SFTP und FTP zeigen unterschiedliche Verzeichnisse

[Wilhelm M.]

Meine Versuche mit diversen SFTP-Plugins endeten alle im Frust... Will aber nicht jammern, sondern fragen.
Ist vielleicht eine Dummy-Frage, aber trotzdem.
Folgendes geht vor. Wenn ich mit dem eingebauten FTP-Cient von TC auf ein Verzeichnis im Netz (auf unserem Uni-Server) zugreife, dann sehe - wie erwartet - folgende Verzeichnisse und Dateien:

.tin/
fileserver/
html/
Mail/
.addressbook
.addressbook.lu
.bash_history
.forward
.newsrc
.pine-debug1
.pinerc
.popbull

Wenn ich mit den gleichen login-Daten (!) mittels eines SFTP.Plugins zugreife, dann erscheint folgendes:

.subversion\
bin\
boot\
dev\
etc\
home\
lib\
lost+found\
media\
mnt\

etc.

also etwas ganz anderes. Und in diesen Verzeichnissen sind die weiter oben genannten nicht etwa versteckt.
Wieso dieser Unterschied?
Hier die Beschreibung des SFTP-Plugins:
FileDescription : PuTTY's SFTP for TotalCommander's SFTP plugin
FileVersion : 1.3.60.8
InternalName : psftp
OriginalFilename : psftp.dll
ProductName : psftp
ProductVersion : 1.3.60.8

[Dalai]

Wieso dieser Unterschied?

Weil du mit dem SFTP-Plugin ganz offensichtlich im Root rauskommst, daher Verzeichnisse wie bin, boot, media u. dgl. Via FTP kommst du offensichtlich in deinem eigenen Home raus (ggf. ein FTP-Home). Normalerweise müsstest du via SFTP dein Home finden in /home/<nutzername>.

Also

Und in diesen Verzeichnissen sind die weiter oben genannten nicht etwa versteckt.

Doch, genau das .

MfG Dalai

[Wilhelm M.]

(Himmel...)
Also so ist es natürlich. Problem ist nur, wenn ich auf \home klicke, dann rumpelt er minutenlang herum (es gibt ziemllich viele Benutzer... jeder hat ein Verzeichnis) und da habe ich dann die Geduld verloren.
Gibt es eine Möglichkeit, wie ich mit SFTP direkt in mein (Unter-)Verzeichnis komme?

[kanu969]

Hallo Wilhelm,

wie Dalai schon geschrieben hat, kommst Du im Root-Verzeichnis des Server raus.
MMn. nach ist dort auf dem Router für den SFTP-Port ein Portforwarding eingestellt, das alle, die über diese Port kommen, im Root landen. Das ist eine ziemlich heftige Sicherheitslücke, falls Du nicht der Admin des Servers bist - und ich nehme mal an, dass Du das nicht bist. Ich würde mal vorsichtig bei den Jungs anklopfen und sie auf das Problem hinweisen!

Gruß
kanu

[Dalai]

Gibt es eine Möglichkeit, wie ich mit SFTP direkt in mein (Unter-)Verzeichnis komme?

In Ghislers SFTP-Plugin kann man das Startverzeichnis einstellen; keine Ahnung, wie und ob das bei anderen Plugins ebenfalls geht. Unabhängig davon kann man auch die Pfadzeile direkt zur Eingabe eines anderen Verzeichnisses nutzen, z.B. "/home/<nutzername>" anhängen und dadurch die Auflistung in /home umgehen.

MfG Dalai

[Wilhelm M.]

@kanu969:
Das scheint mir auch so. Der Admin bin ich nicht (sonst hätte ich wohl kaum so eine Frage gestellt), aber der sollte jedenfalls davon erfahren.

@Dalai:
Mit dem Anhängen klappt das irgendwie nicht, habe alle möglichen Varianten probiert, dann werde ich gar nicht nach Pwd etc. gefragt, sondern im Ausgabefenster steht dann einfach "NOT CONNECTED". Werde einmal das Plugin vom Meister probieren.

Danke Euch beiden!

[Dalai]

MMn. nach ist dort auf dem Router für den SFTP-Port ein Portforwarding eingestellt, das alle, die über diese Port kommen, im Root landen. Das ist eine ziemlich heftige Sicherheitslücke [...]

Kannst du das näher erläutern, warum das eine Sicherheitslücke sein soll? Wenn der Root-Login via SSH deaktiviert ist und der SSH an sich gut abgesichert und evtl. noch zuviele Loginversuche unterbunden werden (Fail2ban o.ä.) sehe ich nicht, wo das Problem liegen soll. Davon abgesehen wissen wir doch gar nicht, ob der Zugriff innerhalb des Uni-Netzes erfolgt oder von außen.

Sagen wir mal so: Ein offener Port, wo er nicht nötig ist, ist ein Angriffsziel, aber nicht unbedingt gleich eine Sicherheitslücke (kann aber eine sein). Ich denke aber schon, dass die Admins eines solchen Netzes wissen, was sie tun und daher die Gefahren kennen, die man sich damit einhandeln kann.

