Zum einen muss das Paket "scponly" auf dem Server installiert sein (werden wir am besten gleich mal mit ins meta-Package aufnehmen). Außerdem muss in /etc/ssh/sshd_config die Anmeldung per Passwort erlaubt sein (PasswordAuthentication Yes).
Beim Test eben haben wir aber festgestellt, dass Debian das scponly-Binary unter /usr/bin/scponly ablegt, der passwd-Eintrag als Shell aber /bin/scponly verwendet. :-| Wir werden das gleich mal im dazugehörigen Lua-Script korrigieren.
Die Passwd-Einträge können Sie mit folgendem Befehl korrigieren:
sed -i -e 's/\/bin\/scponly$/\/usr\/bin\/scponly/' /etc/passwdWer möchte, kann mit mod_sftp aber auch den kompletten ProFTPd auf SFTP umstellen. Ein normaler (unverschlüsselter) Zugriff über FTP ist dabei aber nicht mehr möglich, und entweder ProFTPd oder SSHd müssen auf einen anderen Port gelegt werden (SFTP läuft nunmal auch via Port 22).
Für verschlüsselte FTP-Verbindungen empfehlen wir aber lieber FTPS (also FTP mit TLS) zu verwenden. Das ermöglicht auch die Verwendung zusätzlicher FTP-Accounts eines Kunden (scponly/SFTP klappt nur mit dem Systemaccount). In der nächsten LiveConfig-Version gibt es die Möglichkeit, in der FTP-Konfiguration direkt die TLS-Unterstützung zu aktivieren. Falls Sie das vorab manuell konfigurieren möchten, geben Sie mir bitte einfach Bescheid, dann stelle ich eine kurze Anleitung dafür zusammen.
Viele Grüße
-Klaus Keppler
Hallo Herr Keppler,
danke für die Information. Damit funktioniert nun auch SCP/SFTP einwandfrei
Gruß Patrick Dörn
PS: Toller und vor allem sehr flotter Support 
Was wird seitens LiveConfig als scponly Alternative unterstützt wenn man Ubuntu 12(.04) nutzt wo es scponly nicht mehr in den offiziellen Repos gibt?
In der aktuellen Version LiveConfig 1.5.3-r1988 gibt es zumindest bei vsFTPd noch keine entsprechende Option TLS hiermit nutzbar zu machen. (CentOS 6.3 x64).
Wurde gerade von Herrn Keppler darauf hingewiesen das es zum Thema FTPs für ProFTP und vsFTP bereits ein Ticket gibt: https://www.liveconfig.com/dev/issues/12
- Nur zur Info
Was wird seitens LiveConfig als scponly Alternative unterstützt wenn man Ubuntu 12(.04) nutzt wo es scponly nicht mehr in den offiziellen Repos gibt?
Hierzu könnte der andere Thread http://www.liveconfig.com/de/f…ort-nicht-korrekt-gesetzt! vermutlich für Dich interessant sein.
Zum einen muss das Paket "scponly" auf dem Server installiert sein (werden wir am besten gleich mal mit ins meta-Package aufnehmen). Außerdem muss in /etc/ssh/sshd_config die Anmeldung per Passwort erlaubt sein (PasswordAuthentication Yes).
Beim Test eben haben wir aber festgestellt, dass Debian das scponly-Binary unter /usr/bin/scponly ablegt, der passwd-Eintrag als Shell aber /bin/scponly verwendet. :-| Wir werden das gleich mal im dazugehörigen Lua-Script korrigieren.
Die Passwd-Einträge können Sie mit folgendem Befehl korrigieren:Codesed -i -e 's/\/bin\/scponly$/\/usr\/bin\/scponly/' /etc/passwd
Bitte mal den Status bei Wheezy prüfen. Hier gibt's scponly nämlich nicht mehr in den Standard-Repos. Außerdem will ich nicht das ein Reseller sich oder seinen Kunden /bin/bash als Shell genehmigen darf, wenn ich ihm lediglich scp/sftp erlaube. Bitte fixen!
Hallo,
gibt es hierzu einen aktuellen stand?
MfG
Sascha Ackermann
Alles anzeigenHallo,
gibt es hierzu einen aktuellen stand?
MfG
Sascha Ackermann
Ich habe es unter wheezy wie folgt gelöst:
# addgroup sftponly
#vim /etc/ssh/sshd_config
Match Group sftponly
ChrootDirectory /var/www/%u
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
PermitTunnel no
Und dann ein Cronscript mit folgendem Inhalt angelegt um auch neue User in der sftponly Gruppe aufzunehmen:
#!/bin/bash
for i in $(cat /etc/passwd | grep nologin | grep /var/www | cut -d":" -f1); do usermod -aG sftponly $i; done
Das funktioniert hier soweit mit dem Haupt-FTP Nutzer problemlos (ist schon etwas her - hoffe ich hatte nichts in der Doku vergessen )
wäre natürlich schön, wenn LiveConfig hierbei unterstützen könnte 
vor allem damit man keinen cronjob braucht...
EDIT:
hier die copy-paste-Lösung:
addgroup sftponly
cat << EOF >> /etc/ssh/sshd_config
# SFTP for FTP-Accounts
Match Group sftponly
ChrootDirectory /var/www/%u
ForceCommand internal-sftp -l INFO -f LOCAL6
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
EOF
service ssh reload
for i in $(grep -E ":/var/www/.+:/usr/sbin/nologin" /etc/passwd | cut -d":" -f1); do usermod -aG sftponly $i; done
echo '*/5 * * * * for i in $(grep -E ":/var/www/.+:/usr/sbin/nologin" /etc/passwd | cut -d":" -f1); do usermod -aG sftponly $i; done' >> /var/spool/cron/crontabs/rootAlso für SFTP kann man auch proftpd mitbenutzen wenn der installiert ist. Läuft bei mir problemlos. (http://www.liveconfig.com/de/forum/threads/1316-Mit-Proftpd-parallel-SFTP-Zugriff-zur-Verfügung-stellen)
Also für SFTP kann man auch proftpd mitbenutzen wenn der installiert ist. Läuft bei mir problemlos. (http://www.liveconfig.com/de/forum/threads/1316-Mit-Proftpd-parallel-SFTP-Zugriff-zur-Verfügung-stellen)
Danke, aber separater Port führt wieder zu weiterem Support-Aufwand...
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
