pfSense Gold Subscription

Author Topic: sftp( only) user in pfsense  (Read 109 times)

0 Members and 1 Guest are viewing this topic.

Offline robotics

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
sftp( only) user in pfsense
« on: May 18, 2017, 02:08:53 am »
hallo,
ich versuche mich gerade mit pfsense und das intern im Netz nutzen ( nicht als WAN - Gateway ).
Ich habe einen USB Port den ich in ein Verzeichnis mounte darauf möchte ich per sftp zugreifen ohne aber dem user direkten ssh Zugang zu geben.

Ich bin dieser Anletung gefolgt :
http://bin63.com/how-to-set-up-an-sftp-user-on-freebsd

ChrootDirectory habe ich entsprechend angepasst auf /home/sftp

aber ich bekomme keinen Zugang. Wenn ich als admin versuche geht es .Lande allerdings im home Verzeichnis root.

Kann mir jemand da einen Tip geben ? Ist da unter pfsense irgendwas spezielles zu beachten ?

gruss andy

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 2768
  • Karma: +168/-7
  • old man standing
    • View Profile
    • Want to shop me a gift?
Re: sftp( only) user in pfsense
« Reply #1 on: May 19, 2017, 06:13:55 am »
Hat dein User überhaupt Shell Rechte? Die sind in der Userverwaltung extra aufgeführt.
Please don't send generic support requests via PM. Create a new topic and ask away so we all can participate.
Also consider a pfSense Gold subscription to help support the project!
If you're interested in paid support, I'm available via PM for details of German pfSense support, for companies or personal individuals.

Offline mrpink

  • Jr. Member
  • **
  • Posts: 50
  • Karma: +4/-1
    • View Profile
Re: sftp( only) user in pfsense
« Reply #2 on: May 19, 2017, 06:44:42 am »
Und mit Shell Access bekommt dein User gleich Admin Rechte:

Code: [Select]
The following privileges effectively give the user administrator-level access because the user gains access to execute general commands, edit system files, modify users, change passwords or similar:

User - System: Copy files (scp)
User - System: Shell account access
WebCfg - All pages
WebCfg - Diagnostics: Backup & Restore
WebCfg - Diagnostics: Command
WebCfg - Diagnostics: Edit File
WebCfg - Diagnostics: Factory defaults
WebCfg - System: Authentication Servers
WebCfg - System: Group Manager
WebCfg - System: Group Manager: Add Privileges
WebCfg - System: User Manager
WebCfg - System: User Manager: Add Privileges
WebCfg - System: User Manager: Settings

Please take care when granting these privileges.

Offline robotics

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: sftp( only) user in pfsense
« Reply #3 on: May 19, 2017, 02:04:49 pm »
erstmal danke euch beiden für die Antworten.
genau aus dem grund um shell oder ssh rechte einzuschränken hatte ich das gemäß der Anleitung nach Standard Freebsd zu Fuss gemacht. Leider bekomme ich keinen Zugriff per sftp und selbst als Admin komme ich dann in den home folder , statt in den angegebenen sftp ordner.

beste grüsse
Andy

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 2768
  • Karma: +168/-7
  • old man standing
    • View Profile
    • Want to shop me a gift?
Re: sftp( only) user in pfsense
« Reply #4 on: May 23, 2017, 02:29:11 am »
> statt in den angegebenen sftp ordner.

Dann ist entweder deine Anleitung verkehrt oder deine Grundannahme. Bei einem SFTP Only Benutzer muss eigentlich - zumindest wenn die SSH Version neu genug ist und das sollte unter pfSense gegeben sein - gar kein großer Akt fabriziert werden. Das einzige WAS aber sein MUSS ist, dass der definierte Home Folder ROOT gehören MUSS. Erst die Subfolder dürfen dann ggf. dem Benutzer gehören, aber der Ordner, in dem man nach Verbindung herauskommt muss ROOT gehören. Das ist eine Enschränkung der Chroot Mechanik von OpenSSH selbst. So stehts auch in deiner Anleitung:

> The chroot directory needs to be owned by root so that the user/group can log in.

Wenn du dich also nicht einloggen kannst, ist meistens das dein Problem. Gehören also /home und /home/sftp auch Root?

Please don't send generic support requests via PM. Create a new topic and ask away so we all can participate.
Also consider a pfSense Gold subscription to help support the project!
If you're interested in paid support, I'm available via PM for details of German pfSense support, for companies or personal individuals.