Hallo,
[Vorgeschichte]
ich habe folgendes Problem bei dem ich nicht mehr weiter weiß. Vielleicht hat einer von Euch eine Idee wie ich es lösen kann.
Bei meinem QNAS TS 109 II Pro habe ich den original SSH- durch den openSSH-Daemon ersetzt. Damit kann sich jetzt nicht nur der Admin, sonder auch ein Normalbenutzer anmelden. (der direkte Admin-Zugang soll später abgeschaltet werden)
[Problem]
Ich möchte aber über winSCP einem Normalbenutzer den Zugriff auf ein bestimmtes Verzeichnis ermöglichen. Dabei soll der Benutzer jedoch nicht außerhalb dieses (Home-Verzeichnisses) sich bewegen dürfen.
[Lösungsansatz]
Ich habe die folgende Anleitung im Netz gefunden und umgesetzt (http://blog.schalanda.name/arc…uetzung-fuer-OpenSSH.html).
Leider werde ich jedoch bei der Verbindung mit winSCP mit der Fehlermeldung 255 abgewiesen.
(genau, Zitat: "Kann das SFTP nicht initialisieren. Läuft auf dem entfernten Rechner ein SFTP-Programm? Befehlsbeendigungsstatus: 255")
Wo liegt genau das Problem? Hat jemand von Euch ein Idee?
Danke im Voraus.
Gruß
creg
EDIT:
[Schade, dass sich niemand bis jetzt gemeldet hat]
Bis jetzt habe ich noch folgendes herausgefunden:
- laut der Dokumentation von openSSH (ChrootDirectory)http://www.openbsd.org/cgi-bin…ery=sshd_config&sektion=5 muss root der Eigentümer des betreffenden Home-Verzeichnisses sein.
Dabei stellt sich mir die Frage, dass auf dem QNAS kein root-konto existiert. Oder liege ich hier falsch? Was ist mir dem root?
Hierzu vielleicht jemand eine Idee?
Gruß
creg
[Problemlösung]
Ich habe das Problem gelöst: Nach dem ich das Home-Verzeichnis nach /home/%u (von /share/HDA_DATA/custom/%u) geändert (verschoben) habe und die entsprechenden Zugriffsberechtigungen für das Verzeichnis vergeben hatte, war das Problem gelöst.
Hier der Auszug aus meiner sshd_conf, welcher für den ChrootDirectory wichtig ist:
Subsystem sftp internal-sftp
AllowUsers testuser
Match User testuser
ChrootDirectory /home/%u
X11Forwarding no
AllowTCPForwarding no
ForceCommand internal-sftp
Zu den Berechtigungen ist nur zu sagen, dass der User "Admin" Eingetümer des Homeverzeichnisses sein muss.
Die Gruppe aber muss auf "users" eingestellt werden. Die Berechtigung hier kann drwxrwx--- (770) sein.
Gruß
creg