Mit dem Anhängen klappt das irgendwie nicht, habe alle möglichen Varianten probiert, dann werde ich gar nicht nach Pwd etc. gefragt [...]

Anhängen kannst du den Pfad natürlich erst dann, wenn du eine Verbindung aufgebaut hast und im Root gelandet bist. Konkret: Verbindung aufbauen und damit im Root landen und dann den Pfad in der Pfadzeile editieren, eben "/home/<nutzername>" anhängen (bzw. eigentlich "\home\<nutzername>" da wir ja auf Windows sind).

MfG Dalai

[kanu969]

Hallo Dalai,

na gut, über "Sicherheitslücke" lasse ich mit mir reden!
Aber wenn in einem Uni-Netz (ich gehen davon aus, dass es nur im Netz so ist) praktisch jeder Benutzer, der den SFTP-Port nutzt, im Root rauskommt, dann hat er auch bei eingeschränkten Rechten doch zumindest die Möglichkeit, sehr viel über eingesetzte Programme und Versionen und ev. über Berechtigungen zu erfahren. Das sind meist die ersten Angrifsspunkte, über die sich die "pöhsen Purschen" dann mittels 0-Day-Exploit weiter-hangeln können. Und gerade an Unis kommen Leute vor, die den Admins mal zeigen wollen, dass sie ja viiiieeeel besser sind! Deshalb haben bei mir User nur etwas in Ihrem ~home zu suchen und sonst nirgendwo.
Ich vermute mal, dass in diesem Fall die Benutzerkennung bei FTP abgefragt wird, um den User in sein /home/username zu schicken. Dann sollte es auch eine Kleinigkeit sein, entweder SFTP ganz zu sperren oder die Abfrage auch dort umzusetzten. Ich kenne aber leider selber ein Beispiel, wo aus Bequemlichkeit genau so verfahren wurde wie hier, nach dem Motto: sftp nutzen ja nur wir, die Admins und im Endeffekt ein gesamtes Firmennetz offen war wie Windows 98.

Sollte das Ganze natürlich so gewollt sein, bitte ich die Admins hiermit um Vergebung!

Gruß
kanu

[Wilhelm M.]

Mit dem Ghisler-Plugin geht es anstandlos: Pfad zu meinem Verzeichnis einfach an den Serverpfad anhängen. No Prob.

Und ja: ich verbinde aus dem Uni-Netz heraus und lande dann im Root des Servers. Auch wenn es so sein sollte, dass jemand von außen nicht so ohne weiteres hineinkommt, dann bleibt immer noch das Risiko durch mich selbst oder jemand anderen im Netzwerk: ich kann alles herumwerklen was ich will (glaube ich, ich hab's nicht probiert, aber jedenfalls sehe ich alle Dateien).

[Dalai]

Deshalb haben bei mir User nur etwas in Ihrem ~home zu suchen und sonst nirgendwo.

Nun, je nach Größe und "Gefährdungslage" des Netzes kann das sinnvoll sein. Ich weiß es leider nicht, wie das ChrootDirectory bei OpenSSH arbeitet. Aber: entweder sind mit einem solchen Chroot gar keine Programme nutzbar, dann ist der SSH-Login wertlos bzw. nur als reine SCP/SFTP-Maschine zu gebrauchen, oder die installierten Programme sind trotz Chroot noch nutz- und startbar, dann sind deren Versionen trotzdem ermittelbar.

Man muss sich aber immer überlegen, von wo die Gefahr drohen kann: von Einbrechnern, also solchen Nutzern ohne gültigen Login, oder von Nutzern mit gültigem Login. Wenn letzteres, dann hat man wahrscheinlich andere Sorgen .

MfG Dalai

[kanu969]

Hallo Dalai,

Dalai schrieb:

Man muss sich aber immer überlegen, von wo die Gefahr drohen kann: von Einbrechnern, also solchen Nutzern ohne gültigen Login, oder von Nutzern mit gültigem Login. Wenn letzteres, dann hat man wahrscheinlich andere Sorgen Wink.

Aus ca. 15 Jahren Erfahrung in der Netzwerkadministration:

Der schlimmste Fall sind User mit Halbwissen und dem Willen, ihr Halbwissen umzusetzen!:twisted:

1. man denkt nicht an ihn / traut ihm das nicht zu
2. die grossen Zugangshindernisse (Firewall, IDS/IPS) hat er schon überwunden
3. irgendwelche Rechte muss er ja bekommen
4. Privilege Escalation durch "Chefanweisungen" sind leider sehr beliebt
5. Mißbrauch von eingeräumten Rechten - meist nur unwissentlich, aber das Ergebnis ist manchmal ne Katastrophe

Gegen Feinde von aussen kann man viel und vor allem sehr konsequent und kompromisslos tun, bei Usern muss man immer Kompromisse eingehen.

