Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Sftp( only) user in pfsense

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 4 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      robotics
      last edited by

      hallo,
      ich versuche mich gerade mit pfsense und das intern im Netz nutzen ( nicht als WAN - Gateway ).
      Ich habe einen USB Port den ich in ein Verzeichnis mounte darauf möchte ich per sftp zugreifen ohne aber dem user direkten ssh Zugang zu geben.

      Ich bin dieser Anletung gefolgt :
      http://bin63.com/how-to-set-up-an-sftp-user-on-freebsd

      ChrootDirectory habe ich entsprechend angepasst auf /home/sftp

      aber ich bekomme keinen Zugang. Wenn ich als admin versuche geht es .Lande allerdings im home Verzeichnis root.

      Kann mir jemand da einen Tip geben ? Ist da unter pfsense irgendwas spezielles zu beachten ?

      gruss andy

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hat dein User überhaupt Shell Rechte? Die sind in der Userverwaltung extra aufgeführt.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • M
          mrpink
          last edited by

          Und mit Shell Access bekommt dein User gleich Admin Rechte:

          
          The following privileges effectively give the user administrator-level access because the user gains access to execute general commands, edit system files, modify users, change passwords or similar:
          
          User - System: Copy files (scp)
          User - System: Shell account access
          WebCfg - All pages
          WebCfg - Diagnostics: Backup & Restore
          WebCfg - Diagnostics: Command
          WebCfg - Diagnostics: Edit File
          WebCfg - Diagnostics: Factory defaults
          WebCfg - System: Authentication Servers
          WebCfg - System: Group Manager
          WebCfg - System: Group Manager: Add Privileges
          WebCfg - System: User Manager
          WebCfg - System: User Manager: Add Privileges
          WebCfg - System: User Manager: Settings
          
          Please take care when granting these privileges.
          
          
          1 Reply Last reply Reply Quote 0
          • R
            robotics
            last edited by

            erstmal danke euch beiden für die Antworten.
            genau aus dem grund um shell oder ssh rechte einzuschränken hatte ich das gemäß der Anleitung nach Standard Freebsd zu Fuss gemacht. Leider bekomme ich keinen Zugriff per sftp und selbst als Admin komme ich dann in den home folder , statt in den angegebenen sftp ordner.

            beste grüsse
            Andy

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              statt in den angegebenen sftp ordner.

              Dann ist entweder deine Anleitung verkehrt oder deine Grundannahme. Bei einem SFTP Only Benutzer muss eigentlich - zumindest wenn die SSH Version neu genug ist und das sollte unter pfSense gegeben sein - gar kein großer Akt fabriziert werden. Das einzige WAS aber sein MUSS ist, dass der definierte Home Folder ROOT gehören MUSS. Erst die Subfolder dürfen dann ggf. dem Benutzer gehören, aber der Ordner, in dem man nach Verbindung herauskommt muss ROOT gehören. Das ist eine Enschränkung der Chroot Mechanik von OpenSSH selbst. So stehts auch in deiner Anleitung:

              The chroot directory needs to be owned by root so that the user/group can log in.

              Wenn du dich also nicht einloggen kannst, ist meistens das dein Problem. Gehören also /home und /home/sftp auch Root?

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • Z
                zacha
                last edited by

                Sorry, dass ich mal in den alten Thread schreibe aber ich vermute, das dürfte den einen oder anderen auch interessieren und die Sache war ja nicht abschließend beantwortet.

                Wenn man einen Benutzer über das Web anlegt, ihm Shell Access gibt und dann diesen Nutzer auf sftponly festnagelt, kann dieser nichts machen, außer SFTP. Auf das Web Interface bekommt er keinen Zugriff und eine Shell hat er ja dann effektiv auch nicht. Das Gesagte bezüglich Ownership des Home-Verzeichnisses des Nutzers gilt weiterhin. Einziges Problem: wenn man den Nutzer über das Web Interface irgendwie bearbeitet, werden die Verzeichnisberechtigungen zurückgesetzt (also auch z.B. beim Setzen eines Passwortes).

                Da ich nichts davon halte, in den pfSense- eigenen Dateien herumzupfuschen, da ich auch mal ein Update installieren will oder das System aus einem Backup wiederherstellen können will, habe ich folgende Vorgehensweise gewählt:

                • Nutzer über das Web anlegen

                • Nutzer die Permission Shell Access geben

                • /etc/sshd_extra anlegen:

                Match User sftpbackup
                ChrootDirectory /home/%u
                X11Forwarding no
                AllowTcpForwarding no
                ForceCommand internal-sftp

                • shellcmd, alternativ cronjob anlegen:

                /usr/sbin/chown root /home/sftpbackup

                -rsa schluessel im authorized_keys file ablegen.
                -die sshd_extra config im Config-Backup berücksichtigen.

                Funktioniert soweit einwandfrei.

                HTH

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.