Da Windows a Debian con SSH

[eltacco]

Salve.
Mio figlio si connette con me (Debian) da windows.
Utilizza Winscp con il mio indirizzo fornito da DynDNS e con username e password mia.
Io ho installato il server ssh.
Come fare per impedire che navighi per l'intero filesystem con i miei stessi privilegi?

[HomerCube]

Oserei supporre che la cosa va governata tramite le utenze che crei e conferisci, più che mediante ssh stesso.
Ossia, se vuoi che acceda al tuo PC con privilegi più ristretti dei tuoi, creagli una utenza sul PC dimensionata in tal senso e forniscigli quella (cosa che, peraltro, ritengo valga a prescindere dalla postazione di provenienza, sia essa Windows o altro). Probabilmente puoi fare anche di meglio usando le ACL, ma non ne conosco bene il funzionamento quindi non mi pronuncio.

[UgoBoss]

Ossia, se vuoi che acceda al tuo PC con privilegi più ristretti dei tuoi, creagli una utenza sul PC dimensionata in tal senso e forniscigli quella (cosa che, peraltro, ritengo valga a prescindere dalla postazione di provenienza, sia essa Windows o altro)

Concordo 

[eltacco]

Ossia, se vuoi che acceda al tuo PC con privilegi più ristretti dei tuoi, creagli una utenza sul PC dimensionata in tal senso e forniscigli quella

Questo l'ho fatto.
Vorrei in pratica condividere una sola cartella evitando che possa anche solo leggere tutto il rimanente.

[HomerCube]

Questo l'ho fatto.
Vorrei in pratica condividere una sola cartella evitando che possa anche solo leggere tutto il rimanente.

Se crei una sola cartella con privilegi di accesso per quell'utenza, e neghi per essa equivalenti privilegi a tutte le altre, dovrebbe bastare. Esiste anche il concetto di chrooting, ma non credo si possa applicare in questo contesto: l'accesso avviene via ssh, non mediante un server FTP di cui puoi configurare le directories.

Suppongo tu debba revocare tutti i privilegi generici a cartelle e files (chmod o-rwx) a tutto meno che alle cartelle che deve raggiungere, a patto ovviamente che l'utente che hai assegnato a tuo figlio non condivida col tuo il gruppo di appartenenza.

[eltacco]

Se ho ben capito dovrei da root dare a tutte le directory chmod o -rwx , occorre mettere anche -R ?
Finora non avevo mai modificato i permessi di file e directory escluso la home.
Pensavo che dovessero rimanere tutto come preimpostato.

[marbel]

http://www.supportomambo.it/index.php?option=com_content&task=view&id=48&Itemid=150

c'è una breve spiegazione anche di chmod.

[metaldaze]

Se ho ben capito dovrei da root dare a tutte le directory chmod o -rwx , occorre mettere anche -R ?
Finora non avevo mai modificato i permessi di file e directory escluso la home.
Pensavo che dovessero rimanere tutto come preimpostato.

Se fai una cosa del genere a tutte le directory del filesystem non potrai più usare il sistema da utente normale. Ci sono file che DEVONO poter essere letti da utente normale.

[metaldaze]

Comunque il chroot per ssh è possibile solo che per ora è un po' macchinoso. Ho letto che nella prossima versione stabile di openssh verrà aggiunta la direttiva ChrootDirectory che farebbe proprio al caso tuo.
Se comunque vuoi che tuo figlio abbia un accesso tanto limitato, allora perché non gli lasci la possibilità di usare solo ftp? Con proftpd, per esempio, il chroot si ottiene molto facilmente con la direttiva DefaultRoot.

[eltacco]

Ho letto che nella prossima versione stabile di openssh verrà aggiunta la direttiva ChrootDirectory che farebbe proprio al caso tuo.
Se comunque vuoi che tuo figlio abbia un accesso tanto limitato, allora perché non gli lasci la possibilità di usare solo ftp?

Mi avete ripreso per i capelli, stavo per dare quel comando.
Ora ho capito.
Proverò la seconda soluzione.
Grazie a tutti

[UgoBoss]

Comunque se i permessi in tutte le cartelle di sistema sono impostati come da default non dovrebbero esserci problemi: un utente normale può leggerli tutti (a parte quelli contenenti dati sensibili, che non sono leggibili) ma non scriverli.
Quindi anche se tuo figlio potesse navigare per tutto il file system, non potrebbe creare problemi.