SFTP mit OpenSSH Boardmitteln

Diese Anleitung wurde mit Debian Jessie und OpenSSH Version 6.7p1 getestet.

Folgender Teil wird am Ende der SSHd Konfiguration eingefügt:

# chroot for group 'sftponly' and individual users
Match Group sftponly
  ChrootDirectory %h
  AuthorizedKeysFile /etc/ssh/authorized_keys/%u
  ForceCommand internal-sftp
  AllowTcpForwarding no
  PermitTunnel no
  X11Forwarding no

danach den SSH daemon neu starten mit systemctl restart ssh.service.

Nun wird eine Gruppe angelegt, jedes Mitglied dieser Gruppe bekommt obige Einstellungen beim Login per SSH/SFTP zugewiesen: groupadd sftponly

Die SFTP-only Benutzer werden folgendermaßen angelegt:

useradd -g www-data -G sftponly -m -s /bin/false testuser
(optional:) passwd testuser
(oder per Pubkey:) vi /etc/ssh/authorized_keys/testuser
chown root:root /home/testuser
mkdir /home/testuser/exchange
chown -R testuser /home/testuser/exchange

Da für SFTP das Homeverzeichnis root:root gehören muss, empfiehlt es sich die Userdaten in ein Unterverzeichnis zu verlegen („exchange“ in diesem Fall).

SSH-Keys erzeugen und verwalten

Mit der SSH-Passphrase an KDE/Gnome anmelden

offending key aus known_hosts löschen

SFTP mit OpenSSH Boardmitteln

SSH als SocksProxy

SSH-Clientkonfiguration Multiplexing

SSH-Forwarding über SUDO behalten

SSH-Keys von OpenSSH nach SSH2 konvertieren und zurück

SSH-Tunnel

GPG / GnuPG / PGP Cheat-Sheet

PGP public key von Keyserver holen und exportieren

OpenSSL - TLS-/SSL-Zertifikate

Diffie-Hellman Parameterdatei Bitgröße ermitteln

(Zwischen-)Zertifikat Key und Zertifikatsrequest per Script auf Plausibilität prüfen

CAcert Root Zertifikat unter Debian/Ubuntu einbinden

Signatur-Algorithmen einer Zertifikatskette anzeigen

OpenVPN nach Hause

IPSec Roadwarrior-VPN via racoon

Tunnelüberwachung via Script

OpenVPN startet nicht (ca md too weak)

SFTP mit OpenSSH Boardmitteln

No Comments