88022]: Accepted keyboard-interactive/pam for deruser from 89.180.173.193 port 1831 ssh2
Nov 7 20:27:30 fuckinplace sshd[88025]: subsystem request for sftp
Nov 7 20:27:30 fuckinplace scponly[88026]: chroot dir writable by group: /home/wwwseiten/fqdomainname

Ich bin momentan etwas ratlos woran das liegen könnte. Bei anderen Konten mit scponly funktioniert das einwandfrei. Ich vermute ja, dass es an den Berechtigungen liegt (fqdomain hat 755 root:wheel, alle anderen haben wwwseiten:wwwseiten als benutzer und gruppe), aber das sollte doch hoechsten den httpd beeintraechtigen, der auf die Dateien darin zugreifen will, aber doch nicht scponly, oder?

Hat da irgendjemand ne Ahnung, woran das liegen könnte?
 

menace

Well-Known Member
Nach doppel-ps tip, daß sshd keine worldwriteable's home-verzeichnisse mag, hab ich /home/wwwseiten/fqdomainname sogar mal auf 700 gesetzt, und jetzt kommt folgende Meldung:
Nov 7 22:52:37 fuckinplace sshd[88422]: Accepted keyboard-interactive/pam for deruser from 85.179.179.123 port 2212 ssh2
Nov 7 22:52:37 fuckinplace sshd[88425]: _secure_path: cannot stat /home/wwwseiten/fqdomainname/.login_conf: Permission denied
Nov 7 22:52:37 fuckinplace sshd[88425]: subsystem request for sftp
Nov 7 22:52:37 fuckinplace sshd[88426]: _secure_path: cannot stat /home/wwwseiten/fqdomainname/.login_conf: Permission denied
Nov 7 21:52:37 fuckinplace scponly[88426]: running: /usr/libexec/sftp-server (username: deruser(1008), IP/port: 85.179.179.123 2212 22)
Nov 7 21:52:37 fuckinplace scponly[88426]: failed: /usr/libexec/sftp-server with error Permission denied(13) (username: deruser(1008), IP/port: 85.179.179.123 2212
ich bin weiter auf der suche. falls jemand was erhellendes weiss ..
 

menace

Well-Known Member
edit: wenn die gruppenrechte rx wenigstens noch haben, gehts allerdings auch nicht, ich weiß ehrlich gesagt nicht so, was permission denied da bedeuten soll..
 

free

Well-Known Member
Eine Lösung für dein Problem habe ich nicht, aber zumindest kann ich dir folgendes sagen:
Wenn du ein Home-Verzeichnis hast, das root:wheel gehört und die Rechte auf 700 setzt, dann ist das kein Wunder, dass ein normaler Benutzer beim Versuch sich einzuloggen ein "permission denied" bekommt - er hat ja auch keinerlei Rechte mehr für das Verzeichnis! Du hast es ihm ja quasi selbst verboten.

Aber raten kann ich ja trotzdem mal:
Du hast auch in dem betreffenden Verzeichnis nicht vergessen, die chroot-Umgebung anzulegen (/usr/local/share/examples/scponly/setup_chroot.sh)?
 

lantis

Sascha Retzki
edit: wenn die gruppenrechte rx wenigstens noch haben, gehts allerdings auch nicht, ich weiß ehrlich gesagt nicht so, was permission denied da bedeuten soll..

Morgen menace,


also der sshd will lesen, laeuft also anscheinend in einer anderen Gruppe als user und/oder scponly etc. Eine Auflistung der aktuellen permissions und involvierten Gruppen und UID/GID der involvierten Prozesse mal posten bzw. anschauen, ich bin sicher es ist etwas in die Richtung.
 
Oben