Servus,

"mysecureShell" liest sich fantastisch: SFTP ohne händisches Patchen des SSH-Servers und manuelles Bauen der chroot-Umgebung.

Diese Shell scheint die starke Verschlüsselung von SSH mit der einfachen Installation eines FTP-Servers zu Verbinden.

http://www.howtoforge.com/mysecureshell_sftp_debian_etch
http://sourceforge.net/project/showfiles.php?group_id=117807

Leider steht kein ARM-Paket zu Verfügung.
Könnte sich jemand die Seiten anschauen und sagen, ob man die Shell auch für die NSLU2 kompilieren kann ??
Ich bin auf dem Gebiet leider noch recht unerfahren...

Was haltet Ihr von dem Projekt?

Herzliche Grüße,
Case

Hallo Case! Hört sich interessant an! Wenn ich dazu komme, probiere ich das gerne auf der Slug aus.

cu
Gargi

Hallo Case! Hört sich interessant an! Wenn ich dazu komme, probiere ich das gerne auf der Slug aus.

cu
Gargi

Ja, dass wäre super.
So einen Server wünsche ich mir schon lange.
Jetzt wo ich Debian auf der Slug laufen habe ... welche Pakete muss ich zum Kompilieren nachinstallieren ??

Herzliche Grüße,
Case

Axo! Du hast Debian auf der Kiste? Das muss man auch dazu wissen :)

cu
Gargi

Axo! Du hast Debian auf der Kiste? Das muss man auch dazu wissen :)

cu
Gargi

Ja, als Ubuntuuser fühlt sich Debian schon deutlich angenehmer an. Als Linux-Leichtmatrose ist Unslung schon hartes Brot.
Ausserdem konnte ich unter Unslung meine SSL-Probleme nicht lösen.

Hoffentlich klappts mit der Shell, dass würde mich der "Schäublefreien-Zone" ein Stück näher bringen ;-)

Grüße,
Case

Hehehe... mal sehen. Ich überlege nur, ob ich das dann auf der Slug direkt mache, oder dann über eine Debbi- Installation in einer virtuellen Maschine.

cu
Gargi

Servus,

wie frustran: ich habe gcc und make nachinstalliert und versucht mysecureshell zu kompilieren.
Laut Readme soll das Kompilieren durch "make all" und anschließend "./install.sh.in" funktionieren.
Leider findet make kein passendes File (no rule to make "all") und die Sache scheitert schon im Ansatz.
Was läuft da schief ?

Grüße,
Case

Hast Du die build essential installiert?


apt-get install build-essential

cu
Gargi

Servus,

aahhh, Du bist ein guter Mensch Gargi :-)
Ich dachte, dass build-essential Paket gibt's nur unter Ubuntu ...

However, mit dem üblichen Dreischritt ./configure, make , make install hat das Kompilieren fehlerfrei geklappt.
"sh install.sh en" schließt die Installation ab, wunderbar !

Allerdings mache ich mir auch Sorgen: kommt APT mit dieser Installation zukünftig klar (Updates usw.) ??
Unter Ubunutu war ich bisher "Checkinstall" gewöhnt, so konnte man auch "Fremdpakete" relativ gefahrlos einspielen.
Wie siehst Du das?

Herzliche Grüße,
Case

Nunja, wenn Du ein Programm selbst kompilierst, dann wird das natürlich nicht automatisch geupdatet. Da musst Du dann schon selbst nach den Quellen Ausschau halten und bei neuen Versionen nochmals den Kompiler anschmeißen :)

cu
Gargi

hi und auch von mir erst mal großen dank an gargi für das tolle howto, du hast das leben eines weiteren linux-leichtmatrosen sehr viel einfacher gemacht!!

ich recherchiere nun schon seit tagen und wochen immer wieder an diversen problemen zum thema openssh und scp/sftp herum. immer wenn ich ein loch gestopft habe, tut sich mindestens ein neues auf.

zuerst hatte ich das problem, dass niemand ausser dem root-user per scp auf die slug zugreifen konnte. nachdem ich der datei /dev/null schreibrechte für alle user gegeben habe war das problem seltsamerweise behoben, obwohl ich dem entsprechenden user in der htpasswd zuvor einen anderen pfad (zu seinem entsprechenden user-verzeichnis) zugewiesen hatte.