Vielleicht hab ich da aber auch nur eine berufsbedingte Paranoia entwickelt.

Gruß
kanu

[Dalai]

Der schlimmste Fall sind User mit Halbwissen und dem Willen, ihr Halbwissen umzusetzen!:twisted:

True, true. Trifft nicht nur auf Netzwerke/Netzwerkadministration zu.

Vielleicht hab ich da aber auch nur eine berufsbedingte Paranoia entwickelt.

Nö, du hast im Prinzip schon recht: nur so viel Rechte wie nötig, aber so wenig wie möglich. Wir wissen ja leider nicht, ob die Konfiguration des SSH in diesem Netz Absicht ist (die Rechte also nötig sind) oder nur ein Versehen. Ich denke, wir beide hoffen, dass es nicht letzteres ist .

MfG Dalai

[Wilhelm M.]

Ich möchte mich in eine solche Diskussion von Kennern nicht einmischen. Auf diesem Server (bzw. dem Teil, der für uns simple User zugänglich ist) gibt es keine Programme zum Starten. Es ist eine reine Datenablage (Userdaten, persönliche Homepages etc.). Trotzdem - kanu969 hat das ja angedeutet - kann man ziemlich viel Unheil anrichten, wenn man auf die Daten von anderen Mitarbeitern Zugriff hat. Halbwissen ist ein wichtiger Punkt. Kombiniert mit Bosheit ist das fatal.

Nur so zum Nachdenken: ich habe den Informatikern unseres Hauses meine Beobachtungen mitgeteilt. Und die Antwort ist innerhalb von Minuten gekommen und es ist eine, die man auch in diversen Foren reflexartig bekommt: welche Version von TC? Welches Betriebssystem? Welche Version des Plugins? Lauter Fragen, die in gewissen Fällen vielleicht sinnvoll sind, hier aber mit 99% Wahrscheinlichkeit nicht. Manche Leute sind auf solche Gegenfragen spezialisiert, da braucht man nicht nachdenken...

Jetzt habe ich ihnen mitgeteilt, dass ich gar nichts besonderes machen musste, um da hinein zu kommen. Keinerlei Hackerfähigkeiten. Nur 08/15 Einstellungen in einem ganz normalen Plugin. Und jetzt ist seit einer guten Stunde Funkstille. Hm. Keine Antwort ist auch eine Antwort.

[Dalai]

Trotzdem - kanu969 hat das ja angedeutet - kann man ziemlich viel Unheil anrichten, wenn man auf die Daten von anderen Mitarbeitern Zugriff hat.

Ich denke, darüber brauchst du dir keine Gedanken zu machen, die Verzeichnisrechte in /home verhindern das. Jeder Nutzer darf nur in sein eigenes Home, nicht aber in das der anderen. Sollte dem doch so sein (kannst es ja mal ausprobieren), dann muss man den/die Admin/s mal zur Rede stellen - denn sowas ist tatsächlich eine Sicherheitslücke.

Nur so zum Nachdenken: ich habe den Informatikern unseres Hauses meine Beobachtungen mitgeteilt. Und die Antwort ist innerhalb von Minuten gekommen und es ist eine, die man auch in diversen Foren reflexartig bekommt: welche Version von TC? Welches Betriebssystem? Welche Version des Plugins?

Diese Fragen könnten relevant sein, schließlich geht's um Support allgemein und jeder Supporter hat u.U. nur eine bestimmte Bandbreite unterstützter Software (und lässt alles andere links liegen). Evtl. will man sogar versuchen, das Problem nachzustellen. Zusätzlich kommt es darauf an, was und wie du diese Beobachtung/Tatsache beschrieben hast. Andererseits sollten solche Leute in der Lage sein, das Problem zu erkennen und zu abstrahieren. Naja, sagt auch etwas aus...

MfG Dalai

[Wilhelm M.]

Versteh mich nicht falsch: natürlich KÖNNEN diese Fragen sinnvoll sein, habe ich eh geschrieben. Aber manchen Fragen sieht man an, dass es um etwas anderes geht (mit 99% Wahrscheinlichkeit) und da ist es halt bequem, sowas zu schreiben, vor allem wenn man sonst keine Antwort parat hat. Wieso diese Leute dann nicht einfach gar nichts antworten, werde ich sowieso nicht verstehen. Anscheinend haben sie da ein Bedürfnis...

Aber zu Deiner Frage: NEIN ich kann nicht in die anderen Verzeichnisse hineinschauen! Habe ich gerade festgestellt. Ich sehe die Verzeichnisse mit den Usernamen, kann sie aber nicht aufmach. Okay. Immerhin.
(Vielleicht haben aber inzwischen die Kollegen in der Informatikabteilung gehandelt???)

Wie auch immer: Danke vielmals an Euch beide! Wieder was gelernt! Vor alllem habe ich jetzt ein Plugin, mit dem ich arbeiten kann.