Aktuell kann ich für ein anderes problem, das eng mit dem hier besprochenen verknüpft ist keine lösung finden.
die aktuelle version von "scponly" (http://www.nslu2-linux.org/wiki/Optware/Scponly) legt mithilfe des scripts "mkscproot" einen neuen user mit chroot-umgebung an. allerdings funktioniert das ding nicht so richtig. siehe auch hier:
http://tech.groups.yahoo.com/group/nslu2-general/message/6941

owohl du, gargi, natürlich mit diesem script nicht wirklich was zu tun hast, doch auch an dich die frage.

1. Warum funzt das bei mir (unslung 6.10) nicht richtig (user wird zwar erstellt, scp ist aber mit dem user dann nicht möglich)? Wie Ben Pollinger (zweiter link), hatte auch ich dessen modifikationen am skript von Marcel N. übernommen, jedoch half auch das nichts

2. Besteht nicht, wie durch das posting von case auch deutlich wird ein bedürfnis an sicherem filetransfer zur slug über ssh bzw scp/sftp?? Das ist zwar möglich ist, aber in der praxis stellt es viele user vor große probleme. Ein script für unslung, mit der möglichkeit, für scp/sftp-user nur bestimmte aber vom admin zu bestimmende verzeichnisse freizugeben wäre hier also gold wert, bzw aushilfsweise ein verständliches und detailiertes howto, was auch zum gewünschten ziel führt. falls du mal irgendwann zeit findest, wäre das glaub ich 'ne baustelle, der sich mal ein kenntnisreicher mensch annehmen sollte :D. Beste grüße!

Hallo,

ich verzweifel ebenfalls gerade an scponly. Habe mich ans HowTo gehalten und auch die anderen genannten Befehle ausgeführt. Leider akzeptiert die Slug nicht meinen Key, obwohl authorized_keys in ~/.ssh/ des scponly Users angelegt ist und AllowUsers / DenyUsers in der sshd_config stimmen. Könntest du mir vielleicht ein wenig helfen, slugzen? Ich bin kurz davor scponly wieder runterzuschmeißen und mich stattdessen an dieses HowTo (http://www.nslu2-linux.org/wiki/HowTo/ChrootJailForSFTP) zu halten. Über ein richtiges HowTo zu scponly würde ich mich sehr freuen (ich schätze mit meinen Linux-Kenntnissen wird das sonst nichts mehr).

Viele Grüße

Nightwolf

Gibt es hier einen Editieren Button? Konnte ihn leider nicht finden...

Ich bin mittlerweile soweit, dass scponly sowohl mit scp, als auch mit sftp läuft. :) Warum es zuerst nicht ging, kann ich leider nicht so richtig nachvollziehen.

Damit WinSCP nicht wegen einer fehlenden groups Binary meckert, habe ich die groups.c, die mit scponly mitkommt mit
gcc -o groups groups.c kompiliert, in /home/scponlyuser/bin verschoben und die Rechte auf 775 gesetzt.

WinSCP akzeptiert diese groups Binary aber anscheinend nicht, ich bekomme folgende Meldung:

(ECommand) Fehler beim Einlesen der System User-Gruppen.
Befehl 'groups ; echo "WinSCP: this is end-of-file:$status"' fehlgeschlagen mit ungültiger Ausgabe ''.

Was auffällt ist, dass groups nur 6637 Bytes groß ist, im Gegensatz zu den anderen Binaries mit je 327128 Bytes.

Kann sich jemand einen Reim daraus machen? :rolleyes:

hi nightwolf,

das prob mit der fehlermeldung beim login mit winscp hatte ich auch.
ich installierte: ipkg install coreutils

da wird der befehl: groups
mitinstalliert, seitdem kommt keine fehlermeldung mehr.

man kann aber auch: "Upon login WinSCP complains about not being able to read groups but works non the less. To fix this open up WinSCP, at the login window, select "Advanced options". In the tree, select "Environment->SCP". Untick "Lookup user groups" and save your login profile."

der key muss in einer zeile sein. die zeile muss beginnen mit: ssh-rsa <dein publickey> user@hostname
die rechte müssen genau stimmen für /user/.ssh/authorized_keys sowie für /user/.ssh und eben auch für /user
winscp kann nicht alle schlüsselarten verstehen > siehe: http://www.nslu2-linux.org/wiki/HowTo/UseOpenSSHForRemoteAccess

kurze frage: was is der unterschied zwischen openssh und scponly?
habe nur openssh installiert,

kennt ihr bestimmt schon:
http://www.nslu2-linux.org/wiki/Optware/Scponly

einen edit-button gibts hier nicht, nein. der heisst hier "Ändern". musste eingeloggt sein um ihn zu sehen.

gruss
slugger

Also ich habe coreutils schon drauf und hatte auch mal probiert, die coreutils-groups nach /home/scponlyuser/bin zu kopieren. Das hat leider genauso wenig funktioniert wie die selbstkompilierte groups.

Die Sache mit der WinSCP Einstellung habe ich auch schon herausgefunden (ich weiß ja wie man googlet :rolleyes: ), das ist ja auch kein wirkliches Problem mit der groups, sondern eher ein "Schönheitsfehler". :rolleyes:

Das was du noch zu den Keys geschrieben hast, hatte ich meines Wissens nach eigentlich auch von Anfang an befolgt; egal jetzt funktioniert es ja. :)

Der Vorteil von scponly ist das chroot jail, also dass User ihr eigenes Wurzelverzeichnis und keinen Zugriff auf Verzeichnisse außerhalb ihres Wurzelverzeichnissen haben.

Mit Edit-Button meinte ich ja Ändern, konnte ich leider nicht finden (aber vielleicht war es auch einfach schon zu spät) ;)

Edit: Irgendwie kann ich auch nur diesen Beitrag, aber nicht den weiter oben ändern. :rolleyes:

Grüße

Nightwolf

Die Beiträge lassen sich nach einer gewissen Zeit nicht mehr ändern. Ist bewusst so eingestellt ;)

cu
Gargi

Welchen Vorteil hat das denn? Ich bin es aus anderen Foren gewöhnt, Edit einem Doppelpost vorzuziehen. Dort werden die editierten Posts dann auch als neu markiert, sodass man es auf jeden Fall mitbekommt wenn jemand einen Beitrag geändert hat.

Welchen Vorteil hat das denn? Ich bin es aus anderen Foren gewöhnt, Edit einem Doppelpost vorzuziehen. Dort werden die editierten Posts dann auch als neu markiert, sodass man es auf jeden Fall mitbekommt wenn jemand einen Beitrag geändert hat.

Naja, dann haste nicht das Problem, dass die Leute dann irgendwann behaupten, sie hätten etwas nie gesagt, nachdem sie einfach schnell was umeditieren. Doppelpostings sind mir ziemlich egal , wenn die nicht alle 5 Minuten hintereinander kommen und immer auf den gleichen Beitrag innerhalb eines Threads gepostet werden. Sprich: Du antwortest dem User A und dann gleich zwei Beiträge aufeinanderfolgend, das wäre für mich ein Doppelpost. Du antwortest in einem Thread User A, User B, User C jeweils in einem einzelnen Beitrag hinterheinander (mit entsprechendem Quoting), dann dient das eher der Übersichtlichkeit und ist kein Doppelposting. Ich setze da mehr auf das Gefühl und was einfach dem Textfluss und der Community dienlich ist als auf irgendwelche blöde Paragrafenreiterei. Sowas mag ich ehrlich gesagt an vielen Foren nicht.

Na und falls es wirklich was Wichtiges zu Editieren gibt, weil man einfach in einem Code was falsch getippt hat, oder man merkt, dass man irgendwas verdreht dargestellt hat, dann einfach an die Mods hier wenden. Das wird dann schon gefixt.

Viele Grüße,
Gargi

PS.: Ein automatisiertes Verwarnsystem wie es hie und da mit dieser Forensoftware realisiert wird gibt es übrigens hier auch nicht. So ein Verwarnsystem ist für mich fast schon der Gipfel der Unpersönlichkeit, sowas handeln wir dann lieber schon untereinander aus, wenn es mal Probs geben sollte :)